الهجوم الداخلي الخبيث عادةً ما يكون عبارة عن موظفين حاليين ساخطين، أو موظفين سابقين ساخطين لم يتم سحب بيانات اعتماد وصولهم، والذين يسيئون استخدام وصولهم عمداً للانتقام أو لتحقيق مكاسب مالية أو كليهما. بعض أنواع الهجوم الخبيث الداخلي "تعمل" لصالح هجوم خارجي خبيث، مثل المخترقين أو المنافسين أو الجهات سيئة النية من الدول القومية، لتعطيل عمليات الأعمال (زرع برنامج ضار أو التلاعب بالملفات أو التطبيقات) أو تسريب معلومات العملاء أو الملكية الفكرية أو الأسرار التجارية أو غيرها من البيانات الحساسة.

بعض الهجمات الأخيرة التي تمت من خلال هجوم داخلي خبيث:

• في بداية جائحة كوفيد-19، استخدم موظف سابق ساخط في شركة تعبئة طبية حساب مسؤول تم إنشاؤه مسبقًا لإنشاء حساب مستخدم جديد مزيف، ثم قام بتعديل آلاف الملفات بطريقة من شأنها تأخير أو إيقاف شحنات معدات الحماية الشخصية إلى المستشفيات ومقدمي الرعاية الصحية (الرابط موجود خارج موقع ibm.com).
   

• في عام 2022، أُلقي القبض على أحد موظفي X لإرساله معلومات خاصة بمستخدمي X إلى مسؤولين في المملكة العربية السعودية والعائلة المالكة السعودية مقابل رشاوى (الرابط موجود خارج موقع ibm.com). ووفقًا لوزارة العدل الأمريكية، فإن الموظف "... تصرف في الخفاء كعميل لحكومة أجنبية تستهدف الأصوات المعارضة." 

التهديد الداخلي من الإهمال ليس لديه نية خبيثة، ولكنه يخلق تهديدات أمنية من خلال الجهل أو الإهمال، على سبيل المثال، الوقوع في هجوم تصيد احتيالي، وتجاوز الضوابط الأمنية لتوفير الوقت، فقدان جهاز كمبيوتر محمول يمكن أن يستخدمه مجرم إلكتروني للوصول إلى شبكة المؤسسة أو إرسال ملفات خاطئة عبر البريد الإلكتروني (مثل الملفات التي تحتوي على معلومات حساسة) لأفراد من خارج المؤسسة.

من بين الشركات المشمولة بالاستطلاع في تقرير Ponemon Cost of Insider Threats Global Report لعام 2022، فإن غالبية التهديدات الداخلية، بنسبة 56%، نتجت عن الإهمال أو تهديد داخلي من الإهمال.²

التهديد الداخلي بسبب الاختراق هم مستخدمون شرعيون تمت سرقة بيانات اعتمادهم من قبل جهات تهديد خارجية. تعد التهديدات التي يتم إطلاقها من خلال اختراق البيانات الداخلية هي الأكثر تكلفة داخليًا، حيث تكلف الضحايا 804997 دولارًا أمريكيًا لإصلاحها في المتوسط، وفقًا لتقرير Ponemon^.3

في كثير من الأحيان، يكون التهديد الداخلي بسبب الاختراق نتاج سلوكيات التهديد الداخلي من الإهمال. على سبيل المثال، في عام 2021، استخدم أحد المحتالين أسلوب الهندسة الاجتماعية، وتحديداً مكالمة هاتفية للتصيد الاحتيالي الصوتي، للحصول على بيانات اعتماد الوصول إلى أنظمة دعم العملاء في منصة التداول Robinhood. تمت سرقة أكثر من 5 ملايين عنوان بريد إلكتروني ومليوني اسم عميل في الهجوم (الرابط موجود خارج ibm.com).

نظرًا لأن التهديدات الداخلية يتم تنفيذها جزئيًا أو كليًا من قِبل مستخدمين معتَمدين بالكامل، وأحيانًا من قِبل مستخدمين ذوي امتيازات، فقد يكون من الصعب بشكل خاص فصل مؤشرات أو سلوكيات التهديد الداخلي من الإهمال أو الهجوم الداخلي الخبيث عن إجراءات وسلوكيات المستخدم العادية. ووفقًا لإحدى الدراسات، تستغرق فرق الأمن 85 يومًا في المتوسط لتحويل واحتواء تهديد داخلي ^4، ولكن بعض التهديدات الداخلية لم يتم اكتشافها لسنوات (الرابط موجود خارج ibm.com).

لتحسين كشف واحتواء ومنع التهديدات الداخلية، تعتمد فرق الأمن على مزيج من الممارسات والتقنيات.

يمكن أن يساعد التدريب المستمر لجميع المستخدمين المصرح لهم على سياسة الأمن (مثل سلامة كلمة المرور، والتعامل السليم مع البيانات الحساسة والإبلاغ عن الأجهزة المفقودة) والتوعية الأمنية (كيفية التعرف على عمليات التصيد الاحتيالي، وكيفية توجيه طلبات الوصول إلى النظام أو البيانات الحساسة بشكل صحيح) في تقليل مخاطر التهديدات الداخلية من الإهمال. يمكن للتدريب أيضًا أن يخفف من تأثير التهديدات بشكل عام. على سبيل المثال، وفقًا لتقرير تكلفة خرق البيانات كان متوسط تكلفة اختراق أمن البيانات في الشركات التي لديها تدريب للموظفين أقل بمقدار 285629 دولارًا أمريكيًا مقارنة بالشركات التي لا يوجد بها تدريب.

تركز إدارة الهوية والوصول (IAM) على إدارة هويات المستخدمين والمصادقة وأذونات الوصول بطريقة تضمن وصول المستخدمين والأجهزة المناسبة للأسباب الصحيحة في الوقت المناسب. وتركز إدارة الوصول المميز، وهو قسم فرعي ضمن إدارة الهوية والوصول (IAM)، على التحكم الدقيق في امتيازات الوصول الممنوحة للمستخدمين والتطبيقات والحسابات الإدارية والأجهزة.

تتمثل إحدى الوظائف الرئيسية لإدارة الهوية والوصول (IAM) لمنع الهجمات الداخلية في إدارة دورة حياة الهوية. ويعد تقييد أذونات الموظف المغادر الساخط أو إيقاف تشغيل حسابات المستخدمين الذين غادروا الشركة على الفور أمثلة على إجراءات إدارة دورة حياة الهوية التي يمكن أن تقلل من مخاطر التهديد الداخلي.

تطبق تحليلات سلوك المستخدم (UBA) تحليلات البيانات المتقدمة والذكاء الاصطناعي (AI) لنمذجة سلوكيات المستخدم الأساسية والكشف عن الحالات الشاذة التي يمكن أن تشير إلى تهديدات إلكترونية ناشئة أو مستمرة، بما في ذلك التهديدات المحتملة داخلياً. وتقوم تقنية وثيقة الصلة، وهي تحليلات سلوك المستخدم والكيان (UEBA)، بتوسيع نطاق هذه القدرات للكشف عن السلوكيات غير الطبيعية في أجهزة استشعار إنترنت الأشياء (IOT) وغيرها من أجهزة نقطة النهاية.

يتم استخدام تحليلات سلوك المستخدم (UBA) بشكل متكرر مع إدارة المعلومات الأمنية والأحداث (SIEM)، والتي تقوم بجمع البيانات المتعلقة بالأمن من جميع أنحاء المؤسسة وربطها وتحليلها.

يستخدم الأمن الهجومي (أو OffSec) الأساليب العدائية، وهي نفس الأساليب التي تستخدمها الجهات سيئة النية في الهجمات على أرض الواقع لتعزيز أمن الشبكة بدلاً من اختراقها. يتم إجراء الأمن الهجومي عادةً بواسطة قراصنة الأمن الأخلاقيين، وهم محترفو الأمن الإلكتروني الذين يستخدمون مهارات القرصنة لكشف وإصلاح ليس فقط عيوب نظام تكنولوجيا المعلومات، ولكن المخاطر الأمنية ونقاط الضعف في طريقة استجابة المستخدمين للهجمات.

تشمل تدابير الأمن الهجومي التي يمكن أن تساعد في تعزيز برامج الأمن الداخلي محاكاة التصيد الاحتيالي والفريق الأحمر ، حيث يبدأ فريق من القراصنة الأخلاقيين في محاكاة هجوم إلكتروني موجه نحو هدف معين على المؤسسة.