内部威胁

本文约需 2 分钟阅读

内部威胁 (Insider Threat) 是指组织内部的人员 - 员工、合同工、业务合作伙伴等 - 出于故意或过失而引发的安全威胁。与来自外部的攻击不同，内部威胁的源头是持有合法访问权限的人员，因此用防火墙或边界防御难以检测。根据 Verizon 的 Data Breach Investigations Report (DBIR)，约 20% 的数据泄露事件涉及内部人员，且单起事件的损失金额往往超过外部攻击。

内部威胁的 3 种类型

内部威胁根据动机和经过大致可分为 3 类。由于每一类的检测手法和应对措施各不相同，正确理解类型是防御的出发点。

恶意内部人员

出于金钱目的、报复、间谍活动等明确意图带出信息。多见于即将离职者或对待遇不满的员工。

过失型内部人员

通过误发送、配置错误、上当于钓鱼等方式，在无恶意的情况下引发安全事件。从数量上看最多。

被入侵的账户

外部攻击者窃取合法用户的认证信息，伪装成内部人员。撞库攻击是典型的入侵途径。

基于 UEBA 的检测

传统的基于规则的监控难以识别合法权限范围内的可疑行为。 UEBA (User and Entity Behavior Analytics) 利用机器学习将每位用户的「正常行为模式」作为基线进行学习，并检测偏离。例如，对平时不访问的文件服务器的大量下载、深夜时段的异常登录、临近离职日的员工对机密文件夹访问量激增等行为自动评分，并与 SIEM 联动发出告警。

内部威胁的检测流程

收集行为日志

用 UEBA 学习基线

计算异常评分

SIEM 发出告警

SOC 进行调查与处置

离职人员的访问权限管理

许多内部威胁事件集中在离职前后的时期。已决定离职的员工在在职期间带出机密数据的情况并不罕见。作为 IAM 的运营，重要的是建立这样的流程：分阶段缩减即将离职者的访问权限，并在最后上班日立即停用其全部账户。离职后还需确认云服务的个人账户中是否残留了业务数据。

与最小权限原则的关系

最小权限原则是内部威胁防御的基础。若向全体员工授予广泛的访问权，恶意行为的影响范围会扩大，过失导致事故的发生概率也会升高。只授予职务所需的最小权限，并通过定期的安全审计防止不必要权限的累积 (权限蔓延)，是将损害局部化的关键。若与数据分类相结合，便可根据机密程度更精细地设计访问控制。

常见误解

「我们公司规模小，所以内部威胁与我们无关」这种认识很危险。组织规模越小，职责分离往往越松散，1 名员工常常能够访问广泛的系统。此外，由于内部威胁不仅包括恶意还包括过失，因此这与是否信任员工是两回事。应将访问控制机制理解为「为维持信任而设立」，而非「因不信任而设立」。关于内部威胁应对的实践方法，内部威胁防御的文章有详细讲解。内部威胁应对相关书籍 (Amazon)也可作为实务参考。

现场使用案例

“UEBA 检测到一名即将离职的员工从最后上班日的 2 周前起，连日访问其平时不会访问的设计图纸文件夹。经调查查明，这是为跳槽到竞争对手而企图带出数据，我们得以防患于未然。”

关于整个组织的安全体制，也请一并参阅企业的密码策略和初创公司的安全检查清单。