什么是內部威脅？內部威脅被定義為來自您自己公司內部的網絡安全威脅。它可能是雇員或供應商——甚至是前雇員。任何對您的網絡具有有效訪問權限的人都可能是內部威脅。處理內部威脅并不容易，因為您信任您的數據和系統的人是他們的責任人。

內部威脅的類型

內部威脅分為三種類型：受感染用戶、粗心用戶和惡意用戶。

受損的員工或供應商

受損的員工或供應商是您將面臨的最重要的內部威脅類型。這是因為你們都不知道他們受到了損害。如果員工通過單擊電子郵件中的網絡釣魚鏈接授予攻擊者訪問權限，則可能會發生這種情況。這些是最常見的內部威脅類型。

粗心的員工

粗心的員工或供應商可能成為攻擊者的目標。讓計算機或終端解鎖幾分鐘就足以讓一個人獲得訪問權限。向普通用戶（或更糟的是，使用軟件系統帳戶）授予 DBA 權限來執行 IT 工作也是粗心的內部威脅的例子。

惡意內幕

惡意攻擊者可以采取任何形式或形式。他們通常擁有對系統的合法用戶訪問權限，并故意提取數據或知識產權。由于他們參與了攻擊，他們也可以掩蓋他們的蹤跡。這使得檢測更加困難。

檢測內部威脅

今天使用的大多數安全工具都試圖阻止合法用戶受到損害。這包括防火墻、端點掃描和反網絡釣魚工具等。它們也是最常見的違規類型，因此付出如此多的努力來阻止它們是有道理的。其他兩種類型的配置文件并不那么容易處理。由于粗心的行為，幾乎不可能知道什么系統事件有效或無效。網絡和安全管理員可能不知道應用程序行為背后的背景，因此在為時已晚之前不會注意到任何可疑的東西。同樣，對于惡意攻擊者，他們將了解貴公司安全系統的來龍去脈。給他們一個很好的機會在不被發現的情況下逃脫。

檢測內部威脅的最重要問題是：

1. 合法用戶

威脅的性質使得它如此難以預防。由于演員使用其真實的登錄配置文件，因此不會立即觸發警告。不經常訪問大文件或數據庫可能是他們日常工作要求的有效部分。

2.系統和軟件上下文

為了讓安全團隊知道正在發生可怕的事情，他們需要知道糟糕的事情是什么樣的。這并不容易。通常，業務部門是其軟件方面的專家。如果沒有正確的上下文，幾乎不可能從安全運營中心檢測到真正的內部威脅。

3.發布登錄活動

在每個用戶登錄系統后跟蹤他們的活動是很多工作。在某些情況下，需要檢查原始日志，并研究每個事件。即使使用機器學習 (ML) 工具，這仍然需要大量工作。它還可能導致報告許多誤報，給問題增加噪音。

內部攻擊指標

檢測攻擊仍然是可能的。有些跡象很容易發現并采取行動。

內部威脅的常見指標是：

• 無法解釋的經濟收益
• 服務帳戶濫用。
• 多次登錄失敗。
• 軟件訪問請求不正確。
• 大數據或文件傳輸。

使用查找這些項目的系統和工具可以幫助發出攻擊警報。雖然定期端點掃描（每天）將確保工作站遠離病毒和惡意軟件。

識別系統中的漏洞

識別違規行為始于安全團隊了解正常行為。正常行為應該映射到最低的訪問和活動。日志中應包括用戶 ID、工作站 IP 地址、訪問服務器的 IP、員工部門和使用的軟件。此外，了解訪問了哪些數據庫、讀取了哪些模式和表以及執行了哪些其他 SQL 操作，將有助于安全團隊識別違規行為。

使用機器學習檢測內部威脅

機器學習帶來巨大投資回報的一個領域是網絡威脅檢測。雖然它不是魔術，但它可以突出顯示您的資源指向何處。通過將系統的狀態和行為信息提供給機器學習算法，可以快速識別奇怪和可疑的行為。用戶和連接類型、角色訪問和應用程序權限、工作時間和訪問模式等信息可以迅速傳遞給 ML 應用程序。

可以通過將以下內容映射到警報過程中來了解超出上述正常系統狀態的內容：

• 列出每個應用程序的表訪問權限。
• 指定使用的服務帳戶憑據和架構。
• 監控通常的數據存儲位置。

通過威脅評分防止內部威脅

通過關聯上述類型的信息，您可以為每個用戶活動創建威脅評分。將其與用戶的憑據相結合，您可以在發現漏洞后立即提醒安全團隊。使用這種類型的分析對行業來說是新事物。早期的實施已經成功地幫助公司在競爭對手中獲得優勢。

供應商開始提供定制的安全風險管理解決方案，包括：

• 行為分析
• 威脅情報
• 異常檢測
• 預測性警報

內部威脅統計

33% 的組織曾面臨過內部威脅事件。

三分之二的內幕事件是由承包商或員工的疏忽造成的。

69% 的組織在過去 12 個月內曾嘗試或成功地遭受過數據威脅或損壞。

遏制內部威脅平均需要 72 天。

積極應對內部威脅

使用歷史數據可以幫助您快速為每個用戶建立風險概況。將他們的日常交互與您管理的數據映射起來，您可以了解高風險概況在哪里。這將使您能夠主動參與您最關心的領域。盡管網絡中的任何一點都存在風險，但提升的訪問權限最有可能被濫用。使用活動目錄策略對這些用戶配置文件實施關鍵指標監控將減少您面臨的風險。

審計離職員工，確保他們的證書被撤銷并且他們不會帶著公司數據離開也很重要。將近70% 的即將離職的員工承認，他們會隨身攜帶一些數據。如果憑據也完好無損，您也可以為他們敞開大門。特權訪問管理是管理用戶的好方法。盡管意外的內部威脅仍然是最大的擔憂，但可能導致最嚴重災難的是惡意威脅。