內部威脅要考慮哪些？怎麼防「內鬼」？

E安全4月16日文 長期以來，內部威脅事件頻佔頭條。如今企業和組織機構面臨的最大網路挑戰之一就是內部威脅。

對企業和組織機構來說面臨兩難局面，一方面要讓員工訪問有價值的信息和系統，以開展業務；另一方面，如果出現「內鬼」，組織機構就可能遭遇潛在攻擊。准許員工訪問有價值的信息和系統就意味著員工與僱主，或客戶與廠商之間建立了固有的信任關係。一旦雙方之間建立了成文或不成文的合同關係，員工或客戶不得將這些信息或系統用作他途。這就表示，即明確指出或暗示僱主或承包商不得故意或因過失泄露可能提高損失風險的關鍵資產。

那麼問題就來了，對於員工與僱主，客戶與廠商，哪些問題值得考慮？

• 當涉及保護信息和系統時，他們是否了解自己的職責？

• 是否履行職責需要遵守哪些規則？

• 履行這些職責時，僱主是否為他們提供相關工具？

• 他們是否在受保護的環境中工作，例如辦公室，或開放環境（例如咖啡館）？

• 為內部人員提供訪問許可權存在哪些固有風險？

• 員工是否對公司忠心耿耿？

• 是否具備危害公司的個人特徵？

此外，還應考慮操作挑戰，例如，管理人員許可權劃分，確保每個人只具備工作必需的訪問許可權（遵循最小許可權原則），並受監控。

還需要解決的問題是：如何發現內部威脅，並在造成損害之前加以阻止？

在過去，內部威脅通常集中在惡意內部人員身上，員工有意泄憤或牟利。本文源自E安全隨著內部威脅演變，已經發展成基於登錄憑證的威脅（有意或無意）。內部威脅也存在差異，更重要的是，來源和動機將決定潛在影響程度。

遺憾的是，要將內部威脅最小化需要時間和精力。

E安全小編給出以下方法供參考，或許可以幫助您更簡單、高效實現該目的：

1. 制定明確的簡明安全策略及方案、程序管理要求、訪問機制、明確用戶責任和安全事件應急響應程序。

2. 營造濃厚的網路安全文化，各個相關部門儘可能溝通並強調安全的重要性。

3. 周期性的對所有用戶進行安全意識教育，提高企業整體網路安全、數據安全保護意識，增強個人安全保護基本技能。

4. 將網路安全理念貫穿到業務流程中。構建應用程序時，人們才會考慮網路安全問題，但往往忽略了員工和承包商如何履行自身的安全職責。將網路安全融入到接觸寶貴資產的各方日常業務流程，從而減少非惡意的風險行為。

5. 積極管理訪問許可權，尤其特權訪問。

   用戶的訪問許可權就是內部人員（和惡意攻擊者）企圖破壞的入口。最小化訪問許可權，且僅提供給必需的賬戶。但實現訪問控制管理不能一蹴而就，需要根據組織變動和人事變動定期審查及時更新。

6. 識別核心數據和關鍵業務系統。

   當談及最具重要的資產時，管理攻擊面（一般包括用戶訪問和漏洞）更為重要。然而在特殊時候，需要重點保護這些極其重要的公司資產之前，組織機構需要了解具體的資產及其所在位置。

7. 執行主動與被動控制，阻止敏感數據從組織內部流失，並監控用戶行為是否異常。

   異常檢測是識別用戶執行異常活動（不一定會引發任何政策預警）的唯一途徑。要優先應對最關鍵的威脅，並在最大程度上減少誤報，將行為分析與其它風險因素關聯，包括推動威脅成功的相關漏洞、攻擊對組織機構帶來金融或任務影響，以及資產價值。此外，從程序所有者（管理被攻擊資產）處取得資格，協助判斷異常活動是否屬於正當業務行為。

另外，還應特別注意第三方這類高危險人群。

內部威脅既是無法改變的事實，將來也不會消失。粗心大意的用戶（在檢測工具中創建了大量「空子」）往往未接受這類安全培訓，或缺乏安全開展工作的方式。難以識別並阻止惡意內部人員和被盜用的賬戶，是因為這些用戶經常會在這些「空子」中迷失方向。本文源自E安全然而，除了持續使用工具和程序以外，正確的網路安全習慣也會大大降低和緩解內部威脅帶來的影響。

在防止內部威脅的同時，機構需要健全和完善的網路安全基礎設施建設，我國正在大力開展信息安全等級保護工作，目前大型企業已經具備信息安全保護的實力，而在中小型企業中，這一狀況有待加強，更多基礎信息安全建設詳細信息可以參考《信息安全等級保護管理辦法》。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱eapp@easyaq.com

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp），或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。