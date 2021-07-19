内部威胁是源自授权用户（例如，员工、承包商、商业伙伴）的网络安全威胁，而此类人员会有意或无意地滥用其合法访问权限，或是其帐户被网络罪犯所劫持。
虽然外部威胁更为常见，并且占据了最大的网络攻击头条新闻，但内部威胁（无论是恶意的还是疏忽造成的）可能代价更高，也更危险。根据 IBM 的《数据泄露成本报告》，由恶意内部人员发起的数据泄露成本最高，平均为 499 万美元。Verizon 最近的一份报告显示，虽然平均外部威胁会泄露约 2 亿条记录，但涉及内部威胁参与者的事件已导致 10 亿条或更多记录被泄露。1
恶意内部人员通常是心怀不满的现任员工，或者是心怀不满且访问凭证尚未停用的前员工，他们会故意滥用其访问权限来进行恶意报复、谋取经济利益或两者兼而有之。一些恶意内部人员为恶意外部人员（如黑客、竞争对手或国家行为者）“工作”，意图破坏业务运营（植入恶意软件或篡改文件或应用程序），或泄露客户信息、知识产权、商业机密或其他敏感数据。
恶意内部人员最近发动的一些攻击：
在新冠疫情开始时，一家医疗包装公司的一名心怀不满的前雇员使用先前创建的管理员帐户设置了一个虚假的新用户帐户，然后修改了数千份文件，从而延迟或停止向医院和医疗保健提供商运送个人防护装备（ibm.com 外部链接）。
2022 年，一名 X 员工因向沙特阿拉伯王国和沙特王室官员发送 X 用户的私人信息以换取贿赂而被捕（ibm.com 外部链接）。根据美国司法部的说法，该员工“... 秘密充当外国政府特工，针对持不同政见者采取行动。”
玩忽职守的内部人员并没有恶意，但会因无知或粗心而造成安全威胁，例如，受到网络钓鱼攻击后上当受骗、为了节省时间而绕过安全控制措施、丢失笔记本电脑而被网络罪犯用来访问组织网络，或者通过电子邮件将错误的文件（如包含敏感信息的文件）发送给组织外的个人。
在《2022 年 Ponemon 内部威胁成本全球报告》所调查的公司中，大部分内部威胁 (56%) 均由粗心或玩忽职守的内部人员所造成。2
遭入侵的内部人员属于合法用户，而其凭据则已被外部威胁参与者窃取。根据 Ponemon 报告，通过遭入侵内部人员发起的威胁是代价最高昂的内部威胁，而受害者平均需花费 804,997 美元来补救。3
内部人员遭入侵通常是由玩忽职守的内部人员的行为所致。例如，2021 年，一名诈骗者使用社会工程计策（尤其是语音网络钓鱼电话）获取了交易平台 Robinhood 客户支持系统的访问凭据。在此次攻击中，超过 500 万个客户电子邮件地址和 200 万个客户姓名被盗（ibm.com 外部链接）。
由于内部威胁部分或全部由完全认证用户（有时是特权用户）执行，因此将粗心或恶意的内部威胁指标或行为与普通用户的操作和行为区分开来尤其困难。根据一项研究，安全团队平均需要 85 天来检测和遏制内部威胁4，但某些内部威胁多年来一直未被检测到（ibm.com 外部链接）。
为了更好地检测、遏制和预防内部威胁，安全团队需要将各种实践和技术结合起来。
持续对所有授权用户进行安全政策（如密码强度、正确处理敏感数据、报告丢失的设备）和安全意识（例如，如何识别网络钓鱼骗局、如何正确处理系统访问请求或敏感数据）方面的培训，有助于降低因疏忽导致的内部威胁风险。培训还可以从整体上削弱威胁的影响。例如，根据《数据泄露成本报告》，员工受过安全培训的公司的数据泄露平均成本比没有受过培训的公司低 285,629 美元。
身份和访问管理 (IAM) 侧重于管理用户身份、身份验证和访问权限，以确保正确的用户和设备能够在正确的时间访问正确的内容。特权访问管理是 IAM 的一个子分支，它侧重于对授予用户、应用程序、管理员帐户和设备的访问权限进行更精细的控制。
防止内部攻击的一个关键 IAM 功能是身份生命周期管理。限制心怀不满的离职员工的权限，或立即停用已离职用户的帐户，都是身份生命周期管理行动的示例 ，可以降低内部威胁的风险。
用户行为分析 (UBA) 应用先进的数据分析和人工智能 (AI) 技术，从而为基线用户行为建模，并检测异常情况，而这些异常情况可能预示着新出现或正在发生的网络威胁（包括潜在的内部威胁）。而另一项密切相关的技术（用户和实体行为分析或 UEBA）则扩展了这些功能，以便检测 IoT 传感器和其他终端设备中的异常行为。
UBA 经常与安全信息和事件管理 (SIEM) 一起使用，后者可收集、关联和分析整个企业的安全相关数据。
攻击型安全（或 OffSec）使用对抗性计策（与不良行为者在现实世界攻击中使用的计策相同）来加强网络安全而不是损害网络安全。进攻型安全通常由道德黑客（网络安全专业人员）实施，他们不仅利用黑客技能检测和修复 IT 系统缺陷，还检测和修复用户应对攻击方式中的安全风险和漏洞。
