什么是内部威胁?
订阅 IBM 时事通讯 探索 IBM Security QRadar
沉思中的男子特写,他的眼镜上反射出电脑屏幕画面

内部威胁是源自授权用户(员工、承包商、业务合作伙伴)的网络安全威胁,他们有意或无意地滥用其合法访问权限,或者其帐户被网络犯罪分子劫持。

虽然外部威胁更为常见,并且占据了最大的网络攻击头条新闻,但内部威胁(无论是恶意的还是疏忽造成的)可能代价更高,也更危险。根据 IBM 的《2023 年数据泄露成本报告》,由恶意内部人员发起的数据泄露成本最高,平均为 490 万美元,比数据泄露的平均成本 445 万美元高出 9.5%。Verizon 最近的一份报告显示,虽然平均外部威胁会泄露约 2 亿条记录,但涉及内部威胁参与者的事件已导致 10 亿条或更多记录泄露。1

点击演示

了解 IBM Security® QRadar® SIEM 如何识别和调查异常行为。

内部威胁的类型
恶意内部人员

恶意内部人员通常是心怀不满的现任员工,或者是心怀不满且访问凭证尚未停用的前员工,他们故意滥用其访问权限来进行恶意报复、谋取经济利益或两者兼而有之。一些恶意内部人员为恶意外部人员(如黑客、竞争对手或国家行为者)“工作”,意图破坏业务运营(植入恶意软件或篡改文件或应用程序),或泄露客户信息、知识产权、商业机密或其他敏感数据。

恶意内部人员最近发动的一些攻击:

疏忽的内部人士

疏忽的内部人员并没有恶意,但会因无知或粗心而造成安全威胁,例如,受到网络钓鱼攻击后上当受骗、为了节省时间而绕过安全控制措施、丢失笔记本电脑而被网络犯罪分子用来访问组织网络,或者通过电子邮件将错误的文件(如包含敏感信息的文件)发送给组织外的个人。

在《2022 年 Ponemon 内部威胁成本全球报告》所调查的公司中,大部分内部威胁 (56%) 是由粗心或疏忽的内部人员造成的。2

遭到入侵的内部人员

受感染的内部人员是合法用户,其凭据已被外部威胁参与者窃取。根据 Ponemon 报告,通过被入侵的内部人员发起的威胁是代价最高昂的内部威胁,受害者平均需要花费 804,997 美元来补救。3

内部人员被入侵通常是由内部人员的疏忽行为导致。例如,2021 年,一名诈骗者使用社会工程策略(特别是语音网络钓鱼电话)获取了交易平台 Robinhood 客户支持系统的访问凭证。在这次攻击中,有超过 500 万个客户电子邮件地址和 200 万位客户姓名被盗(ibm.com 外部链接)。

应对内部威胁的武器

由于内部威胁部分或全部由完全认证用户(有时是特权用户)执行,因此将粗心或恶意的内部威胁指标或行为与普通用户的操作和行为区分开来尤其困难。根据一项研究,安全团队平均需要 85 天来检测和遏制内部威胁4,但一些内部威胁多年来一直未被检测到(ibm.com 外部链接)。

为了更好地检测、遏制和预防内部威胁,安全团队需要将各种实践和技术结合起来。

员工和用户培训

持续对所有授权用户进行安全政策(如密码强度、正确处理敏感数据、报告丢失的设备)和安全意识(例如,如何识别网络钓鱼骗局、如何正确处理系统访问请求或敏感数据)方面的培训,有助于降低因疏忽导致的内部威胁风险。培训还可以从整体上削弱威胁的影响。例如,根据《2023 年数据泄露成本报告》,员工受过安全培训的公司其数据泄露平均成本比总体平均泄露成本低 232,867 美元,降低 5.2%。

身份和访问管理

身份和访问管理 (IAM) 侧重于管理用户身份、身份验证和访问权限,以确保正确的用户和设备能够在正确的时间访问正确的内容。(特权访问管理是 IAM 的一个子分支,侧重于对授予用户、应用程序、管理员帐户和设备的访问权限进行更精细的控制。)

防止内部攻击的一个关键 IAM 功能是身份生命周期管理。限制心怀不满的离职员工的权限,或立即停用已离职用户的帐户,都是身份生命周期管理行动的示例 ,可以降低内部威胁的风险。

用户行为分析

用户行为分析 (UBA) 应用先进的数据分析和人工智能 (AI) 技术,为基线用户行为建模,并检测异常情况,这些异常情况可能预示着新出现或正在发生的网络威胁,包括潜在的内部威胁。(一项密切相关的技术,用户和实体行为分析或 UEBA,扩展了这些功能,以检测物联网传感器和其他终端设备的异常行为)。

UBA 经常与安全信息和事件管理 (SIEM) 一起使用,后者收集、关联和分析整个企业的安全相关数据。

进攻型安全

攻击型安全(或 OffSec) 使用对抗性策略(与不良行为者在现实世界攻击中使用的策略相同),来加强网络安全而不是损害网络安全。进攻型安全通常由道德黑客(网络安全专业人员)实施,他们不仅利用黑客技能检测和修复 IT 系统缺陷,还检测和修复用户应对攻击方式中的安全风险和漏洞。

有助于加强内部威胁计划的进攻型安全措施包括网络钓鱼模拟红队,其中道德黑客团队对组织发起模拟的、面向目标的网络攻击。

相关解决方案
内部威胁安全解决方案

内部威胁可能很难被发现,大多数案例几个月或几年都没有被注意到。保护您的组织免受可访问网络的内部人员的恶意或无意威胁。

探索内部威胁安全解决方案
使用 IBM Security QRadar SIEM 进行威胁搜寻

为安全分析人员提供所需的工具,大幅提高检测率,加快检测和调查威胁的时间。QRadar SIEM 规范化事件数据,使分析师可以使用简单的查询来跨不同数据源查找相关攻击活动。

探索利用 IBM QRadar 搜寻威胁的方法
威胁管理服务

通过智能、统一的威胁管理方法保护关键资产并管理整个威胁生命周期,帮助您检测高级威胁、快速准确地响应并从中断中恢复。

探索威胁管理服务
资源 2023 年《数据泄露的代价》报告

了解数据泄露原因以及增加或减少成本的因素,以便做好更充分的准备。从 550 多家遭遇数据泄露的组织中汲取经验。

什么是 SIEM?

SIEM(安全信息和事件管理)是一种软件,可帮助企业在潜在的安全威胁和漏洞破坏业务运营之前识别并加以解决。

IBM Security 2023 年 X-Force 威胁情报指数

了解威胁,战胜威胁 - 获取可操作的洞察力,帮助您了解威胁参与者如何发动攻击,以及您应如何积极主动地保护您的组织。

IBM 安全框架与发现研讨会

通过一场 3 小时的线上或线下设计思维免费会议,了解贵组织的网络安全状况,并与 IBM 资深安全架构师和咨询顾问共同确定各种安全计划的优先执行顺序。

什么是威胁管理?

威胁管理是网络安全专业人员防止网络攻击、检测网络威胁和响应安全事件的过程

及时了解内部威胁

在 IBM Security 主办的思想领导力博客 Security Intelligence 中阅读最新的内部威胁趋势和预防技术。

采取下一步行动

网络安全威胁变得更加先进和持久,要求安全分析人员付出更多努力来筛选无数的警报和事件。IBM Security QRadar SIEM 让您可以更快速地采取威胁修复措施,同时保持企业盈利。QRadar SIEM 可确保高精度警报的优先级,帮助您捕获旁人难以察觉的威胁。

了解有关 QRadar SIEM 的更多信息 申请 QRadar SIEM 演示
脚注

Verizon 2023 Data Breach Investigations Report(ibm.com 外部链接)

2, 3, 4 2022 Ponemon Cost of Insider Threats Global Report(针对 Proofpoint;ibm.com 外部链接)