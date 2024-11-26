根据 Cybersecurity Insiders 近期发布的《2024 年内部威胁报告》，有 83% 的组织报告在过去一年中至少遭遇过一次内部攻击。更令人意外的是，遭遇 11-20 次内部攻击的组织比例在过去 12 个月里从 4% 增长至 21%，是 2023 年的五倍。
随着内部威胁上升，企业必须认清源自其数字生态系统内部的真正危险，同时实施有效的威胁管理战略来应对这些内部威胁。
随着企业纷纷采用混合云工作模式和下一代技术，内部风险管理的复杂性也随之增加。Cybersecurity Insiders 近期对 413 名 IT 和网络安全专业人士进行了调研，深入了解内部威胁从何以及如何影响他们的组织。
令人惊讶的是，内部威胁事件的发生率逐年大幅增长，48% 的受访者表示，在过去 12 个月中，他们面临一个更为普遍的问题。在分析这一增长趋势的原因时，Cybersecurity Insiders 将主要元凶归纳为四点：
复杂的 IT 环境：对远程和混合办公模式的支持，加上现代企业广泛采用云技术，使运营结构变得更复杂，更难以管理和控制。
安全措施不足：许多企业难以及时掌握最新的安全最佳实践，仍然依赖过时的协议来保护其数字资产。
缺乏员工培训和意识： 并非所有内部威胁均出于恶意。事实上，大多数员工根本未接受过足够培训，无法时刻意识到自身可能给企业带来的风险，也无法在防止内部威胁发生方面发挥积极作用。
策略执行薄弱： 尽管报告中 93% 的受访组织表示，严格的可见性和控制对他们而言是重要因素，但实际上仅有 36% 拥有具备统一可见性和访问控制的有效解决方案。
虽然许多安全团队了解内部威胁带来的安全隐患，但他们并不总是能充分认识到内部威胁造成的经济后果。网络安全内部人员的报告对这些因素进行了更深入的探讨，结果颇具启发性。
在过去一年内处理过内部威胁的组织中，32% 的组织全面恢复的平均成本在 10 万至 49.9 万美元之间。虽然这是最常见的反馈，但有 21% 的受访者表示成本要高得多，介于 100 万至 200 万美元之间。
这些统计数据仅代表与内部威胁修复相关的可量化成本。他们并未考虑企业因这些攻击导致的声誉受损以及由此造成的客户信任流失等其他损失。
考虑到内部威胁对组织造成的负面影响，实施有效的最佳实践来最大限度地降低风险至关重要。其中包括：
内部威胁通常比外部攻击更难检测。因此，投资于更先进的监控解决方案，如用户与实体行为分析（UEBA）非常重要。这些工具使用机器学习算法和行为分析来监控用户活动，同时标记异常情况，以协助安全团队对潜在的内部威胁活动发出预警。
将非 IT 数据源纳入威胁管理平台，有助于拓宽已启用安全解决方案的情报范围。例如，通过添加法律数据、人力资源记录和其他公共数据源等信息，更全面地了解可能出现的潜在内部威胁。
这些数据来源可包括员工绩效评估和纪律处分，或来自社交媒体的其他公开信息。所有这些信息都有助于早期检测，可以显著降低风险比率。
随着许多组织迅速扩展数字化业务，人工威胁检测和响应已变得极为低效。自动化响应工具已成为助力企业分析海量数据、识别潜在威胁和加快响应速度的重要资产。
除了本地部署安全解决方案外，威胁检测和响应 (TDR) 服务 也能显著改善企业的网络安全防护水平。TDR 服务能够即时访问最新工具和训练有素的团队，有效加强安全防护能力。
严格的访问控制对于限制内部威胁持续存在的可能性至关重要。采用零信任安全模型，假设公司网络内外的所有用户和设备均为潜在威胁，可降低组织风险。这确保了每次访问尝试都经过严格审查，限制恶意内部人员对敏感系统和网络的未经授权访问。
网络安全内部人员在近期的报告中指出，所列公司共同关注的一个问题是员工培训，32% 的受访者承认，缺乏网络安全意识是导致攻击的主要原因。持续对员工进行内部威胁危害的教育，并教会他们如何识别和报告可疑活动，这一点极为重要。
在网络安全规划方面，为整个组织定下正确基调非常重要。为此，公司领导层应积极参与，协助各部门优先推进威胁管理工作，同时以身作则。这确保了所有人都在防范内部与外部威胁方面共同承担责任。
为了确保当下实施的解决方案和实践真正有效，定期安全审计和评估不必可少。这些全面评估应审查从安全政策和访问控制到现行事件响应计划的有效性等方方面面。
组织应随时做好应对最坏情况的准备，并制定明确的事件响应计划。鉴于 Cybersecurity Insiders 上次报告显示，大部分受影响企业仍不确定自身的恢复时间，因此，制定明确的攻击补救程序比以往任何时候都更为重要。
随着内部威胁逐年升级，组织必须采取主动措施加以预防。通过遵循上述最佳实践，提高内部对这些持续威胁的认知，企业便能维持稳健的网络安全态势。
