調研機構Forrester Research公司在最近發布的一份調查報告中指出，只有18%的企業優先將安全支出用于構建專門的內部威脅計劃，25%企業則將支出用于防范外部威脅。

企業需要擔心的不僅僅是可能心懷不滿意的一些員工，大多數內部威脅事件本質上都是非惡意的。Proofpoint公司和波洛蒙研究所在其發布的“2022年內部威脅全球成本報告”中指出，粗心或疏忽行為占所有安全事件的56%，而且這些也往往是成本最高的安全事件，平均修復成本為660萬美元。

修復失敗

部分問題在于安全觀念：Forrester Research公司的調查報告發現，近三分之一的受訪者并沒有將員工視為一種威脅。但眾所周知，要防止此類事件發生也非常困難，因為企業本質上是在尋求控制對數據的合法訪問。減輕這些威脅不僅是為了提高安全性，而且是為了檢測用戶行為中潛在的危害指標，因此，大多數企業依靠培訓員工來解決這個問題。然而，僅靠安全培訓往往是不夠的。

這份報告還發現，雖然65%的受訪者表示通過培訓員工來確保遵守數據保護政策，但55%的受訪者表示他們的員工已經找到了規避這些政策的方法。其他受訪者表示，他們依靠單點解決方案來預防此類事件，其中43%使用數據丟失防護來阻止操作，29%通過SIEM進行監控(盡管這些系統仍然可以在不檢測的情況下泄露數據)。問題是網絡安全和員工監控都沒有考慮到壓力因素，這些壓力因素會促使一些員工采用變通辦法。

預防總是勝于應對，當前應該重視應對內部威脅的方法。如果發現內部威脅(無論是否惡意)，企業對如何處理的關注不足夠。雖然培訓和網絡安全控制確實可以發揮作用，但兩者都需要成為內部威脅計劃的一部分。

內部威脅計劃協調不同業務部門的政策、程序和流程，以應對內部威脅。它被廣泛認為對緩解內部威脅至關重要，但在Forrester公司的調查中，只有28%的受訪者聲稱擁有一個內部威脅計劃。這樣做的原因是許多企業建立一個內部威脅計劃可能令人生畏。除了讓人員參與并制定政策外，企業還需要清點其數據并定位數據源，確定如何監控行為、調整安全培訓計劃、開展調查，以及如何定期評估內部威脅計劃本身。

如何開始構建內部威脅計劃

首先，企業需要專門的工作組來幫助指導內部威脅計劃。工作組成員需要有明確的角色和責任，并采用同一套道德準則或簽署保密協議。這是因為有許多與員工隱私和監控相關的法律，以及在制定和執行政策時必須考慮的法律和擔憂。工作組的第一項工作將是制定運營計劃，并制定防范內部威脅政策的高級版本。

然后，他們需要考慮如何盤點和訪問內部和外部數據源。為此，工作組成員需要熟悉特定數據集的記錄處理和使用程序。一旦創建了收集、整合和分析數據所需的流程和程序，應該根據數據的用途對數據進行標記，因此可能與隱私調查有關(根據調查，將近58%的影響敏感數據的事件是由內部威脅引起的)。

企業考慮是否會使用技術來監控最終用戶設備、登錄等，并通過簽署的信息系統安全確認協議記錄這一點。潛在的危害指標可能包括數據庫篡改、企業機密信息的不當共享、文件刪除或查看不當內容。當此類行為曝光時，自由裁量權至關重要，任何調查都需要無懈可擊且可辯護，因為它可能會導致法律訴訟案件。

可防御性的數字取證

內部威脅計劃還應詳細說明企業如何響應和調查事件。考慮調查是否是內部的?在什么時候需要讓外部代理人參與進來?以及需要通知誰?用于調查的數據將保存在哪里?信息將保留多長時間?雖然保留相關信息很重要，但不希望陷入保留過多信息的陷阱，因為這會增加風險，這意味著內部威脅計劃還應該考慮數據最小化策略。

企業應該使用數字取證工具來執行內部威脅計劃。需要決定如何主動管理內部威脅，以及這些工具是僅用于分析后還是秘密使用。例如，一些擁有高價值資產的企業會進行掃描，以確定員工離職時數據是否被泄露。企業還應該確保這些工具能夠遠程定位端點和云源，即使它們沒有連接，并且應該與操作系統無關，以便可以在各種設備上捕獲數據。

數字取證確保企業可以快速捕獲和調查任何不當行為。例如，它可以確定用于將數據從企業信息資產中泄露到任何設備、端點、在線存儲服務(如Google Drive或Dropbox)甚至通過社交媒體平臺發布的日期、時間和路徑。在追蹤數據之后，就可以縮小可能的嫌疑人范圍，直到團隊獲得無可爭議的確切證據。

無論是調查方式還是證據本身都必須無可非議，并且在法律上是可以辯護的，因為此類事件可能導致解雇甚至起訴。如果在法庭上受到質疑，企業將需要證明盡職調查，因此在保護證據的處理時，必須有一個可靠且可重復的司法程序和適當的監管鏈。

得到員工的支持

員工的支持也是成功的關鍵。該政策應在隱私、財務甚至物理影響方面傳達安全威脅的風險，以便員工了解所涉及的風險，但也應該有適當的流程使用戶能夠報告行為危害指標。指南應規定如何以及何時通過特定渠道報告危害指標，即通過電話、電子郵件、DropBox等，還應記錄培訓的完成情況。

內部威脅計劃將需要接受測試，但最好不要與實際事件一起進行測試。與其相反，應該執行內部威脅風險評估，以確定安全控制和業務流程中的差距，或評估數據泄露的難易程度以及數字取證流程的執行情況。考慮如何將內部威脅管理引入其他安全策略，例如涵蓋BYOD的安全策略，并確保受信任的業務合作伙伴和分包商也接受內部威脅風險評估。

最后，需要記住的是，隨著新流程的上線和數據源的添加，該策略將需要適應和改變。這樣做的關鍵是保持準確的數據庫存，并確保企業數字取證工具為其提供足夠的范圍來處理新技術或滲透途徑，但企業也可以將其計劃與所在行業的其他業務進行基準測試。

實施內部威脅計劃的目的是確保不僅業務、數據或流程受到保護，而且員工也受到保護。通過秘密監控工作流，可以更準確地標記危害指標，幫助防止事件升級。但是，當不可想象的事情發生時，如果毫無戒心的員工泄露了敏感數據，那么擁有強大的可防御流程(這些流程已經記錄了事件)，就可以更輕松地進行數字取證調查，并迅速解決問題。