如何发现内部威胁？如何防范内部威胁？

NITAM发布公告列举了最近内部威胁带来的案例：

2022年8月，推特员工Ahmad Abouammo被定罪。案件中，他接受了贿赂，用个人名义访问、监控推特用户的私人信息，并将其传递给沙特阿拉伯王国和沙特王室的官员。

2022年7月，前中情局雇员约书亚·舒尔特（Joshua Schulte）被定罪，他利用在中情局的权限访问了他国一些最有价值的情报收集工具，并秘密收集相关材料还将其提供给了维基解密（WikiLeaks）。

2022年6月，前美国陆军直升机飞行员，后转职为民用承包商的沙普·莫伊尼安（Shapour Moinian）认罪。案件中表示，他接受了中国政府代表所提供的数千美元，以向其国防承包商雇主提供航空相关信息。

Code42首席执行官兼总裁、今年内部威胁峰会主席乔·佩恩（Joe Payne）以另一个例子拉开了本次活动的序幕：“Pegasystems公司所犯下的罪行可能是多年来我们所见过的最严重的内部威胁案例。”此案件由弗吉尼亚州费尔法克斯县巡回法院的陪审团报导：低代码平台提供商Pegasystems雇佣了政府承包商的员工监视美国互联网软件技术型公司Appian，以学习如何更好地与 Appian 竞争，因此Appian向Pegasystems 索赔了20.36亿美元的赔偿金。

佩恩说：“经过此事之后，Appian公司将获得20亿美元的赔偿金，市值约为30亿美元，而Pegasystems公司的总价值还不到20亿美元。我们可以从案件中很清楚地看到，承包商所造成的数据安全问题能有多严重，因此该警醒，内部威胁防范对当下的各行各业来说都是极其重要的。”

在最近的内部威胁例子中，推特前安全主管佩特·扎特科（Peiter Zatko）在参议院某小组面前，为推特工资单上存在中国特工这一事作证，同时他还对社交媒体公司工资单上的其他外国代理商表示担忧。

这些痕迹明显的内部风险案例被认为是有意或恶意的，而不是无意或非恶意的。Mandiant内部威胁管理董事乔恩·福特（Jon Ford）说道：“无意的威胁包括了粗心的内部人员，他们在大多数研究和学术活动中经常会被忽视，甚至不被包括在内部威胁的定义中，而这往往是安全问题上的主要缺陷，因为谁都有可能因为忽视而造成安全事件，‘无意威胁’的载体是庞大的，所以在基数更大的群体中更容易突发安全事件。就像大多数研究所表明的那样，粗心的内部人员才是造成50%至75%内部威胁事件的罪魁祸首。”

事实证明，很多时候确实如此。SafeBreach的CISO Avishai Avivi介绍说，他们公司为了培训新员工，培训团队会下发一份包含客户真实SSN的电子表格，并简单地隐藏了所有包含SSN的列。结果，由于其中一名员工希望在家能够继续培训，便将电子表格通过公司电子邮件发送到了他个人的邮箱里，这一行为差点导致了整个公司所有客户的个人信息包括SSN被泄露。

CybSafe首席执行官兼创始人Oz Alashe MBE对此表示：“我不认为最大的内部威胁、内部风险是那些蓄意、恶意窃取信息的群体，而是员工在不经意间所做的事，正是这些事增加了组织/公司的风险。”

事实上，由于内部威胁事件具有高度公开性，所以大量的案例表明，涉及民族国家的事件并不多，即“外国间谍”的案例在少数，因此可以说大多数内部威胁都是非恶意的。Red Goat Cybersecurity合伙人丽莎·福特（Lisa Forte）表示：“扎特科（Zatko）的指标涉及外国政府间谍潜入到了推特（Twitter）的内部，像这种情况确实极为罕见。”

而在国内，像这样极为罕见的案例在今年也出现过。2022年4月，“境外公司谎称调研窃取我国高铁数据”的话题冲上热搜。案件中，上海某信息科技公司员工王某利用职位之便，通过勘验相关的电子设备，向境外势力提供我国大量的高铁数据，其行为涉嫌《中华人民共和国刑法》第111条规定的为境外刺探、非法提供情报罪。

而根据福特的说法，更常见的案件是关于企业或工业间谍的，其中像企业知识产权被盗并交给竞争对手的案例是较为常见的，且这些行为往往存在着跨国。福特说：“然而这些案件并不涉及政府的‘间谍’，而是涉及那些想赚钱或想讨好公司的竞争对手以获得相关利益的员工。”。

同时他还补充道，即使工资单上的外国间谍是一种罕见的内部威胁，企业和员工也必须了解这种风险以及这些风险背后的操作方法，以便他们能够及时地识别出间谍。很多情况下，当企业中的工作人员被诱骗获取商业机密时，他们往往都会认为自己只是参加了一个和企业毫不相干的商业会议，他们并不能意识到自己正在上当受骗，这是企业需要引起警惕的。

发现内部威胁的手段各不相同，这取决于企业可能会面临的威胁类型，到底是恶意的还是无意的。阿拉斯说，如果企业面对的是恶意威胁，那就要注意企业内部一些反常的行为变化。“个人登录账户、注销账号的时间，或者电子邮件流量的变化，或者某些行为异常的举措，企业可以把这当作‘加强对员工关心’的管理方针。”

对企业不满、对上级领导不满或将被解雇的员工可能存在恶意行为倾向，这可被认为是内部威胁的一种迹象。阿拉斯说：“大多数企业或者组织都会存在这样的现象，就是他们中的某员工将要离开公司了，但这些员工的访问权限还是没有及时关闭，这就极有可能为公司带来内部威胁的风险。”

福特说，除了公司或工业间谍的情况外，企业数据盗窃案例常会被视为“就业终止事件”，缘于在几乎所有被观察到的案件中，数据盗窃事件都是在某员工辞职前一个月内发生的。此外，根据Forte的说法，盗窃案件中存在的两个至关重要因素：对工作不满的员工和对工作充满占有欲的员工。

比如国内所发生的各大“删库”事件：北京百度网讯科技有限公司一员工因不满公司派其他员工接手项目，对百度公司可视化项目程序数据库内的数据进行删改，构成破坏计算机信息系统罪，被判处有期徒刑9个月，缓刑1年；京东一名29岁的程序员未经公司许可，在离职当天，私自将公司即将上线的京东到家平台系统代码全部删除，被判处有期徒刑10个月等。

另一方面，当涉及到非故意的内部威胁时，福特表示：“员工大多数的失误都是出于‘方便’或者‘习惯’，比如共享重要凭据、将文件复制到个人手机、将文件存储在个人云端等，这些行动也大大提高了内部威胁的几率，哪怕它们都不是恶意的。”

非恶意内部威胁还有另一个衡量标准，就是看企业员工有没有完成安全意识培训。阿拉斯说：“培训会改变员工的行为，因为企业能让员工知晓各类危害，这会使人注意自己的行为。”

至于如何防范内部威胁，福特表示，组织可以采取适当的措施将内部威胁的程度降至最低。“首先是要进行全面的内部威胁能力评估，这将有助于确定现有差距，也能看到企业在哪些领域里有待改进。之后利用从评估中所获得的见解，企业可以制定有效的内部威胁计划，管理员工隐私与安全，并同时明确企业内部的各项组件、功能、范围和治理结构。”

福特表示，防范内部威胁的具体步骤取决于威胁类型：欺诈、盗窃或破坏。为了最大限度地减少内幕盗窃，福特建议，除其他事项外，组织应识别最具商业敏感性的资产，并同时管理好能够接触到这些资产的人员，为他们提供强化版的内部威胁培训。他说：“在某些情况下，人们意识不到他们正在处理的报告是不可以随便复印的。”

企业还应对核心区域的进出进行管制，制定对应的相关规章制度，对企业数据中心进行规范化的管控，比如建立机房进出日志、系统维护日志、异常状况处理日志等，确保所有进入机房的访问均经过审批和等级，企业外部人员进入机房必须有IT人员陪同，机房安装门禁系统及视频监控，定期对机房进、出记录进行审核。

另一方面还需要强化人员管理，比如加强信息系统维护人员的管理，比如重要职务建立人员备份机制，明确责任管理机制，做到责任到人，制定针对运维人员的系统操作规章制度，定期进行信息安全培训和技能培训，组织定期考核，提高人员信息安全意识和技术水平。

而在系统安全方面，系统权限应实行分权管理，系统账号实名到个人，企业员工须通过合理流程申请账号及权限，员工离职应移除或停用其账号及变更其权限。系统账号须及时修改默认密码，制定系统密码策略，如密码至少为6个字符，须同时含有数字及英文字母，密码需要定期更换。

最后在终端安全方面，企业需要对内部终端设备，如笔记本电脑、台式电脑等进行域控管理，通过域控制器对员工账号进行安全集中管理、软件集中管理、系统环境集中管理。内部终端设备均须部署防病毒软件，通过后台统一管理更新病毒库，设置定期扫描计划，及时发现并清除内部终端病毒木马等。

对于该如何防护好内部威胁、如何预防接下去千变万化的威胁趋势，国内安全专家如此建议。

某A+H股上市公司信息安全负责人孙琦认为，所谓内部的威胁，更多的是我们可控和可知的威胁，他个人坚持攘外必先安内+持续安全考核的观点。攘外必先安内，孙琦要说明的是我们投入了大量资源所构筑的“马奇诺防线”很容易因为一些内部的“不经意”或“无意识”的举动而被攻击方轻易饶过，这个结果是非常尴尬也是非常致命的。

“信息安全工作的特点决定了它是一个持续性的工作，从‘意识到安全’，再到‘需要安全’，这便是一条不断进行自我变革的道路。为了实现安全目标，我们往往会借助现有的各种方法论和成熟的实践经验，但我觉得真正的安全就像一副被老中医亲自把脉后开出的方子，看似大部分的成分是一样的，但服药人的效果却因人而异，因为其讲究的是一个专人专药方。我前面提到的持续安全考核，即把安全培训作为常态化的考核内容落实到日常工作中去，培养安全意识远比培养技能要难得多，正因如此，我们更需要在这方面增加投入，通过技术+管理的有效组合，才能有效地处理‘内部威胁’。”

国内也有专家认为，在面对内部威胁时需要制定明确简明的安全策略及方案、程序管理要求、访问机制、明确用户责任和安全事件应急响应程序。营造浓厚的网络安全文化，和各个相关部门尽可能沟通并强调安全的重要性。或周期性的对所有员工进行安全意识教育，提高企业整体网络安全、数据安全保护意识，增强个人安全保护基本技能。

积极管理访问权限，尤其是特权访问，因为用户的访问权限就是攻击者企图破坏的入口。最小化访问权限，且仅提供给必需的账户。但实现访问控制管理不能一蹴而就，需要根据组织变动和人事变动定期审查及时更新。

执行主动与被动控制，阻止敏感数据从组织内部流失，并监控用户行为是否异常。这种异常检测是识别用户执行异常活动的唯一途径。要优先应对最关键的威胁，并在最大程度上减少误报，将行为分析与其它风险因素关联，包括推动威胁成功的相关漏洞、攻击对组织机构带来金融或任务影响，以及资产价值。此外，从程序所有者（管理被攻击资产）处取得资格，协助判断异常活动是否属于正当业务行为。

内部威胁既是无法改变的事实，将来也不会消失。粗心大意的成员往往未接受这类安全培训，或缺乏安全开展工作的方式。难以识别并阻止恶意内部人员和被盗用的账户，是因为这些用户经常会在这些“空子”中迷失方向。然而，除了持续使用工具和程序以外，正确的网络安全习惯也会大大降低和缓解内部威胁带来的影响。

另一方面，某科技公司安全总监郑太海表示，无论是国家还是企业层面，内部威胁带来的危害都不亚于外部威胁。除了有预谋有策划的“有意”威胁之外，安全团队还要关注缺乏安全意识的情况和必要的安全知识导致的“无意”威胁。从危害影响范围来说，酿成事件的内部威胁范围广，程度深。例如程序员删库，恶意宕机，商业间谍等，造成的都是“面”的危害，而不像外部威胁那样很多情况下只是“点”的危害。

郑太海认为，作为安全负责人，对内部威胁的监控是其核心职责之一。建议采用UEBA的思路，根据企业内部或某行业的业务属性，预定义出不同的威胁场景，然后采用合适的数学模型，把网络流量、安全设备日志以及网络和服务器的一些运维日志，作为数据源输入，对不同场景下的威胁设置对应的告警策略，从而分析出真的威胁。例如高危运维命令的监控、敏感数据下载等场景，都需要把监控做起来。有时候甚至需要把产生告警的触发条件前置，才能更好地预防事件发生，例如账号共享、绕过堡垒机等场景，也需要纳入监控的范围。

最后，某集团安全专家梁龙亭对此总结，他说看到“内部威胁”，不自觉的就想从辩证唯物主义思想来作分析。

“内部威胁”是辩证唯物主义中的内因，内因是一事物区别于其他事物的内在本质，是事物发展的源泉和动力，它规定着事物运动和发展的基本趋势。所以，内部威胁（内因）是第一位的原因，外部威胁（外因）是第二位的原因。形而上学则与之相反，主张“外因论”，认为事物的运动和发展完全是由外力推动的。而且，在现实场景中，大家的共同感触是绝大部分企业的绝大部分安全投入都是在应对“外部威胁”。因此，似乎出现一个非常有意思的现象，即我国企业都在形而上学的堆砌大量软硬件应对外部威胁，而国外企业都在唯物主义的应对内部威胁（梁龙亭表示，至少他的个人观察是这样）。

“从唯物辩证法角度分析。既然内因（内部威胁）是事物发展的根本原因，外因（外部威胁）是事物发展第二位的原因。那么，无论国家安全还是企业安全，都应该投入更多人力物力财力应对内部威胁，同时也需要关注外部威胁，因为只讲内因不讲外因，忽视事物发展的外部条件，也是片面的。毕竟，内因和外因在事物的发展中是同时存在、缺一不可的。”