什麼是內部人員威脅?

內部人員威脅是指由員工、前員工、承包商或供應商帶來的安全威脅。內部人員威脅可能導致罰款、聲譽損害和知識產權損失。

學習目標

閱讀本文後,您將能夠:

  • 識別惡意和意外的內部人員威脅類型
  • 瞭解存取控制和存取管理在緩解中的作用
  • 評估降低風險的選項

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是內部人員威脅?

內部人員威脅是與組織關聯的人員(如員工、前員工、承包商、顧問、董事會成員或供應商)對組織安全構成的風險。

這些威脅可能是惡意的,也可能是偶然的。例如,Verizon 對 3,950 起資料外洩事件的分析顯示,30%「涉及內部參與者」。

內部人員可能透過多種方式造成損害:

  • 竊取、洩露或損毀資料
  • 出售公司機密
  • 破壞系統、網路或其他 IT 資源
  • 錯放公司設備
  • 向錯誤的人傳送電子郵件附件
  • 成為攻擊者詐騙的受害者
  • 錯誤設定網路或資料庫設定

內部人員威脅背後有哪些動機?

惡意內部人員可能有多種原因來破壞組織的資料,包括出售資料的意願、報復、無聊、意識形態和政治忠誠。

當內部人員無意中造成安全性風險或導致違規時,沒有任何動機。內部人員可能會犯導致問題的錯誤、遺失公司裝置,或因社交工程(例如 網路釣魚)誘騙而導致資料洩露。

內部人員威脅有哪些常見跡象?

行為的改變可能是麻煩的征兆。惡意內部人員可能:

  • 在正常時間之外進入辦公室
  • 存取與平時不同的檔案和系統
  • 大量下載檔案
  • 使用儲存裝置
  • 突然傳送帶有非常大附件的電子郵件
  • 加班時間大大增加

這些跡象本身並不壞。許多人都有完全合理的解釋,IT 專業人員尤其如此。

為什麼存取控制對內部人員威脅計畫很重要?

防範內部人員威脅的一個基本方面是存取控制,或者說是決定誰可以存取受限位置、資訊和系統的規則和原則集。一種方法是基於角色的存取控制,其中每個人的權限取決於其部門和工作職責。

網路安全性中的最低權限存取原則意味著僅允許員工和其他內部人員存取他們履行職責所需的內容,無法再存取更多。例如,人力資源專業人員可能需要查看員工薪資資訊,程式設計師可能需要更改程式碼庫,但兩者都不需要存取對方的檔案。

這是使 Zero Trust 安全性成為有效 IT 安全性模型的部分原因。其實作方式為要求對每個尋求存取公司資源的人和裝置進行嚴格的身分驗證,即使他們(它們)已經在網路內。透過限制使用者和裝置存取,可以減少各種內部人員威脅的潛在後果——就像丟失一張信用卡和丟失整個錢包在損害方面的差異很大一樣。

公司如何降低內部人員威脅的風險?

在調整內部人員威脅計畫時,必須注意動機以及它們如何影響威脅情況。對於惡意和意外的內部人員,嚴格遵守存取控制最佳做法可以極大地幫助防止資料丟失

策略包括:

  • 確定敏感性資料的儲存位置以及誰有權存取這些資料
  • 為離職員工和其他內部人員制定檢查清單,包括關閉對第三方軟體和應用程式以及內部系統的存取
  • 在併購期間提高警惕,此時權限和存取權限通常會發生變化
  • 要求對意外的內部人員風險進行有針對性的全面培訓,例如確保員工知道要保持密碼的私密性、報告丟失的設備以及識別潛在的社交工程詐騙

除了使用存取管理來保護資料和系統外,IT 部門還可以對公司擁有或管理的裝置設定限制,例如鎖定資料傳輸選項以及需要許可才能下載新軟體。

借助日誌記錄和分析功能,可以針對內部人員威脅的常見行為設定警示,以便及早發現潛在問題。警示類型包括:

  • 造訪未經核准的檔案共用應用程式
  • 從未知或未受管理裝置存取應用程式
  • 從一個雲端儲存提供者處下載,然後上傳到另一個雲端儲存提供者
  • 附件大於平常的電子郵件
  • 意外的 DNSHTTP 查詢(安全 Web 閘道可以幫助識別這些)
  • 嘗試獲得超出此人角色所需的權限
  • 在短時間內對許多檔案進行變更

瞭解 Cloudflare Zero Trust 如何簡化基於角色的存取控制的設定過程並加快遠端存取速度。