與內部威脅的最新統計數據保持同步有助于組織積極應對并減緩潛在風險。這篇文章概述了行業專家的主要發現，并展示了最近的內部威脅事實和案例，以幫助組織更好地了解風險并調整自身的網絡安全措施。

內部威脅統計研究

我們從一些最可信的報告中選擇了內部威脅網絡安全統計數據，這些報告提供了有關內部威脅、背后的技術和方法以及修復成本的關鍵信息：

• 2023年、2021年Cybersecurity Insiders《內部威脅報告》；
• 2022年、2020年、2018年Ponemon Institute《全球內部威脅成本報告》；
• 2022年、2021年Verizon《數據泄露調查報告》；
• 2021年Ponemon Institute《內部威脅狀態報告》

2022年Top3內部威脅行為者和事件

任何組織都可能有惡意的內部人員。Cybersecurity Insiders發布的《2023年內部威脅報告》指出，74%的組織容易受到內部威脅。這是可以理解的，因為在2022年，我們看到了許多惡意的內部攻擊和由用戶疏忽造成的數據泄露。

企業組織繼續遭受來自下述類型參與者的內部威脅：

正式員工

與特權用戶相比，普通員工的能力有限，但他們仍然可能損害組織安全。例如，他們可能濫用公司數據，安裝未經授權的應用程序，將機密電子郵件發送到錯誤的地址，或者成為社會工程攻擊的受害者。

一個普通員工觸發的內部攻擊案例：：

2022年5月，雅虎高級研究科學家竊取了雅虎AdLearn產品的機密信息。泄露的數據包括570,000份文件，其中包含源代碼、后端架構信息、秘密算法和其他知識產權。在收到雅虎競爭對手的工作邀請幾分鐘后，該惡意員工將這些數據下載到他的個人存儲設備中。在發現這一事件后，雅虎對該員工提出了三項指控，包括竊取知識產權數據，聲稱他的行為暴露了公司的商業秘密，給競爭對手帶來了巨大的優勢。

特權用戶

特權用戶包括系統管理員、C級高管人員以及其他具有高級訪問權限的用戶。特權用戶掌控著進入組織關鍵基礎設施和敏感數據的“鑰匙”，因此他們可以對組織造成巨大的內部威脅。

特權用戶造成的內部威脅案：

2022年3月，一群網絡安全愛好者通知珀加索斯航空公司（Pegasus Airlines），他們6.5TB的敏感數據被暴露在網上。發生這種情況是因為系統管理員未能正確配置存儲這些記錄的云環境。該漏洞可能會影響數千名乘客和機組人員。由于泄露員工的個人信息，該航空公司違反了土耳其個人數據保護法（LPPD），這可能導致最高約18.3萬美元的罰款。

第三方

第三方是可以訪問組織IT系統或數據的供應商、分包商、業務合作伙伴和供應鏈實體等。第三方可能并未遵守組織的網絡安全規則，或者通過惡意行為違反這些規則。此外，黑客可以通過攻破安全性較差的第三方供應商，進入受保護的范圍。

第三方引發的內部威：

2022年2月，由于塑料零部件供應商小島（Kojima）發生數據泄露，導致豐田不得不停止運營以保護他們的數據。由于這次停工，該公司無法生產1.3萬輛汽車，占其月生產計劃的5%。該漏洞還影響了豐田子公司的一些業務，導致產量下降，并可能影響到它們的凈利潤。據悉，這次攻擊發生在日本加入西方盟國對俄羅斯入侵烏克蘭發布制裁之后，盡管目前還不確定這次襲擊是否與俄羅斯有關。

2022年常見的內部攻擊媒介

內部人員群體可以通過多種方式實施數據犯罪：在線或離線，有意或無意。Verizon的《2022年數據泄露調查報告》概述了兩種常見的內部威脅：

特權誤用（Privilege misuse） 

特權誤用是指以不適當的方式使用特權訪問。Verizon的《2022年數據泄露調查報告》顯示，78%的特權濫用案件是出于經濟動機。兩種最常見的權限誤用類型是權限濫用（privilege abuse）和數據處理不當。

特權濫用占所有特權誤用案例的80%，是指具有特權訪問權限的欺詐或惡意活動。數據處理不當占特權誤用事件的20%，涉及內部人員漫不經心地處理敏感數據。與特權濫用不同，數據處理不當事件背后通常沒有惡意。

各種各樣的錯誤

根據Verizon 《2022年數據泄露調查報告》指出，內部行為者無意中犯下了各種錯誤。犯下此類錯誤的高層內部人員通常是特權用戶（系統管理員和開發人員）和其他終端用戶。他們最常犯的錯誤是：

• 錯誤配置，占比40%；
• 傳遞不當，占比40%；
• 發布、編碼錯誤以及其他錯誤，占比20%；

內部威脅事件的主要原因

現在讓我們根據根本原因對內部威脅進行稍微不同的分類。波耐蒙研究所（Ponemon Institute）的《2022年內部威脅成本全球報告》概述了內部威脅事件的主要原因：

• 雇員或承包商疏忽，占比56%；
• 有犯罪意圖和惡意的內部人士，占比26%；
• 憑據盜竊，占比18%；

憑據盜竊

憑據盜竊是進入組織受保護邊界的最常見方法之一。使用合法憑據，黑客可以在系統內操作很長一段時間而不被發現。為了獲取用戶登錄名和密碼，犯罪者會使用社會工程、暴力破解、憑據填充和其他攻擊媒介。

有犯罪意圖和惡意的內部人士

有犯罪意圖和惡意的內部人員構成了重大威脅，因為他們知道組織的網絡安全措施和敏感數據。利用這些知識，他們可能會竊取或泄露數據，破壞操作，或者向外部攻擊者提供訪問組織資源的權限。

雇員或承包商疏忽

員工或承包商的疏忽導致了大多數內部威脅安全事件，但此類事件的緩解成本通常最少。人為錯誤的例子包括將敏感數據發送給錯誤的接收者、錯誤配置環境以及使用不安全的工作實踐。

導致新的內部威脅風險的因素

據Gartner稱，攻擊面擴大是2022年的網絡安全趨勢。隨著混合辦公、公共云和供應鏈風險帶來新的內部威脅挑戰，這一趨勢將持續下去。

云內部攻擊

云內部攻擊是由已經訪問或永久訪問云環境的內部人員實施的攻擊。根據Cybersecurity Insiders發布的《2023年內部威脅報告》指出，53%的網絡安全專業人士認為，在云中檢測內部攻擊比在內部部署環境中更難。

供應鏈攻擊

供應鏈攻擊的目標是公司第三方供應商或合作伙伴的漏洞，以獲得對公司系統或數據的未經授權訪問。Gartner預測，到2025年，軟件供應鏈攻擊將影響45%的組織，這是2021年記錄的三倍。

混合辦公環境

混合辦公環境是另一個吸引眼球的因素。在混合辦公環境中，員工將遠程工作與現場工作結合起來。根據Cybersecurity Insiders的《2023年內部威脅報告》指出，68%的受訪者擔心，隨著他們的組織重返辦公室或向混合工作過渡，內部風險會進一步加劇。

內部威脅正變得越來越頻繁

內部威脅的比例持續上升。盡管內部風險管理能力不斷發展，但根據Cybersecurity Insiders的《2023年內部威脅報告》顯示，74%的組織表示內部威脅有所增加。

波耐蒙研究所（Ponemon Institute）發布的《2022年全球內部威脅成本報告》也證實，由憑據竊取、惡意內部人士和雇員或承包商疏忽3個因素造成的內部威脅正變得越來越頻繁，具體如下圖所示。

【內部事件的平均數量】

內部威脅的成本不斷上升

在Cybersecurity Insiders發布的《2021年內部威脅報告》中，82%的受訪組織無法確定內部攻擊造成的實際損害。量化內部攻擊的影響是具有挑戰性的，因為存在不同類型的損害，并且攻擊的結果通常是非線性和不明確的。

內部威脅的總成本包括三個部分：

• 直接成本：用于檢測、緩解、調查和恢復的資金；
• 間接成本：用于處理事件的資源和時間成本；
• 喪失機會成本：由于攻擊而喪失客戶信任和品牌名譽；

這些費用每年都在上升。

波耐蒙研究所對內部威脅的成本進行了三次研究：2018年、2020年和2022年。根據這些研究，2018年至2022年間，內部威脅的總平均成本增加了76%，從2018年的876萬美元飆升至2022年的1540萬美元。

【內部威脅事件的總平均成本】

來自北美的公司受到內部攻擊及其后果的影響最大：該地區的平均成本在四年內從1110萬美元增加到1753萬美元。

2016年至2022年間，單個內部威脅事件的平均總支出也增長了85%。減輕內部威脅涉及監視、調查、升級、事件響應、遏制、事后分析和補救等方面的支出。

為了防止這些內部威脅趨勢的破壞性后果，組織需要及時檢測員工構成的威脅，但這并不像看起來那么容易。

檢測和防止內部攻擊的時間成本

內部事件潛伏時間越長，后果就越嚴重。有些漏洞可能數月甚至數年都未被發現。

檢測惡意內部人員的活動具有挑戰性，因為他們確切地知道敏感數據的存儲位置以及實施了哪些網絡安全解決方案。檢測無意的內部人員也具有挑戰性，因為它涉及跟蹤組織中所有用戶的所有操作。

根據波耐蒙研究所發布的《2022年內部威脅成本全球報告》顯示，檢測和控制內部威脅事件平均需要85天。只有12%的內部事件在31天內得到控制。

防范內部威脅的最佳策略

日益增加的內部威脅需要使用先進的程序和技術來完善內部威脅保護措施。

Gartner預測，到2025年，一半的中型和大型企業將采用正式的內部威脅計劃，而目前這一比例僅為10%。

公司用來檢測和防止內部欺詐和其他威脅的工具是基于統一可見性的，這意味著所有用戶活動都可以從一個地方看到。在Cybersecurity Insiders發布的《2021年內部威脅報告》中，大多數受訪組織認為統一可見性很重要。

市場上有如此多的網絡安全工具，很難專注于一條特定的防線，并選擇以最小的努力提供最佳結果的內部威脅管理軟件。

根據《2022年全球內部威脅成本報告》，特權訪問管理（PAM）、用戶和實體行為分析（UEBA）和數據丟失預防（DLP）是預防內部威脅的前三大技術。

原文鏈接：https://www.ekransystem.com/en/blog/insider-threat-statistics-facts-and-figures