企業常見內部威脅的型別與應對方法

內部威脅早已不是什麼新鮮概念，很多重大網路安全事件都是由內部因素所引發。但直到目前，企業對內部威脅問題仍然沒有足夠的重視，並且缺乏有效的應對措施。事實上，大多數安全團隊面對內部威脅都只會事後補救。

據Ponemon最新發布的2022年《全球內部威脅成本報告》顯示，內部威脅引發的企業安全風險在不斷加大。全球60%的公司在2021年遭遇到20起以上的內部攻擊，相比2018年快速增長53%。內部威脅有很多種，從心懷不滿的員工、勒索事件受害者和安全意識薄弱的使用者，到那些對公司網路上敏感資料和系統擁有高階訪問許可權的使用者，包括系統管理員、網路工程師甚至CISO等，都可能對企業造成威脅和損害。

企業該如何對內部威脅進行有效監管，防止來自內部的損害呢?以下是目前常見的內部威脅種類以及應對威脅的最佳實踐方法：

1. 安全意識薄弱的員工

安全意識薄弱的員工有時被稱為安全規避者，他們有意或無意違反規則，並無視公司的安全措施。他們往往使用影子IT、不安全地共享檔案、不安全地使用無線網路、將資訊釋出到討論板和部落格、打補丁不當、忽視安全策略、通過電子郵件和即時通訊(IM)洩露公司資料等，給企業帶來潛在威脅。

應對方法：企業應開展網路安全意識培訓，並精心打造企業安全文化，通過監控影子IT、實施安全檔案共享最佳實踐和許可權、使用基於客戶端或伺服器的內容過濾、堅持使用補丁最佳實踐、要求通過VPN或零信任框架實現安全的網路連線、使用Wi-Fi保護訪問3(Wi-Fi Protected Access 3)以及禁用不需要的藍芽等安全措施，來管理員工的網路行為。

2. 竊取合法使用者登入資訊的攻擊者

竊取合法使用者登入資訊的攻擊者是導致資料洩露的主要原因之一。合法使用者的登入資訊常常通過以下途徑洩露出去：網路釣魚和社會工程學伎倆、蠻力攻擊、登入資訊洩露、擊鍵記錄程式、中間人攻擊、字典攻擊、撞庫以及密碼噴灑攻擊。這些被洩露的合法使用者登入資訊有可能導致惡意軟體感染、資料洩露和勒索軟體攻擊等。

應對方法：企業可以使用適當的電子郵件安全控制、電子郵件安全閘道器和電子郵件過濾來緩解這一狀況。應該要求使用者使用強密碼/密碼短語，並確保公司密碼策略已明確了這些要求;要求使用者使用多因子或雙因子身份驗證，採用特權訪問管理和最小特權原則(principle of least privilege ，簡稱“POLP”)，並定期審查訪問以驗證使用者的訪問許可權。此外，企業還應向員工介紹網路釣魚詐騙的警示訊號等，以提高其防範意識。

3. 心懷不滿的員工

心懷不滿的員工是可能是現任員工，也可能是前任員工。這些內部人員不懷好意，往往出於報復、破壞、獲取個人經濟利益或純粹為了好玩而攻擊僱主。那些擁有特權訪問許可權的現任員工和離開公司或被解僱後仍擁有訪問許可權的前任員工，還有可能會竊取智慧財產權、專有資料、商業機密和原始碼等資產。

應對方法：在管理方面，企業可以通過員工面談、簽到和調查來加強透明度、溝通和協作;在IT方面，企業應定期舉辦網路安全培訓，並密切關注使用者行為，及時發現異常活動和行為變化。

4. 離職員工

離職的員工是企業面臨的最大內部威脅之一，主要是由於他們可能會將重要的公司資訊洩露給競爭對手。這些員工可能是惡意的，比如竊取公司擁有的資訊(如電子郵件地址和聯絡名單)，也可能是無意的，比如離職時將其所從事專案的成果歸己所有。

應對方法：企業應確保讓離職員工知道他們不能帶走公司財產，密切關注下載過多資料的員工，並執行離職流程，以便在員工離職後終止其訪問許可權。

5. 惡意的內部威脅分子

惡意的內部威脅分子又叫內奸或共謀者，他們使用其登入資訊，為外部威脅分子竊取資訊或實施攻擊。這些內部威脅可能涉及賄賂或勒索。

應對方法：企業應使用最小特權原則來限制員工可以訪問哪些應用程式、網路和資料。此外，還可以使用監控機制、零信任網路訪問和行為分析等來檢測異常活動。

6. 第三方威脅

有權訪問企業系統的第三方(如承包商、兼職員工、供應商、服務提供商和客戶)對敏感資料構成了重大風險。第三方攻擊又稱為供應鏈攻擊或價值鏈攻擊，它使敏感資訊和公司聲譽岌岌可危。

應對方法：企業應確保第三方值得信賴，需檢視第三方背景，確保對方可靠後才允許其訪問;應落實完備的第三方風險管理計劃;通過最小特權原則限制第三方訪問;定期稽核第三方賬戶，以確保工作完成後系統許可權被終止;使用監控工具檢測第三方威脅。