內部風險不僅僅與惡意行為者有關，在大多數情況下，它是由失誤引起的，有人將敏感文件發送到錯誤的地址，或將文檔上傳到個人云以便在家工作，在許多情況下，這并非出于惡意，因為許多內部事件是由疏忽而非惡意造成的。

盡管如此，惡意的內部人員可能會造成毀滅性后果，有些人竊取知識產權，有些人則被外部團體賄賂或施壓，要求他們植入勒索軟件、竊取商業機密或關閉運營。

內部風險的影響已波及整個企業，不再局限于網絡安全團隊，據Code42稱，86%的人表示，內部事件會影響公司文化。

僅檢測是不夠的

據Capterra的高級安全分析師Zach Capers稱，適當限制數據的企業遭受內部攻擊的可能性降低一半，企業應遵循最小權限原則，確保員工只能訪問其工作所需的數據，應密切監控高權限用戶，并將管理權限的使用降至最低。

依賴工具是很誘人的，現代平臺可以標記異常行為、跟蹤文件移動并向安全團隊發出警報，但檢測并不能解決更深層次的問題。

對內部風險的純技術回應可能會偏離目標，我們需要理解人性的一面，這意味著要關注模式、動機和文化，過度監控而不考慮上下文可能會趕走優秀員工，反而增加風險而非降低風險。

在工作場所監控方面，清晰和開放至關重要。“透明始于有意的溝通，”MIND的首席技術官Itai Schwartz說，這意味著要向員工坦誠相告，不僅要告知他們正在進行監控，還要說明監控的內容、原因以及它如何有助于保護公司和員工。

Schwartz表示，當企業明確將監控與安全聯系起來而非監視時，通常會獲得員工的支持。“員工應該知道監控是為了保護數據——而不是監視個人，”他說。如果人們能看到這對他們和業務有何益處，他們就更有可能支持監控。

具體性是關鍵，Schwartz建議明確概述哪些活動、數據或系統正在被監控，并解釋警報是如何觸發的。“文檔應該易于查找、易于理解，并在入職和培訓期間得到強化。”他說。

道德監控也意味著劃定界限，Schwartz強調了比例原則的重要性：只收集相關和必要的信息。“讓員工了解他們的行為如何影響風險，并利用這些信息來指導而非懲罰他們，”他說。如果你的監控方法無法舒適地與團隊分享?“它很可能需要改進。”

最終，Schwartz表示，目標是“構建既尊重用戶隱私又保護企業數據的系統”。

簡單政策，智能訪問控制

通常，員工并不知道他們正在制造風險，令人困惑的政策會使情況變得更糟，安全團隊應制定簡短且與特定職位相關的政策。

不要將期望埋藏在無人閱讀的PDF中，使用真實案例對人員進行培訓，并向他們展示在日常任務中如何表現安全。

最小權限仍然是最重要的控制措施，將員工訪問權限限制為他們所需的文件和系統，但不要設置后就忘記，當人們換工作、承擔新項目或調換團隊時，權限會發生變化。

定期審查訪問權限，身份治理工具提供自動化工作流程來管理和審計訪問權限。

據Ivanti稱，僵化的安全協議(如復雜的身份驗證過程和高度限制性的訪問控制)可能會讓員工感到沮喪，降低生產力并導致不安全的工作方式。

在制定有效的安全政策時，簡單性和可用性應放在首位。“最好的安全政策是實用、具有上下文意識和人性化的，”MIND的CEO Eran Barak說。Barak主張采用能引導員工行為的政策，而不是依賴懲罰失誤的僵化規則。

這始于觀察，Barak建議不要憑空制定政策，而是要研究工作流程并圍繞這些模式制定規則。“首先要了解員工的工作方式，然后圍繞這些模式制定政策。”他說。模糊的指示幫助不大，因此最好包含具體細節——在Slack中分享什么是可以的，什么不能粘貼到AI聊天機器人中，以及何時應標記可疑內容。

為了保持政策的相關性，Barak建議建立反饋循環。政策不應隨著風險格局的變化而停滯不前。“它們應該發展，而不是停滯不前，”他說。重要的是，它們不應自上而下地頒布而沒有輸入。“與團隊共同制定政策，”他說。“對安全決策有歸屬感的人更有可能采納它們。”

當需要執行時，不必嚴厲，Barak建議使用自動化工具在實時中提供溫和的提醒——想想教育信息或要求用戶解釋其行為的提示，必要時再升級。“從溫和的減速帶和教育信息開始，在政策違規時近乎實時地提示，并允許用戶提供理由。”他說。

最重要的是，保持簡單。“如果一個政策不能用幾個要點或在Slack消息中解釋清楚，那么它就太復雜了。”Barak說。

行為比活動更重要

即使在最安全的環境中，人類行為仍然是一個重大漏洞。因此，網絡安全領導者必須采取積極主動、以人為本的方法來管理風險，Mimecast表示。

記錄每次點擊并無幫助，相反，要尋找變化的跡象，用戶是否開始在奇怪的時間登錄?他們在辭職前是否下載了大量數據?

行為分析工具可以揭示這些趨勢，但人們仍然應該是審查過程的一部分，算法可以標記，但人類必須決定什么是危險的。

據Protasec的首席安全官Josh Harr稱，獲得高層的支持并建立廣泛的意識至關重要。“我相信對風險本身的認識和支持是首要任務，”Harr說。“我向高管們提供了不使用企業中數據可能帶來的成本，以確保我們不會面臨更高的內部威脅風險。”

這種意識不應僅停留在高層。“對整個企業而言，意識也很實際，”他補充道。Harr主張對所有層級進行增量培訓，特別是對董事和管理層，以幫助他們識別行為中的潛在紅旗。“對董事、經理和其他人進行增量培訓，教他們如何識別行為，這大有幫助。”

為了將這種意識付諸實踐，Harr已在企業中實施了內部風險評分卡，這些工具在個人層面分析網絡釣魚模擬結果、終端活動和惡意軟件風險評分等信號。“這些評分卡使企業能夠采用基于風險的方法進行調查和威脅搜尋，”他解釋道。“通過為系統上的個人行為建立基準，領導者可以全面了解風險所在，從而保持充分了解。”

在減少內部風險方面，另一個未被充分利用的工具是許多行業已經常見的做法：訪問認證。“年度訪問審查有助于防止訪問范圍的擴大，”Harr指出——但前提是與行為監控和培訓相結合。“只有執行了上述措施。”他警告道。

鼓勵報告錯誤

安全取決于文化，員工必須感到安全，才能報告錯誤或可疑行為，如果他們害怕受到懲罰，就會保持沉默，風險也會增加。

“定期認可和表揚團隊中的網絡安全行為，不僅能提升那些勤奮工作的人，還能激勵其他人參與進來，這可能包括表彰遵循最佳實踐、識別潛在安全威脅或為改進安全做出貢獻的個人。”Optiv的網絡安全教育專家Emily Wienhold解釋道。

匿名報告工具、開放政策以及人力資源部門的支持都有助于此，提醒人們目標是保護而非懲罰也是如此。

文化在預防內部事件方面發揮著重要作用，同理心和培訓與技術同樣重要。

“通過培訓和清晰溝通，在整個企業中樹立安全第一的心態，確保風險管理適應新威脅，支持創新和合規。”Veracode的首席安全倡導者Chris Wysopal說。

與人力資源和法律部門合作

CISO無法獨自完成這項工作，人力資源團隊可以檢測員工的不投入并標記出問題的早期跡象，法律部門則有助于應對隱私和合規規則。

組建一個小型跨職能團隊來管理內部風險，該團隊應審查監控決策、指導調查并保護員工權利。

“真正的疏忽或故意行為應得到妥善處理，但分配責任和實施懲罰必須是在客觀、合理的調查之后的最后一步，它絕不應是默認反應。”Praxis Security Labs的CEO Kai Roer指出。