内部威胁的风险管理

关键要点

• 根据Cisco Talos的研究，组织可以通过教育和用户访问控制来减轻内部威胁风险。
• 财务压力是用户变成恶意内部人员的主要原因之一。
• 网络犯罪地下世界仍然是内部威胁招募的热点，因为其相对匿名和低门槛。
• 随着云计算的普及，内部威胁问题变得愈加复杂，传统的数据丢失防护解决方案面临挑战。

内部威胁正日益成为攻击链中越来越常见的一部分，恶意内部人员和无意中的资产在过去一年的事件中发挥了关键作用。根据CiscoTalos于周四发布的研究报告，这种现象愈加明显。

在一篇中，CiscoTalos的研究者表示，组织可以通过教育、用户访问控制以及在员工离开组织时确保正确的流程和程序来减轻这类风险。

“用户选择成为恶意内部人员的原因有很多，而遗憾的是，这些原因在当今的社会中不断出现。” 研究者表示，“首先是最明显的财务困境。当用户背负巨额债务时，出卖自己感染雇主的能力是一个诱人的选择。我们已经看到用户在黑暗网络论坛上试图出售进入雇主网络的访问权限，这种现象已经持续了十多年。当前的经济形势招募活动的热点。DeBolt提到，恶意行为者利用论坛和即时通讯平台来宣传他们的内部服务，或者反之，招募同谋进行需要内部访问或知识的特定计划。

“迄今为止，内部威胁的最主要动机是经济利益。” DeBolt表示，“我们已经看到一些以经济利益驱动的威胁行为者寻求企业员工提供数据和访问权限，以便在地下网络中进行出售或对组织及其客户进行威胁。” 他的观察还指出，一些个人通过地下论坛和即时通讯平台，声称自己是知名组织的员工，以出售公司信息。

Bugcrowd的首席运营官DaveGerry补充道，虽然安全技术在抵御攻击方面越来越复杂，攻击者仍然能找到安全系统的薄弱环节。Gerry表示，这一薄弱环节通常是操作关键业务软件的员工，因为他们面临着更大的压力，需要在更短的时间内以更少的资源完成更多任务。

“作为一个安全行业，我们常常将基础概念视为显而易见。然而，注重员工的培训、赋能和鼓励他们‘回归基础’愈发重要。” Gerry指出，“对于员工记录、财务数据或任何其他类型敏感信息的紧急、异常或未知请求，应及时向相应的安全团队报告调查。防止这些攻击成功的最简单方法是鼓励员工放慢节奏、提问，确保在提供可能被立即使用或未来被用于获取更多信息的任何信息之前进行谨慎考量。”

Lookout的安全解决方案高级经理HankSchless表示，一直是一个问题，随着企业基础设施快速扩展和对云计算的依赖，这一问题变得更加复杂。Schless指出，传统数据丢失防护解决方案在定义的安全边界内监控所有进出流量。然而，他解释道，这些工具对用户如何在该边界内与数据交互并没有任何可见性，因此如果用户本地下载文件或做出某些修改，安全团队可能不会被警报所提示。

“一些组织实施了文件完整性监控解决方案来监控文件级的变化，但也有办法可以规避这一措施。” Schless表示，“尽管云