可能导致严重数据泄露的5种内部威胁

组织内部的违规事件通常是由组织内部的员工或领导者引起的，却是所有数据泄露事件中代价最高昂且最难检测到的事件。根据“2018年IBM X-Force威胁情报指数”调查报告，2017年数据泄露的事件中有三分之二是组织内部人员无意造成的结果，而组织的内部威胁也是导致网络攻击的主要原因，达到数据泄露事件总量的60%。同时，2017年因组织内部员工疏忽导致的错误配置的云计算服务器和网络备份事件中，总共泄露了20多亿条数据记录。

虽然组织将大量资源集中用于应对缓解外部威胁行为者，但内部风险可能对企业构成更大的财务威胁。根据调研机构波洛蒙研究所的“2018年内部威胁成本”报告，2017年由于组织内部人员引发事件，每个事件的平均损失为876万美元，是当年全球数据违规事件平均损失386万美元的两倍多。

组织管理内部威胁的传统方法是采用安全意识培训和访问治理来降低风险。虽然这些措施至关重要，但它们不足以减轻所有类型的内部员工风险。这是因为人类是非常多变的，没有考虑到内部人员的风险可能导致出现代价高昂的安全事件。

一、5种内部威胁

根据调研机构波洛蒙研究所的调查，组织的内部员工的无意行为是最常见的内部威胁形式，占数据泄露事件的64%，而外部攻击行为只占数据泄露事件的23%。然而，内部人员的风险比简单的疏忽和恶意企图更加复杂。

实施无意行为的内部人员既包括不响应培训的员工，也包括因错误配置的云计算网络等错误而产生后果的员工。在犯罪类别中，存在内外串通、长期恶意行为和破坏的情况。因此，彻底了解以下五种不同的内部风险类别，对于安全团队制定全面保障措施来说至关重要。

1. 非响应者

组织中实施无意识行为的员工通常是培训活动的非响应者。虽然这些员工可能不会故意疏忽行事，但他们是组织中风险最高的成员之一，因为他们的行为可能更频繁。 2017年，Verizon公司发现在特定网络钓鱼活动中，平均有4.2%的内部人员会点击恶意链接。具有网络钓鱼攻击历史的人员更有可能再次遭到网络钓鱼。

虽然一直以不安全方式行事的员工通常只是组织中一小部分，但其错误的总体影响却是惊人的。波洛蒙研究所的调查发现，去年有63%的事件是由各种类型的疏忽造成的。

2. 内部人士的疏忽行为

简单疏忽是最常见的内部威胁形式，也是最昂贵的风险类别之一。而此类别的内部威胁通常可能表现出安全行为并遵守政策，但会因孤立的错误而导致违规。根据X-Force的调查报告，这来自员工的错误判断，例如将数据存储在不安全的个人设备上，或者因网络钓鱼计划而丢失，这占到2017年数据违规事件的三分之二。

威胁行为者越来越了解组织内部人员无意中造成的漏洞。X-Force的调查报告揭示了过去一年中利用员工错误最常见的犯罪策略的几种模式：

• 38%的外部攻击者试图欺骗用户点击恶意链接或附件。
• 35%的外部风险是针对中间人(MitM)攻击的尝试。
• 27%的外部威胁试图利用配置错误的服务器。

3. 组织员工内外串谋

组织内部员工与恶意外部威胁攻击者的内外串谋可能是最罕见的内部犯罪风险，但由于专业网络犯罪分子越来越多地通过暗网招募组织员工，这仍然是一个重大威胁。

社区紧急响应小组(CERT)的一项研究表明，内部人员共谋事件占所有内部人员引发事件的48.32%。与此同时，内部人员与外界攻击者共谋事件占16.75%。这些事件有几种形式：

• 大约37%的事件涉及欺诈。
• 大约24%的事件涉及知识产权盗窃。
• 大约6%的事件涉及欺诈和盗窃。

根据这个研究，内部人员引发的事件属于违规行为中代价最高昂的类别，并且其检测的时间可能比单独实施行为的内部人员造成的事件要多四倍。

4. 持久的恶意行为

最常见的是，实施犯罪行为的内部人员为了经济回报或个人利益而泄露数据或实施其他恶意行为。调研机构Gartner公司对组织内部犯罪威胁的研究发现，62%具有恶意意图的内部人员被归类为寻求额外收入的人员，其工作资历与这类行为几乎没有相关性。只有14%的持续恶意内部人员担任领导角色，大约三分之一拥有敏感数据访问权限。

这些人的行为可能会在未被发现的情况下表现出更多的复杂性，以最大限度地提高窃取数据的个人利益。这些人员可能会缓慢地将数据泄露以避免检测，而不是大规模地将数据导出，因为这可能会在传统网络监控工具中引发警报。

5. 心怀不满的员工

作为内部人员威胁的最后一类，心怀不满的员工故意破坏或盗窃知识产权也是组织面临的最昂贵代价的风险。Gartner公司对内部人员犯罪的分析发现，29%的员工在辞职或被解雇后窃取组织信息以获取未来收益，而9%的员工只是出于报复这样简单的犯罪动机。

心怀不满的员工可以适应许多行为子模式。而从接到离职通知的那一刻起，一些沮丧的员工可能开始收集或获取没有特定目标的信息。而一些员工可能会有非常具体的意图，并着手向竞争对手出售商业机密。

二、内部人同行为风险模式的检测与应对

内部人员可能成为企业中最大的安全风险，但内部威胁是可变的。并没有一种万能的方法可以减轻所有类别的员工风险。因此对于内部人员的防范没有完美的解决方案。而提高对内部威胁的认识和采用行为分析工具可能是防范企业内部威胁的最佳方法。

1. 从数据保护开始

企业中最有价值的数据和系统最容易受到任何类型的内部威胁，其中包括疏忽和犯罪意图造成的风险。为了创建透明度，组织应该整理风险资产，并对其进行分类。持续的监控和认知分析可以保护知识产权和敏感数据记录免受各种网络安全威胁。

2. 采用行为分析方法

虽然组织的每个员工都以自己的方式行事，但个人模式的变化可以预测风险。人工智能和行为分析是检测工作场所习惯和信息消费的微妙模式风险的特殊工具。用户行为分析可以通过深度分析来缓解所有类别的内部威胁，以预测风险倾向。

3. 进行风险评估

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!