什么是内部威胁?

内部威胁是由雇员、前雇员、承包商或供应商造成的安全风险。内部威胁可能会导致罚款、声誉受损和知识产权的损失。

学习目标

阅读本文后,您将能够:

  • 识别恶意和意外的内部威胁类型
  • 了解访问控制和访问管理在缓解威胁方面的作用
  • 评估减少风险的方案

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是内部威胁?

内部威胁是指与组织相关的人员(如雇员、前雇员、承包商、顾问、董事会成员或供应商)给组织带来的安全风险。

这些威胁可能是恶意的或意外的。例如,Verizon 对 3,950 起数据泄露事件的分析显示,30%“涉及内部参与者”。

内部人员可能通过多种方式造成损害:

  • 窃取、泄露或毁坏数据
  • 出售公司机密
  • 破坏系统、网络或其他 IT 资源
  • 错误放置公司设备
  • 向错误的人发送电子邮件附件
  • 沦为攻击者骗局的受害者
  • 错误配置网络或数据库设置

内部威胁背后的动机是什么?

恶意内部人员可能出于多种原因损害组织的数据,包括想要出售数据的欲望、报复、无聊、意识形态和政治效忠。

内部人员无意中造成安全风险或导致漏洞时并没有什么动机。内部人员可能犯了一个错误导致了问题的发生、丢失了一件公司设备,或者因为网络钓鱼之类的社会工程学攻击而被骗泄露了数据。

有哪些常见的内部威胁迹象?

行为的改变可能是麻烦的征兆。恶意内部人员可能:

  • 在正常工作时间之外进入办公室
  • 访问与平时不同的文件和系统
  • 大规模下载文件
  • 使用存储设备
  • 突然发送带有非常大附件的电子邮件
  • 加班时间大大增加

这些迹象本身并不坏。许多人都有完全合理的解释,尤其是对于 IT 专业人士而言。

为什么访问控制对内部威胁计划很重要?

防止内部威胁的一个基本方面是访问控制,或设置决定谁可以访问受限地点、信息和系统的规则和政策。一种方法是基于角色的访问控制,每个人的权限取决于其部门和工作职责。

网络安全中的最小权限访问原则意味着只允许员工和其他内部人员访问他们履行职责所需的权限——仅此而已。例如,人力资源专业人员可能需要查看员工工资信息,而程序员可能需要更改代码库,但两者都不需要访问对方的文件。

这是使零信任安全成为有效 IT 安全模型的部分原因。其实施方式为要求对每个寻求访问公司资源的人和设备进行严格的身份验证,即使他们(它们)已经在网络内。通过限制用户和设备访问,可以减少各种内部威胁的潜在后果——就像丢失一张信用卡和丢失整个钱包在损害方面的差异很大一样。

公司如何减轻内部威胁的风险?

在微调内部威胁计划时,必须注意动机以及它们如何影响威胁格局。对于恶意和意外的内部人员,严格遵守访问控制最佳实践可以极大地帮助防止数据丢失

战略包括:

  • 确定敏感数据的存储位置以及谁可以访问敏感数据
  • 为离职员工和其他内部人员制定检查清单,包括关闭对第三方软件和应用程序以及内部系统的访问权
  • 在兼并和收购期间提高警惕,因为此时权限和访问权通常会发生变化
  • 要求对意外的内部风险进行有针对性的全面培训,例如确保员工知道要保持密码的私密性、报告丢失的设备,以及识别潜在的社会工程学骗局

除了使用访问管理来保护数据和系统外,IT 部门还可以对公司拥有或管理的设备设置限制,如锁定数据传输选项和需要许可才能下载新软件。

通过日志记录和分析功能,可以对内部威胁常见的行为设置警报,以便及早发现潜在问题。警报类型包括:

  • 访问未经批准的文件共享应用程序
  • 来自未知或未受管理设备的应用程序访问
  • 从一个云存储供应商下载,然后上传到另一个云存储供应商
  • 电子邮件的附件尺寸比平时大
  • 意外的 DNSHTTP 查询(安全 Web 网关可以帮助识别这些)
  • 试图获得超过个人角色所需的更大特权
  • 在短时间内对许多文件进行修改

Learn how Cloudflare Zero Trust simplifies the process of setting up role-based access controls and speeds up remote access.