發現內部威脅并不容易，有許多行為指標可以幫助您發現潛在威脅來自哪里，但這只是成功的一半。有效的內部威脅檢測還需要全面的工具，允許您監視可疑用戶的會話并跟蹤他們的活動。

在本文中，我們將描述哪些內部威脅行為指標可以幫助您發現潛在的惡意參與者，同時還提供有效的內部威脅防范策略，以幫助您阻止、檢測和破壞內部威脅。

內部威脅類型 

內部人員是有權訪問關鍵數據和系統的員工或第三方承包商。然而，并不是每個內部人員都具有相同級別的訪問權限，因此也并非每個內部人員都會構成相同級別的威脅。Verizon概述了五種最常見的內部威脅類型：

• 心懷不滿的員工—很多事情都會讓員工心懷不滿：升職或加薪被拒絕，與同事和經理的關系不好，等等。心懷不滿的內部人員可能會利用他們的職位之便進行報復，給公司造成嚴重的傷害。
• 惡意的內部人員—這些員工會濫用他們的訪問權限來竊取、泄露或刪除有價值的公司數據。惡意的內部人員和心懷不滿的員工之間的主要區別在于他們的動機。心懷不滿的員工濫用數據是一種情緒反應，而心懷惡意的內部人士通常會為了經濟利益或間諜活動而實施網絡犯罪。
• 疏忽的員工—內部人員可能會無意中泄漏數據或破壞公司的基礎設施。根據波耐蒙研究所（Ponemon Institute）的《2023年內部威脅成本全球報告》指出，疏忽的內部人員占所有內部威脅的55%。
• 自作聰明/自以為是的員工—當員工或承包商不遵循網絡安全的最佳實踐時，很容易遭受網絡攻擊。根據同一份報告顯示，在2023年，20%的事件涉及自以為是的內部人員。
• 第三方供應商和承包商—類似網絡安全控制不足的問題通常會出現在第三方用戶這邊。雖然您可以審核他們的安全控制作為您選擇過程的一部分，但這仍然無法保證您的敏感數據的完全安全。

如上所述，并非每個危險的內部人員都是惡意的。還有一個很大的風險是出于無心的錯誤，這大多是由員工和承包商犯下的。任何公司都可能成為這些錯誤的受害者，但試圖消除人為錯誤卻是異常艱難的過程。

最好的辦法是提高員工的內部威脅意識，踐行最佳安全實踐，并制定網絡安全政策，以限制人為錯誤的可能性，并在出現錯誤時幫助減輕損失。

接下來，讓我們更詳細地看看內部威脅背后最常見的動機。

內部攻擊的目標

內部人員可以根據自己的動機瞄準各種資產。通常，他們關注的是那些可以在黑市上輕易出售的數據（如客戶或員工的個人信息），或者對公司運營至關重要的數據（如營銷數據、財務信息或知識產權）。最常見的內部攻擊目標包括：

• 數據庫
• 文件服務器
• 端點
• 特定的應用程序
• 移動設備
• 網絡
• 云存儲

根據Paul Furtado和Jonathan Care的《主動內部風險管理的3條規則》（The Rule of 3 for Proactive Insider Risk Management）所述，最常見的內部威脅活動可以分為三種方案，即欺詐、數據盜竊和系統破壞，這些方案被認為是違反政策或非法的。內部威脅的情況不僅僅局限于統計數據。在《超越恐懼》（Beyond Fear）一書中，著名的安全專家Bruce Schneier對惡意內部人員進行了全面的研究，揭示了不同的類別和驅動其行為的動機：

• 機會主義者—這些內部人員不會提前計劃惡意行動，而是決定在機會出現時實施攻擊。經濟困難和以前的可疑行為歷史可能是這種攻擊的警告信號。
• 有計劃的攻擊者—這些內部人員通常很難被阻止。他們會事先計劃行動，且通常針對非常具體的數據。即使發生了這種攻擊，也很難檢測到。
• 情緒型攻擊者—這些員工攻擊的主要動機是情緒和感覺，如恐懼、貪婪或憤怒。他們不是等待機會，而是自發地攻擊，且通常缺乏詳細的計劃。有時，他們甚至想被抓住，以引起人們對他們問題的關注。情緒型攻擊者的一個常見例子是心懷不滿的員工。
• 恐怖分子和數字激進分子—這些內部人員通常會策劃他們的攻擊活動，且目的并非竊取數據，只是試圖盡可能地造成破壞，例如，通過破壞公司網絡基礎設施并從內部將其摧毀。

除了以上四種類型，Bruce Schneier還提到“朋友和親戚”也是另一種不容忽視的惡意內部人員，他們可以通過訪問朋友或家人的電腦來實施欺詐或數據盜竊。在與分包商和遠程工作者打交道時，這群內部人員非常值得考慮。

好消息是，內部攻擊（無論是有計劃的還是自發的）多多少少會存在一些跡象。檢測到它們可以幫助您及時防止攻擊，或者至少能夠得到早期預警。接下來，我們來探討一下需要注意的最常見的內部威脅指標。

惡意內部人員的主要行為指標

檢測惡意的內部攻擊可能是非常困難的，特別是當您面對的是一個有計劃的攻擊者或一個對您公司的來龍去脈了如指掌的心懷不滿的前雇員時。檢測此類攻擊的一種方法是關注內部威脅行為的各種指標。

惡意的內部人員可能會根據他們的個性、動機和目標做出不同的行為。然而，有一些常見的內部威脅跡象值得注意：

1、不滿情緒

如上所述，當員工對自己的工作不滿意或認為組織存在不當行為時，他們更有可能進行內部攻擊。員工不滿的跡象有很多。最明顯的包括以下幾點：

• 經常與同事和主管發生沖突。
• 表現不佳和日常拖拉，如遲到早退，比平時犯更多的錯誤，經常錯過截止日期等。
• 不合理的缺勤。
• 系統性地違反組織政策。
• 尋找其他的就業機會 。

這些指標最容易被員工的團隊領導、同事或人力資源部門發現。當然，對工作不滿意不一定會導致內部攻擊，但它可以作為一種額外的動機。及時的談話可以減輕這種威脅，提高員工的工作效率。

收到解雇通知的員工也會帶來風險，無論他們的行為如何，都應該受到監控，直到他們離開工作場所為止，而且此時他們對公司基礎設施的訪問權限應立即被取消。

2、不同尋常的熱情

有時，員工可能會對額外的工作表現出不同尋常的熱情。這可能包括以下幾點：

• 沒有特別要求就加班
• 一再主動要求做額外的工作
• 在非正常時間工作
• 試圖執行超出其正常職責范圍的工作
• 沒有正當理由在家工作

所有這些操作都應被視為員工試圖擴展對敏感數據的訪問權限。雖然不一定是惡意的，但這種行為值得特別關注，以確保他們沒有復制或以其他方式篡改敏感數據。

3、頻繁的旅行和假期

我們可能認為間諜活動是詹姆斯·邦德（James Bond）電影里才有的東西，但統計數據告訴我們，這是當今一個真實存在的威脅。雖然大多數數據泄露仍然是出于經濟考慮，但間諜活動是導致數據泄露的第二大原因。根據Verizon的《2023年數據泄露調查報告》指出，在公共管理或自然資源和采礦等一些行業，間諜活動高達30-32%。

經常去其他城市甚至國家可能是間諜活動的一個明顯跡象。雇員可能在競爭對手的公司——甚至是政府機構——工作，并將您的敏感數據傳輸給他們。

潛在內部威脅的另一個早期跡象是，員工表現出可疑的國家忠誠度。這可能不僅意味著他們與其他國家的政府機構或公司合作，而且他們更有可能在數據出現時抓住機會竊取或破壞數據。

除此之外，頻繁出差也可能表明財務狀況發生了變化，這本身就是潛在內部威脅的一個很好的指標。

4、無法解釋的財務狀況變化

如果員工在沒有任何明顯的額外收入來源的情況下意外地還清了債務或進行了昂貴的采購，這也許表明他們可能從您的敏感數據中獲利。這分為以下幾種情況：

• 雇員可能是被競爭對手刻意接近并被迫從事工業間諜活動
• 雇員可復制并出售您的數據以獲取利潤
• 雇員可以利用您的商業競爭數據，比如客戶名單，來奪取您的市場份額

總的來說，財政情況的任何意外和迅速變化都是令人關切的，應作為密切監測的一個重要指標。

但是金錢并不是強迫雇員——即使是忠誠的雇員——從事工業間諜活動的唯一方式。競爭公司和外國政府有時還會利用有害信息敲詐或威脅您的員工。例如，有關以前吸毒成癮或法律問題的信息，如果落入壞人之手，便可以有效地用來對付員工。限制這種情況的一種方法是使用背景調查，以確保員工沒有可用于勒索的未公開歷史。

5、意外地想要離開公司

當一名員工突然決定離開您的組織而沒有提供通知或解釋時，這可能表明存在內部威脅。此外，如果一名即將離職的員工在離職前下載了大量敏感數據，也應該引起警惕。

您還應該記住，如果員工在不利的情況下離開公司，比如糾紛或解雇，惡意行為的風險可能會增加。考慮到這一點，您應該看看離職員工過去的網絡活動，確保他們沒有做任何不尋常的事情或訪問他們不應該訪問的數據。至少有必要回顧一下他們在過去90天里的活動。

確保適當的離職流程也很重要——確保立即撤銷離職員工的訪問權限，停用他們的賬戶，并將他們從電子郵件組和分發列表中刪除。

需要關注的數字內部威脅指標

除了行為威脅指標，您還可以發現一些數字威脅指標。主要的數字網絡威脅指標包括以下幾點：

• 異常登錄時間—如果員工或供應商在異常時間登錄到您的系統，這可能是他們試圖在不被發現的情況下訪問您的敏感信息的信號。
• 訪問用戶職責以外的數據—當用戶尋求訪問超出其工作角色范圍的敏感數據時，這也是惡意內部威脅的危險信號。
• 搜索敏感數據—增加系統搜索的合法用戶也可能是內部威脅的潛在指標，因為他們可能試圖查找和泄露機密數據。
• 大數據下載和傳輸—如果您檢測到網絡流量激增，這可能表明大量公司文件被復制或通過電子郵件發送到您的組織外部，用于惡意目的。
• 使用未經授權的USB設備—內部威脅的關鍵指標之一是用戶運行查詢并將關鍵數據下載到未經授權的設備。
• 創建新的供應商賬戶和采購訂單批準—當用戶創建新的供應商賬戶、采購訂單或申請時，他們的行為需要被調查，因為他們可能會生成“幽靈”賬戶或訂單以獲取經濟利益。
• 禁用殺毒軟件或防火墻—內部人員在進行未經授權的活動時可能會禁用安全控制以避免被發現。
• 安裝未經批準的軟件—惡意行為者可能試圖繞過安全控制并使用第三方工具泄露敏感數據。

您需要認真對待這些行為，并考慮到它們的潛在威脅。應對內部威脅的關鍵一步是制定一個全面的戰略。

內部威脅防范策略

要采取全面的方法來預防內部威脅，您需要一個全面的策略，具體應該包括以下關鍵步驟：

1、執行網絡安全策略

每個處理組織關鍵數據的人都應該知道保護數據安全的注意事項。更具體地說，您應該定義使用公司系統的指導方針，在發生網絡安全事件時采取的步驟，以及如何發現潛在的惡意行為者。所有這些信息都應該記錄在您的網絡安全政策中。這將幫助您提高員工的網絡安全意識，并最大限度地減少無意和有意的內部威脅的數量。

2、加強對關鍵資產的保護

確定組織的關鍵資產及其優先級，并確定它們當前的防護狀態。根據敏感資產對組織的影響程度對其進行優先級保護。然后，您可以通過將對您最有價值的資產的訪問最小化來限制攻擊面，只允許最少量的人訪問，并且只允許他們在執行職責所需的特定時間內訪問。在多個用戶之間劃分關鍵任務和相應的訪問權限也是一種有效的做法，有助于減少特權濫用的風險。

3、為正常的用戶行為創建一個基線

通過區分正常行為和可疑行為的能力，您可以在網絡安全事件發生之前發現潛在的危險用戶活動。考慮實現用戶和實體行為分析（UEBA）解決方案來跟蹤用戶行為。UEBA首先收集用戶活動數據（常見的登錄和注銷時間、擊鍵動態等），對其進行分析，并為網絡中的每個用戶創建正常行為的基線。一旦檢測到與基線的偏差，您將收到通知，以進一步調查該事件。

4、獲得用戶活動的可見性

您可以通過部署監控軟件來增加用戶如何處理敏感數據的可見性。使用用戶活動監控工具，您可以清楚地了解員工啟動了哪些應用程序，訪問了哪些網站，插入了哪些USB設備，輸入了哪些內容等。您可以利用這些信息來檢測可疑活動，并減少數據泄露和其他網絡安全事件的可能性。

5、創建一個內部威脅程序

如果您還沒有，建議現在立即啟動一個內部威脅程序。一個全面的內部威脅程序不僅可以幫助您檢測內部威脅，還可以幫助防止它們并減輕其后果。為了獲得最佳效果，建議使用專業內部威脅管理軟件來支持您的程序。

原文標題：Key Cybersecurity Insider Threat Indicators to Pay Attention To。

鏈接：https://www.ekransystem.com/en/blog/insider-threat-indicators。