已定义内部威胁
在内部成员成为威胁之前,他们是一种风险,他们被定义为一个人可能恶意或无意地使用对组织资产的授权访问权限,从而对组织产生负面影响。访问包括物理和虚拟访问,资产包括信息、流程、系统和设施。
什么是内部成员?
内部成员是受信任的个人,他有权访问或了解未向公众公开的任何公司资源、数据或系统,包括:
- 具有徽章或其他设备的人员,他们可持续访问公司的物理属性,例如数据中心或公司总部。
- 拥有包含网络访问权限的公司计算机的人员。
- 有权访问公司的企业网络、云资源、应用程序或数据的人员。
- 了解公司的战略和财务的人员。
- 开发公司产品或服务的人员。
内部威胁的类型
内部风险比外部威胁更难检测,因为内部人员已拥有对组织资产的访问权限,并且熟悉其安全措施。了解内部风险的类型有助于组织更好地保护宝贵资产。
-
恶意
在由内部成员导致的恶意安全事件中,员工或受信任的人员有意执行他们知道将对公司产生负面影响的操作。这些人可能出于个人不满或其他个人原因,并且可能通过自己的行动寻求经济或个人利益。
-
疏忽
疏忽类似于意外,因为该人员无意导致数据安全事件。区别在于,他们可能会有意破坏安全策略。常见示例是,员工允许某人在不出示徽章的情况下进入建筑物。数字等效物会替代安全策略,出于速度和便利性未经过仔细考虑,或通过不安全的无线连接登录到公司资源。
-
合谋
一些内部安全事件是受信任的人员与网络犯罪组织协作实施间谍或盗窃活动的结果。这是另一种类型的恶意内部风险。
恶意内部事件是如何发生的?
除了典型的 网络攻击之外,内部成员导致的恶意事件可能以多种方式发生。 以下是内部成员可能导致安全事件的一些常见方法:
-
暴力
内部成员可能会使用暴力或暴力威胁攻击其他员工或对组织表达不满。暴力可能采用言语虐待、性骚扰、欺凌、攻击或其他威胁行为的形式。
-
间谍
间谍是指窃取属于组织的商业秘密、机密信息或知识产权的做法,目的是为竞争对手或其他方提供优势。例如,组织可能会被恶意的内部成员渗透,他们收集财务信息或产品蓝图以在市场中获得竞争优势。
-
破坏
内部人员可能对组织不满,并有动机损害组织的物理属性、数据或数字系统。破坏可能以各种方式发生,例如破坏设备或入侵机密信息。
-
欺诈
内部成员可能会出于个人利益实施欺诈活动。例如,恶意预览体验成员可能会使用公司的信用卡供个人使用,或提交虚假或夸大的费用报销。
-
盗窃
内部成员可能会窃取组织的资产、敏感数据或知识产权以获取个人利益。例如,出于个人利益动机的离职员工可能会向未来雇主泄漏机密信息,或者组织雇用的承包商执行特定任务可能会窃取敏感数据以为自己带来好处。
-
七个内部风险指标
人类和技术在检测内部风险方面都发挥着作用。关键在于为正常情况建立基线,以便更轻松地识别异常活动。
-
用户活动更改
同事、经理和合作伙伴可能最能够了解某人是否对组织构成风险。例如,有动机导致数据安全事件的有风险内部人员可能会突然出现可观察到的态度变化,这是一种不寻常的信号。
-
异常数据外泄
员工经常在工作中访问和共享机密数据。但是,当用户突然共享或下载与其过去的活动或类似角色的同行相比异常大量的敏感数据时,可能表明存在潜在的数据安全事件。
-
一系列相关的风险活动
单个用户操作(例如,下载机密数据)本身可能不是潜在风险,但一系列操作可能表明存在潜在的数据安全风险。例如,假设用户将机密文件重命名为不太敏感,从云存储下载这些文件,将其保存在便携设备上,并从云存储中删除它们。在这种情况下,这可能表明用户可能正在尝试在逃避检测的同时泄露敏感数据。
-
离职员工数据外泄
数据外泄通常会随着离职而增加,并且可能是有意或无意的。意外事件可能看起来像是离职员工无意地复制敏感数据,以记录其角色中的成就,而恶意事件可能看起来像是有意下载敏感数据以获得个人利益或帮助他们担任下一个职位。当离职事件与其他异常活动一致时,这可能表明存在数据安全事件。
-
系统访问异常
潜在的内部风险可能始于用户访问其工作通常不需要的资源。例如,通常只访问与市场营销相关的系统的用户突然开始一天多次访问财务系统。
-
威胁和骚扰
内部风险的早期信号之一可能是用户表达出威胁、骚扰或歧视性通信。它不仅对公司文化造成损害,还可能导致其他潜在事件。
-
特权提升
组织通常将特权访问权限和角色分配给有限人员,以保护和管理宝贵资源。如果员工在无明确业务理由的情况下尝试提升特权,则可能是潜在内部风险的信号。
-
内部威胁示例
多年来,各种规模的组织中都发生了内部威胁事件,例如数据盗窃、间谍或破坏。以下是几个示例:
- 窃取商业秘密并将其出售给另一家公司。
- 入侵公司的云基础结构并删除数千个客户帐户。
- 使用商业秘密新建公司。
整体内部风险管理的重要性
整体内部风险管理计划可确定员工与雇主关系的优先级并集成隐私控制,这可能会减少潜在内部安全事件的数量,并加快检测速度。Microsoft 最近进行的一项研究发现,与采用更零散方法的公司相比,具有整体内部风险管理计划的公司快速检测内部风险的可能性要高 33%,并且快速修正的可能性要高 16%。1
如何防范内部威胁
组织可以专注于流程、人员、工具和教育,从而以整体方式解决内部风险。使用以下最佳做法制定内部风险管理计划,该计划可与员工建立信任并帮助加强安全性:
-
确定员工信任和隐私的优先级
在员工之间建立信任从确定其隐私的优先级开始。要通过内部风险管理计划建立舒适感,请考虑实施多级审批流程以启动内部调查。此外,必须审核执行调查的人员的活动,以确保他们不会越界。实施基于角色的访问控制以限制安全团队中谁可以访问调查数据,也有助于维护隐私。在调查期间匿名用户名可以进一步保护员工隐私。最后,如果调查未继续,请考虑在一段时间后删除用户标志。
-
使用正面威慑
虽然许多内部风险计划依赖于负面威慑(例如,限制有风险员工活动的策略和工具),但必须平衡这些措施与先发制人的方法。积极威慑,例如员工士气活动、全面的入职培训、持续的数据安全培训和教育、向上反馈以及工作与生活平衡计划,可以帮助降低发生内部事件的可能性。通过以高效和主动的方式与员工互动,积极威慑解决了风险的来源,并提升了组织内的安全文化。
-
获得公司范围的认可
IT 和安全团队可能承担管理内部风险的主要责任,但必须让整个公司参与此工作。人力资源、合规性和法律等部门在定义策略、与利益干系人沟通以及在调查期间做出决策方面发挥着关键作用。要制定更全面、更有效的内部风险管理计划,组织应寻求公司所有领域的认可和参与。
-
使用集成且全面的安全解决方案
有效保护组织免受内部风险的影响不仅需要实现最佳安全工具,还需要提供企业范围可见性和保护的集成解决方案。集成数据安全性、标识和访问管理、扩展检测和响应 (XDR) 以及安全信息和事件管理 (SIEM) 解决方案后,安全团队可以有效地检测和防止内部事件。
-
实施有效培训
员工在防止安全事件方面发挥着关键作用,使其成为第一道防御线。保护公司资产需要获得员工的认可,进而增强组织的整体安全性。建立此认可的最有效方法之一是通过员工教育。通过培训员工,可以减少无意的内部事件数。必须说明内部事件如何影响公司及其员工。此外,传达数据保护策略并指导员工如何避免数据泄露至关重要。
-
使用机器学习和 AI
当今现代工作场所中的安全风险是动态的,具有各种不断变化的因素,因此它们难以检测和响应。但是,通过使用机器学习和 AI,组织可以以计算机速度检测和缓解内部风险,从而实现自适应和以人为中心的安全性。此高级技术可帮助组织了解用户如何与数据交互、计算和分配风险级别,并自动定制适当的安全控制措施。借助这些工具,组织可以简化识别潜在风险的流程,并确定其有限资源的优先级,以解决高风险的内部活动。这样可以节省安全团队宝贵的时间,同时确保更好的数据安全性。
内部风险管理解决方案
抵御内部威胁可能具有挑战性,因为人们会自然而然地信任那些为组织工作或与组织协作的人员。快速识别最关键的内部风险并确定资源的优先级以调查和缓解它们对于降低潜在事件和违规的影响至关重要。幸运的是,许多阻止外部威胁的 网络安全 工具还可以识别内部威胁。
Microsoft Purview 提供信息保护、内部风险管理和数据丢失防护 (DLP) 功能,帮助深入了解数据、检测可能导致潜在数据安全事件的关键内部风险,并有效防止数据丢失。
Microsoft Entra ID 可帮助管理谁可访问哪些内容,并在某人的登录和访问活动存在风险时向你发出警报。
Microsoft Defender 365 是一种 XDR 解决方案,可帮助保护云、应用、终结点和电子邮件免受未经授权活动的影响。网络安全和基础结构安全机构等政府组织还提供有关制定内部威胁管理计划内部威胁管理计划的指导。
通过采用这些工具并使用专家指导,组织可以更好地管理内部风险并保护关键资产。
详细了解 Microsoft 安全
常见问题解答
-
有四种类型的内部威胁。一个意外的内部威胁是,为公司工作或与公司协作的人员会出错,从而可能会危害组织或其数据或人员。疏忽的内部风险是指某人有意违反安全策略,但无意造成损害。恶意威胁是指有人有意窃取数据、破坏组织或采取暴力行为。恶意威胁的另一种形式是合谋,即当内部人员与组织外部人员协作以造成伤害。
-
内部风险管理非常重要,因为这些类型的事件可能会对组织及其人员造成巨大损害。制定正确的策略和解决方案后,组织可以领先于潜在的内部威胁并保护组织宝贵的资产。
-
存在多种可能的内部风险信号,包括用户活动突然变化、一系列关联的风险活动、尝试访问其作业不需要的资源、尝试提升特权、异常数据外泄、离职员工泄露数据以及威胁或骚扰。
-
防止内部事件可能比较棘手,因为可能导致安全事件的风险活动由受信任人员执行,他们在组织中具有关系和授权的访问权限。整体内部风险管理计划可确定员工与雇主关系的优先级并集成隐私控制,这可能会减少内部安全事件的数量,并加快检测速度。除了隐私控制和专注于员工士气、定期培训、公司范围内的认可和集成安全工具之外,还可以帮助降低风险。
-
恶意内部威胁是指受信任的人员可能故意损害组织和在那里工作的人员。这与无意的内部风险不同:有人意外入侵公司或违反安全规则,但无意使公司受到任何损害。
关注 Microsoft 安全