发现内部威胁并不容易，有许多行为指标可以帮助您发现潜在威胁来自哪里，但这只是成功的一半。有效的内部威胁检测还需要全面的工具，允许您监视可疑用户的会话并跟踪他们的活动。

在本文中，我们将描述哪些内部威胁行为指标可以帮助您发现潜在的恶意参与者，同时还提供有效的内部威胁防范策略，以帮助您阻止、检测和破坏内部威胁。

内部威胁类型 

内部人员是有权访问关键数据和系统的员工或第三方承包商。然而，并不是每个内部人员都具有相同级别的访问权限，因此也并非每个内部人员都会构成相同级别的威胁。Verizon概述了五种最常见的内部威胁类型：

• 心怀不满的员工—很多事情都会让员工心怀不满：升职或加薪被拒绝，与同事和经理的关系不好，等等。心怀不满的内部人员可能会利用他们的职位之便进行报复，给公司造成严重的伤害。
• 恶意的内部人员—这些员工会滥用他们的访问权限来窃取、泄露或删除有价值的公司数据。恶意的内部人员和心怀不满的员工之间的主要区别在于他们的动机。心怀不满的员工滥用数据是一种情绪反应，而心怀恶意的内部人士通常会为了经济利益或间谍活动而实施网络犯罪。
• 疏忽的员工—内部人员可能会无意中泄漏数据或破坏公司的基础设施。根据波耐蒙研究所（Ponemon Institute）的《2023年内部威胁成本全球报告》指出，疏忽的内部人员占所有内部威胁的55%。
• 自作聪明/自以为是的员工—当员工或承包商不遵循网络安全的最佳实践时，很容易遭受网络攻击。根据同一份报告显示，在2023年，20%的事件涉及自以为是的内部人员。
• 第三方供应商和承包商—类似网络安全控制不足的问题通常会出现在第三方用户这边。虽然您可以审核他们的安全控制作为您选择过程的一部分，但这仍然无法保证您的敏感数据的完全安全。

如上所述，并非每个危险的内部人员都是恶意的。还有一个很大的风险是出于无心的错误，这大多是由员工和承包商犯下的。任何公司都可能成为这些错误的受害者，但试图消除人为错误却是异常艰难的过程。

最好的办法是提高员工的内部威胁意识，践行最佳安全实践，并制定网络安全政策，以限制人为错误的可能性，并在出现错误时帮助减轻损失。

接下来，让我们更详细地看看内部威胁背后最常见的动机。

内部攻击的目标

内部人员可以根据自己的动机瞄准各种资产。通常，他们关注的是那些可以在黑市上轻易出售的数据（如客户或员工的个人信息），或者对公司运营至关重要的数据（如营销数据、财务信息或知识产权）。最常见的内部攻击目标包括：

• 数据库
• 文件服务器
• 端点
• 特定的应用程序
• 移动设备
• 网络
• 云存储

根据Paul Furtado和Jonathan Care的《主动内部风险管理的3条规则》（The Rule of 3 for Proactive Insider Risk Management）所述，最常见的内部威胁活动可以分为三种方案，即欺诈、数据盗窃和系统破坏，这些方案被认为是违反政策或非法的。内部威胁的情况不仅仅局限于统计数据。在《超越恐惧》（Beyond Fear）一书中，著名的安全专家Bruce Schneier对恶意内部人员进行了全面的研究，揭示了不同的类别和驱动其行为的动机：

• 机会主义者—这些内部人员不会提前计划恶意行动，而是决定在机会出现时实施攻击。经济困难和以前的可疑行为历史可能是这种攻击的警告信号。
• 有计划的攻击者—这些内部人员通常很难被阻止。他们会事先计划行动，且通常针对非常具体的数据。即使发生了这种攻击，也很难检测到。
• 情绪型攻击者—这些员工攻击的主要动机是情绪和感觉，如恐惧、贪婪或愤怒。他们不是等待机会，而是自发地攻击，且通常缺乏详细的计划。有时，他们甚至想被抓住，以引起人们对他们问题的关注。情绪型攻击者的一个常见例子是心怀不满的员工。
• 恐怖分子和数字激进分子—这些内部人员通常会策划他们的攻击活动，且目的并非窃取数据，只是试图尽可能地造成破坏，例如，通过破坏公司网络基础设施并从内部将其摧毁。

除了以上四种类型，Bruce Schneier还提到“朋友和亲戚”也是另一种不容忽视的恶意内部人员，他们可以通过访问朋友或家人的电脑来实施欺诈或数据盗窃。在与分包商和远程工作者打交道时，这群内部人员非常值得考虑。

好消息是，内部攻击（无论是有计划的还是自发的）多多少少会存在一些迹象。检测到它们可以帮助您及时防止攻击，或者至少能够得到早期预警。接下来，我们来探讨一下需要注意的最常见的内部威胁指标。

恶意内部人员的主要行为指标

检测恶意的内部攻击可能是非常困难的，特别是当您面对的是一个有计划的攻击者或一个对您公司的来龙去脉了如指掌的心怀不满的前雇员时。检测此类攻击的一种方法是关注内部威胁行为的各种指标。

恶意的内部人员可能会根据他们的个性、动机和目标做出不同的行为。然而，有一些常见的内部威胁迹象值得注意：

1、不满情绪

如上所述，当员工对自己的工作不满意或认为组织存在不当行为时，他们更有可能进行内部攻击。员工不满的迹象有很多。最明显的包括以下几点：

• 经常与同事和主管发生冲突。
• 表现不佳和日常拖拉，如迟到早退，比平时犯更多的错误，经常错过截止日期等。
• 不合理的缺勤。
• 系统性地违反组织政策。
• 寻找其他的就业机会 。

这些指标最容易被员工的团队领导、同事或人力资源部门发现。当然，对工作不满意不一定会导致内部攻击，但它可以作为一种额外的动机。及时的谈话可以减轻这种威胁，提高员工的工作效率。

收到解雇通知的员工也会带来风险，无论他们的行为如何，都应该受到监控，直到他们离开工作场所为止，而且此时他们对公司基础设施的访问权限应立即被取消。

2、不同寻常的热情

有时，员工可能会对额外的工作表现出不同寻常的热情。这可能包括以下几点：

• 没有特别要求就加班
• 一再主动要求做额外的工作
• 在非正常时间工作
• 试图执行超出其正常职责范围的工作
• 没有正当理由在家工作

所有这些操作都应被视为员工试图扩展对敏感数据的访问权限。虽然不一定是恶意的，但这种行为值得特别关注，以确保他们没有复制或以其他方式篡改敏感数据。

3、频繁的旅行和假期

我们可能认为间谍活动是詹姆斯·邦德（James Bond）电影里才有的东西，但统计数据告诉我们，这是当今一个真实存在的威胁。虽然大多数数据泄露仍然是出于经济考虑，但间谍活动是导致数据泄露的第二大原因。根据Verizon的《2023年数据泄露调查报告》指出，在公共管理或自然资源和采矿等一些行业，间谍活动高达30-32%。

经常去其他城市甚至国家可能是间谍活动的一个明显迹象。雇员可能在竞争对手的公司——甚至是政府机构——工作，并将您的敏感数据传输给他们。

潜在内部威胁的另一个早期迹象是，员工表现出可疑的国家忠诚度。这可能不仅意味着他们与其他国家的政府机构或公司合作，而且他们更有可能在数据出现时抓住机会窃取或破坏数据。

除此之外，频繁出差也可能表明财务状况发生了变化，这本身就是潜在内部威胁的一个很好的指标。

4、无法解释的财务状况变化

如果员工在没有任何明显的额外收入来源的情况下意外地还清了债务或进行了昂贵的采购，这也许表明他们可能从您的敏感数据中获利。这分为以下几种情况：

• 雇员可能是被竞争对手刻意接近并被迫从事工业间谍活动
• 雇员可复制并出售您的数据以获取利润
• 雇员可以利用您的商业竞争数据，比如客户名单，来夺取您的市场份额

总的来说，财政情况的任何意外和迅速变化都是令人关切的，应作为密切监测的一个重要指标。

但是金钱并不是强迫雇员——即使是忠诚的雇员——从事工业间谍活动的唯一方式。竞争公司和外国政府有时还会利用有害信息敲诈或威胁您的员工。例如，有关以前吸毒成瘾或法律问题的信息，如果落入坏人之手，便可以有效地用来对付员工。限制这种情况的一种方法是使用背景调查，以确保员工没有可用于勒索的未公开历史。

5、意外地想要离开公司

当一名员工突然决定离开您的组织而没有提供通知或解释时，这可能表明存在内部威胁。此外，如果一名即将离职的员工在离职前下载了大量敏感数据，也应该引起警惕。

您还应该记住，如果员工在不利的情况下离开公司，比如纠纷或解雇，恶意行为的风险可能会增加。考虑到这一点，您应该看看离职员工过去的网络活动，确保他们没有做任何不寻常的事情或访问他们不应该访问的数据。至少有必要回顾一下他们在过去90天里的活动。

确保适当的离职流程也很重要——确保立即撤销离职员工的访问权限，停用他们的账户，并将他们从电子邮件组和分发列表中删除。

需要关注的数字内部威胁指标

除了行为威胁指标，您还可以发现一些数字威胁指标。主要的数字网络威胁指标包括以下几点：

• 异常登录时间—如果员工或供应商在异常时间登录到您的系统，这可能是他们试图在不被发现的情况下访问您的敏感信息的信号。
• 访问用户职责以外的数据—当用户寻求访问超出其工作角色范围的敏感数据时，这也是恶意内部威胁的危险信号。
• 搜索敏感数据—增加系统搜索的合法用户也可能是内部威胁的潜在指标，因为他们可能试图查找和泄露机密数据。
• 大数据下载和传输—如果您检测到网络流量激增，这可能表明大量公司文件被复制或通过电子邮件发送到您的组织外部，用于恶意目的。
• 使用未经授权的USB设备—内部威胁的关键指标之一是用户运行查询并将关键数据下载到未经授权的设备。
• 创建新的供应商账户和采购订单批准—当用户创建新的供应商账户、采购订单或申请时，他们的行为需要被调查，因为他们可能会生成“幽灵”账户或订单以获取经济利益。
• 禁用杀毒软件或防火墙—内部人员在进行未经授权的活动时可能会禁用安全控制以避免被发现。
• 安装未经批准的软件—恶意行为者可能试图绕过安全控制并使用第三方工具泄露敏感数据。

您需要认真对待这些行为，并考虑到它们的潜在威胁。应对内部威胁的关键一步是制定一个全面的战略。

内部威胁防范策略

要采取全面的方法来预防内部威胁，您需要一个全面的策略，具体应该包括以下关键步骤：

1、执行网络安全策略

每个处理组织关键数据的人都应该知道保护数据安全的注意事项。更具体地说，您应该定义使用公司系统的指导方针，在发生网络安全事件时采取的步骤，以及如何发现潜在的恶意行为者。所有这些信息都应该记录在您的网络安全政策中。这将帮助您提高员工的网络安全意识，并最大限度地减少无意和有意的内部威胁的数量。

2、加强对关键资产的保护

确定组织的关键资产及其优先级，并确定它们当前的防护状态。根据敏感资产对组织的影响程度对其进行优先级保护。然后，您可以通过将对您最有价值的资产的访问最小化来限制攻击面，只允许最少量的人访问，并且只允许他们在执行职责所需的特定时间内访问。在多个用户之间划分关键任务和相应的访问权限也是一种有效的做法，有助于减少特权滥用的风险。

3、为正常的用户行为创建一个基线

通过区分正常行为和可疑行为的能力，您可以在网络安全事件发生之前发现潜在的危险用户活动。考虑实现用户和实体行为分析（UEBA）解决方案来跟踪用户行为。UEBA首先收集用户活动数据（常见的登录和注销时间、击键动态等），对其进行分析，并为网络中的每个用户创建正常行为的基线。一旦检测到与基线的偏差，您将收到通知，以进一步调查该事件。

4、获得用户活动的可见性

您可以通过部署监控软件来增加用户如何处理敏感数据的可见性。使用用户活动监控工具，您可以清楚地了解员工启动了哪些应用程序，访问了哪些网站，插入了哪些USB设备，输入了哪些内容等。您可以利用这些信息来检测可疑活动，并减少数据泄露和其他网络安全事件的可能性。

5、创建一个内部威胁程序

如果您还没有，建议现在立即启动一个内部威胁程序。一个全面的内部威胁程序不仅可以帮助您检测内部威胁，还可以帮助防止它们并减轻其后果。为了获得最佳效果，建议使用专业内部威胁管理软件来支持您的程序。

原文标题：Key Cybersecurity Insider Threat Indicators to Pay Attention To。

链接：https://www.ekransystem.com/en/blog/insider-threat-indicators。