恶意内部人员通常是心怀不满的现任员工，或者是心怀不满且访问凭证尚未停用的前员工，他们会故意滥用其访问权限来进行恶意报复、谋取经济利益或两者兼而有之。一些恶意内部人员为恶意外部人员（如黑客、竞争对手或国家行为者）“工作”，意图破坏业务运营（植入恶意软件或篡改文件或应用程序），或泄露客户信息、知识产权、商业机密或其他敏感数据。

恶意内部人员最近发动的一些攻击：

• 在新冠疫情开始时，一家医疗包装公司的一名心怀不满的前雇员使用先前创建的管理员帐户设置了一个虚假的新用户帐户，然后修改了数千份文件，从而延迟或停止向医院和医疗保健提供商运送个人防护装备（ibm.com 外部链接）。
  

• 2022 年，一名 X 员工因向沙特阿拉伯王国和沙特王室官员发送 X 用户的私人信息以换取贿赂而被捕（ibm.com 外部链接）。根据美国司法部的说法，该员工“... 秘密充当外国政府特工，针对持不同政见者采取行动。”

玩忽职守的内部人员并没有恶意，但会因无知或粗心而造成安全威胁，例如，受到网络钓鱼攻击后上当受骗、为了节省时间而绕过安全控制措施、丢失笔记本电脑而被网络罪犯用来访问组织网络，或者通过电子邮件将错误的文件（如包含敏感信息的文件）发送给组织外的个人。

在《2022 年 Ponemon 内部威胁成本全球报告》所调查的公司中，大部分内部威胁 (56%) 均由粗心或玩忽职守的内部人员所造成。²

遭入侵的内部人员属于合法用户，而其凭据则已被外部威胁参与者窃取。根据 Ponemon 报告，通过遭入侵内部人员发起的威胁是代价最高昂的内部威胁，而受害者平均需花费 804,997 美元来补救。³

内部人员遭入侵通常是由玩忽职守的内部人员的行为所致。例如，2021 年，一名诈骗者使用社会工程计策（尤其是语音网络钓鱼电话）获取了交易平台 Robinhood 客户支持系统的访问凭据。在此次攻击中，超过 500 万个客户电子邮件地址和 200 万个客户姓名被盗（ibm.com 外部链接）。

由于内部威胁部分或全部由完全认证用户（有时是特权用户）执行，因此将粗心或恶意的内部威胁指标或行为与普通用户的操作和行为区分开来尤其困难。根据一项研究，安全团队平均需要 85 天来检测和遏制内部威胁⁴，但某些内部威胁多年来一直未被检测到（ibm.com 外部链接）。

为了更好地检测、遏制和预防内部威胁，安全团队需要将各种实践和技术结合起来。

持续对所有授权用户进行安全政策（如密码强度、正确处理敏感数据、报告丢失的设备）和安全意识（例如，如何识别网络钓鱼骗局、如何正确处理系统访问请求或敏感数据）方面的培训，有助于降低因疏忽导致的内部威胁风险。培训还可以从整体上削弱威胁的影响。例如，根据《2023 年数据泄露成本报告》，员工受过安全培训的公司其数据泄露平均成本比总体平均泄露成本低 232,867 美元，降低了 5.2%。

身份和访问管理 (IAM) 侧重于管理用户身份、身份验证和访问权限，以确保正确的用户和设备能够在正确的时间访问正确的内容。特权访问管理是 IAM 的一个子分支，它侧重于对授予用户、应用程序、管理员帐户和设备的访问权限进行更精细的控制。

防止内部攻击的一个关键 IAM 功能是身份生命周期管理。限制心怀不满的离职员工的权限，或立即停用已离职用户的帐户，都是身份生命周期管理行动的示例 ，可以降低内部威胁的风险。

用户行为分析 (UBA) 应用先进的数据分析和人工智能 (AI) 技术，从而为基线用户行为建模，并检测异常情况，而这些异常情况可能预示着新出现或正在发生的网络威胁（包括潜在的内部威胁）。而另一项密切相关的技术（用户和实体行为分析或 UEBA）则扩展了这些功能，以便检测 IoT 传感器和其他终端设备中的异常行为。

UBA 经常与安全信息和事件管理 (SIEM) 一起使用，后者可收集、关联和分析整个企业的安全相关数据。

攻击型安全（或 OffSec）使用对抗性计策（与不良行为者在现实世界攻击中使用的计策相同）来加强网络安全而不是损害网络安全。进攻型安全通常由道德黑客（网络安全专业人员）实施，他们不仅利用黑客技能检测和修复 IT 系统缺陷，还检测和修复用户应对攻击方式中的安全风险和漏洞。

有助于加强内部威胁计划的进攻型安全措施包括网络钓鱼模拟和红队，其中道德黑客团队会对组织发起模拟、面向目标的网络攻击。