9月1日，美國(guó)政府辦公室的一個(gè)安全團(tuán)隊(duì)啟動(dòng)了第四屆國(guó)家內(nèi)部威脅意識(shí)月(NITAM)。為期一個(gè)月的這項(xiàng)活動(dòng)的目標(biāo)是教育政府機(jī)構(gòu)和各行業(yè)組織了解內(nèi)部威脅帶來(lái)的危險(xiǎn)以及內(nèi)部威脅計(jì)劃的作用。今年的活動(dòng)重點(diǎn)關(guān)注批判性思維對(duì)幫助員工防范數(shù)字空間風(fēng)險(xiǎn)的重要性。發(fā)布的國(guó)家內(nèi)部威脅意識(shí)月(NITAM)公告引用了數(shù)字空間中最近的一些內(nèi)部威脅示例：

• Twitter公司的員工Ahmad Abouammo于2022年8月被定罪，其罪名是收受賄賂以換取訪問(wèn)、監(jiān)控Twitter用戶的私人信息，并將其提供給中東某國(guó)的政府部門。
• 2022年7月，美國(guó)中央情報(bào)局(CIA)前雇員Joshua Schulte被定罪，他利用訪問(wèn)權(quán)限收購(gòu)了美國(guó)一些最有價(jià)值的情報(bào)，秘密收集這些材料并提供給維基解密。
• 2022年6月，已經(jīng)轉(zhuǎn)為民用承包商的前美國(guó)陸軍直升機(jī)飛行員Shapour Moinian認(rèn)罪，他接受了某國(guó)政府代表提供的數(shù)千美元，以從其國(guó)防承包商雇主那里提供航空相關(guān)信息。

Code42公司首席執(zhí)行官Joe Payne是2022年內(nèi)部風(fēng)險(xiǎn)峰會(huì)主席，他在會(huì)上列了一個(gè)案例。他說(shuō)，“這可能是我們多年來(lái)遇見(jiàn)的規(guī)模最大內(nèi)部風(fēng)險(xiǎn)案例”。在這個(gè)案例中，弗吉尼亞州費(fèi)爾法克斯縣巡回法院的陪審團(tuán)發(fā)現(xiàn)，低代碼平臺(tái)提供商Pegasystems公司雇傭了一名政府承包商的員工，長(zhǎng)期監(jiān)視編碼自動(dòng)化服務(wù)商Appian公司，以了解如何更好地與競(jìng)爭(zhēng)對(duì)手競(jìng)爭(zhēng)，因此，Pegasystems公司由于盜用商業(yè)機(jī)密而被判賠償Appian公司20.36億美元。

Payne說(shuō)，“Pegasystems公司的價(jià)值不到20億美元，在獲得20億美元賠償金之后，Appian公司的價(jià)值增長(zhǎng)到30億美元。由此可以看到一家承包商可能造成問(wèn)題的規(guī)模和嚴(yán)重程度，人們就會(huì)開(kāi)始明白，內(nèi)部風(fēng)險(xiǎn)在當(dāng)今各行業(yè)中可能非常具有破壞性。”

在最近的一個(gè)內(nèi)部風(fēng)險(xiǎn)示例中，社交媒體平臺(tái)Twitter公司前安全主管Peiter Zatko在美國(guó)參議院一個(gè)委員會(huì)作證，聲稱該公司雇傭了外國(guó)特工。他還對(duì)這家公司雇傭的其他外國(guó)特工表示擔(dān)憂，其中至少有一名來(lái)自印度。

無(wú)意的內(nèi)部威脅可能是最大的風(fēng)險(xiǎn)

這些企業(yè)內(nèi)部風(fēng)險(xiǎn)的典型例子被認(rèn)為是有意或惡意的威脅，而不是無(wú)意或非惡意的威脅。Mandiant公司總經(jīng)理Jon Ford表示，“無(wú)意的威脅包括內(nèi)部人員的粗心大意，他們的行為在大多數(shù)研究和學(xué)術(shù)活動(dòng)中經(jīng)常被忽視，甚至沒(méi)有包括在內(nèi)部威脅本身的定義中。這是一個(gè)重大缺陷，因?yàn)闊o(wú)意的內(nèi)部威脅是最大的內(nèi)部威脅。大多數(shù)研究表明，粗心的內(nèi)部人員造成了50%至75%的內(nèi)部威脅事件。”

CybSafe公司首席執(zhí)行官兼創(chuàng)始人OzAlashe MBE說(shuō)：“正是員工在無(wú)意中做出了增加企業(yè)內(nèi)部風(fēng)險(xiǎn)的事情。我認(rèn)為最大的內(nèi)部風(fēng)險(xiǎn)和威脅并不是蓄意和惡意竊取信息、提供網(wǎng)絡(luò)和系統(tǒng)訪問(wèn)權(quán)限的用戶。”

國(guó)外間諜帶來(lái)的內(nèi)部威脅很少見(jiàn)

事實(shí)上可能發(fā)生的惡意內(nèi)部威脅的公開(kāi)實(shí)例，證明大多數(shù)內(nèi)部威脅都是非惡意的，不涉及敵對(duì)國(guó)家的行為。Red Goat Cybersecurity公司合伙人Lisa Forte說(shuō)：“Twitter公司前安全主管Peiter Zatko指控的是，Twitter公司雇傭了國(guó)外間諜。這種情況確實(shí)極為罕見(jiàn)。”

然而，F(xiàn)orte表示，更常見(jiàn)的是企業(yè)或工業(yè)間諜案件，其中盜竊某一企業(yè)的知識(shí)產(chǎn)權(quán)并提供給其競(jìng)爭(zhēng)對(duì)手。Forte說(shuō)，“這些案件涉及的不是政府間諜，而是那些想賺錢或討好其他競(jìng)爭(zhēng)對(duì)手以獲得利益的員工。”

Mandiant公司的Ford說(shuō)，“即使國(guó)外間諜是一種罕見(jiàn)的內(nèi)部風(fēng)險(xiǎn)，員工必須了解這種風(fēng)險(xiǎn)以及這些方法的作案方式，以便他們能夠識(shí)別間諜采用的方法，企業(yè)員工在被誘騙商業(yè)機(jī)密的同時(shí)，他們可能只是認(rèn)為參加了一場(chǎng)商務(wù)會(huì)議，這種情況并不少見(jiàn)。”

如何發(fā)現(xiàn)內(nèi)部威脅

發(fā)現(xiàn)內(nèi)部威脅的技術(shù)各不相同，取決于企業(yè)可能面臨的威脅類型，無(wú)論是惡意還是無(wú)意的。在惡意內(nèi)部威脅方面，要注意員工的反常行為變化，Alashe說(shuō)，“一些企業(yè)會(huì)將其視為個(gè)人正常登錄和注銷的時(shí)間，或電子郵件流量的變化。它們是可能值得進(jìn)一步關(guān)注的興趣領(lǐng)域的指標(biāo)。”

對(duì)企業(yè)不滿的員工或知道自己將被解雇的員工，是可能存在惡意內(nèi)部威脅的另一個(gè)跡象。Alashe說(shuō)，“我們看到的一個(gè)挑戰(zhàn)是，有些員工知道他們將被解雇，但他們的權(quán)限并沒(méi)被取消。因此在一段時(shí)間內(nèi)提高了企業(yè)面臨的內(nèi)部威脅的風(fēng)險(xiǎn)。”

Forte說(shuō)，“在觀察到的幾乎所有案件中，都是在一些員工辭職前一個(gè)月內(nèi)發(fā)生的。”此外他指出，盜竊案件中存在兩個(gè)重要因素，一是員工對(duì)自己的工作感到不滿，二是他們對(duì)工作職位的占有欲很強(qiáng)。

至于無(wú)意的內(nèi)部威脅，F(xiàn)ord說(shuō)：“員工可能因?yàn)榭焖倩蚍奖愣扇〉男袆?dòng)，例如共享或重用憑據(jù)、將文件復(fù)制到個(gè)人U盤(pán)或?qū)⑽募鎯?chǔ)在個(gè)人云存儲(chǔ)中，這些行動(dòng)也意味是一種內(nèi)部威脅，即使它們可能不是惡意的。”

非惡意內(nèi)部威脅的另一個(gè)指標(biāo)是員工未能完成安全意識(shí)培訓(xùn)。Alashe說(shuō)，“培訓(xùn)并不能徹底改變?nèi)藗兊男袨椋珦?jù)我所知，培訓(xùn)是一些企業(yè)應(yīng)對(duì)非惡意內(nèi)部威脅的方法。”

防止內(nèi)部威脅的措施

企業(yè)可以采取措施將內(nèi)部威脅的程度降到最低。Ford說(shuō)，“第一步應(yīng)該是進(jìn)行全面的內(nèi)部威脅能力評(píng)估，這將有助于確定現(xiàn)有的差距和有待改進(jìn)的領(lǐng)域。利用從評(píng)估中獲得的見(jiàn)解，企業(yè)可以制定有效的內(nèi)部威脅計(jì)劃，平衡員工隱私與安全，并且應(yīng)該包括明確定義的組件、功能、范圍和治理結(jié)構(gòu)。”

Forte表示，抵御內(nèi)部威脅的具體措施取決于威脅的類型：欺詐、盜竊或破壞。Forte建議，為了最大限度地減少內(nèi)部盜竊，除了其他事項(xiàng)之外，企業(yè)應(yīng)確定最具商業(yè)敏感性的資產(chǎn)，確定有權(quán)使用這些資產(chǎn)的員工，并為他們提供加強(qiáng)的內(nèi)部威脅培訓(xùn)。她說(shuō)：“在某些情況下，人們沒(méi)有意識(shí)到他們處理的一些報(bào)告是不能帶走或復(fù)印的。”

Alashe表示，解決內(nèi)部威脅的關(guān)鍵一步是首先確定非惡意的內(nèi)部活動(dòng)是內(nèi)部威脅。他說(shuō)，“一些企業(yè)表示，他們的安全意識(shí)團(tuán)隊(duì)負(fù)責(zé)處理非惡意內(nèi)容，而內(nèi)部威脅團(tuán)隊(duì)只負(fù)責(zé)處理惡意內(nèi)容。更明智的企業(yè)并不這么認(rèn)為。他們會(huì)更全面地考慮這個(gè)問(wèn)題。”