內(nèi)部威脅指的是公司內(nèi)部員工，但入侵者卻不再僅僅局限于身處公司大樓內(nèi)部的人。甚至本地咖啡館這種公共場(chǎng)所，都能連上公司網(wǎng)絡(luò)。

由于企業(yè)系統(tǒng)的邊界正在模糊，網(wǎng)絡(luò)安全的難度加大，企業(yè)需要調(diào)整策略和規(guī)程。雖然很多技術(shù)都在改變，但限制依然留存，公司必須在阻止惡意攻擊上繼續(xù)保持積極主動(dòng)。他們必須了解自己的威脅，并調(diào)整自己的技術(shù)以適應(yīng)威脅。更重要的是，招募合適的團(tuán)隊(duì)，打造正確的技術(shù)。

對(duì)內(nèi)部威脅的遏阻，應(yīng)與期望緩解的風(fēng)險(xiǎn)類型相匹配，要基于環(huán)境因素制定計(jì)劃，比如公司文化、公司狀態(tài)(健康度、弱點(diǎn)、裁員情況等)，還有公司看待/監(jiān)測(cè)/合法管理承包商的方式。

公司應(yīng)提供“按需知密”的訪問控制，審計(jì)所有行為，且審計(jì)應(yīng)由具備足夠能力的人來實(shí)施，比如管理員。企業(yè)能做的最重要的一件事，是減小內(nèi)部人對(duì)敏感數(shù)據(jù)擁有的權(quán)限。這是安全廠商之間的共識(shí)，別向員工開放整個(gè)網(wǎng)絡(luò)，讓訪問成為特權(quán)而非權(quán)利。

最小化訪問授權(quán)，最大化對(duì)授權(quán)異常模式的監(jiān)測(cè)。

除了減小雇員權(quán)限級(jí)別，企業(yè)還應(yīng)實(shí)行良好的監(jiān)管，權(quán)限審查與驗(yàn)證的責(zé)任，應(yīng)直接賦予該管理數(shù)據(jù)資源的生產(chǎn)線經(jīng)理。

“企業(yè)應(yīng)監(jiān)測(cè)敏感或有價(jià)值數(shù)據(jù)的訪問活動(dòng)，查找可能揭示內(nèi)部人不恰當(dāng)訪問該數(shù)據(jù)的異常行為，或者，更常見的：外部人盜取憑證后成功冒充特權(quán)用戶的情況。就像所有良好安全一樣，遏阻內(nèi)部威脅需要多層次方法。好消息是，最基礎(chǔ)的步驟往往提供最大的價(jià)值，做到系統(tǒng)且深入，可以為敏感數(shù)據(jù)保護(hù)帶來巨大好處。”

此外，企業(yè)還應(yīng)推行常規(guī)安全意識(shí)和信息監(jiān)管培訓(xùn)。此類培訓(xùn)可確保員工領(lǐng)會(huì)事件響應(yīng)規(guī)則，積極報(bào)告可疑活動(dòng)。

意識(shí)培訓(xùn)

安全專家的另一個(gè)共識(shí)是，安全意識(shí)培訓(xùn)是員工輔助發(fā)現(xiàn)內(nèi)部威脅的關(guān)鍵。

全體員工的安全意識(shí)教育和培訓(xùn)應(yīng)普及且成為常態(tài)。這包括反復(fù)提醒哪些是或不是可接受的行為，風(fēng)險(xiǎn)是什么，以及怎樣報(bào)告可疑的攻擊或數(shù)據(jù)泄露。

建立內(nèi)部風(fēng)險(xiǎn)團(tuán)隊(duì)，可在輔助識(shí)別和阻止內(nèi)部威脅的安全軟件工具評(píng)估上，充當(dāng)領(lǐng)導(dǎo)角色，為敏感信息提供安全防護(hù)，尤其是與外部共享的信息，例如被發(fā)送給外部董事的董事會(huì)文檔。

創(chuàng)建并維護(hù)風(fēng)險(xiǎn)登記簿，登記并量化需修復(fù)的風(fēng)險(xiǎn)，并采取后續(xù)緩解措施，十分關(guān)鍵。為演示進(jìn)展，內(nèi)部風(fēng)險(xiǎn)團(tuán)隊(duì)?wèi)?yīng)建立關(guān)鍵業(yè)績(jī)指標(biāo)(KPI)，然后審計(jì)并報(bào)告風(fēng)險(xiǎn)等級(jí)，展現(xiàn)每年的狀態(tài)和改進(jìn)。

風(fēng)險(xiǎn)管理團(tuán)隊(duì)還可以幫助確保公司“檢舉”策略和規(guī)程是簡(jiǎn)單易用且可行的，而且能在內(nèi)部威脅被發(fā)現(xiàn)時(shí)快速確定。最重要的是，該團(tuán)隊(duì)?wèi)?yīng)與公司領(lǐng)導(dǎo)層協(xié)作建立一種透明且負(fù)責(zé)的文化，確保策略被嚴(yán)格執(zhí)行，任何報(bào)告了潛在威脅信息的人都會(huì)受到獎(jiǎng)勵(lì)，而不是被懲罰或放逐。

實(shí)現(xiàn)風(fēng)險(xiǎn)緩解和安全軟件，對(duì)發(fā)現(xiàn)、遏阻和報(bào)告安全事件至關(guān)重要。但是，僅靠軟件解決不了這個(gè)問題。建立起負(fù)責(zé)且透明的文化，并嚴(yán)格實(shí)施策略，可以有效防止?jié)撛谕{演變?yōu)檎嬲奈C(jī)。

傳遞“遏制內(nèi)部威脅，人人有責(zé)”的概念是關(guān)鍵。雖然在技術(shù)解決方案上的投入也很重要，但沒有任何一個(gè)技術(shù)解決方案能夠替代警醒的終端用戶。

讓員工知道內(nèi)部威脅計(jì)劃，告訴他們計(jì)劃的意圖、恰當(dāng)?shù)臄?shù)據(jù)處理是什么樣的，確保他們理解自己在公司保護(hù)中的作用，可以幫助抑制疏漏行為，發(fā)現(xiàn)故意犯錯(cuò)的人。技術(shù)控制，例如用戶或終端行為分析，便可隨之提供必要的監(jiān)視，通報(bào)IT安全團(tuán)隊(duì)異常行為的出現(xiàn)，并同時(shí)收集必要的鑒證證據(jù)。

弄清自身資產(chǎn)

如果自己都不知道自家網(wǎng)絡(luò)里有些什么，要確定是否有人在訪問不該訪問的東西就特別難了。

企業(yè)應(yīng)識(shí)別出自身關(guān)鍵資產(chǎn)及其擁有者，對(duì)數(shù)據(jù)進(jìn)行分類。公司內(nèi)部資產(chǎn)和云基礎(chǔ)設(shè)施上的資產(chǎn)都要了解。想要識(shí)別出有組織犯罪團(tuán)伙和個(gè)別惡棍的行為模式，必須依靠值得信賴的威脅情報(bào)予以強(qiáng)化。

想有效減小內(nèi)部人風(fēng)險(xiǎn)，公司應(yīng)搞清有哪些資產(chǎn)是一旦被侵入就會(huì)導(dǎo)致最嚴(yán)重破壞的，這些資產(chǎn)位于何處，誰負(fù)責(zé)管理和操作這些資產(chǎn)。公司還應(yīng)限制對(duì)這些資產(chǎn)的訪問，只有真正需要的雇員和承包商才可以訪問，并實(shí)施持續(xù)的行為監(jiān)測(cè)，讓業(yè)務(wù)應(yīng)用擁有者參與進(jìn)警報(bào)是否誤報(bào)的判定中來。

這種面向業(yè)務(wù)的警報(bào)評(píng)定可以大幅減少噪聲和誤報(bào)，凸顯出最重要和緊急的警報(bào)。非惡意策略違反者應(yīng)被列入不可接受行為通告，送去進(jìn)行相關(guān)針對(duì)性安全意識(shí)培訓(xùn)，并在培訓(xùn)后跟蹤觀察，確保不再犯同樣的錯(cuò)。