可能导致严重数据泄露的5种内部威胁

组织内部的违规事件通常是由组织内部的员工或领导者引起的，却是所有数据泄露事件中代价最高昂且最难检测到的事件。根据“2018年IBM X-Force威胁情报指数”调查报告，2017年数据泄露的事件中有三分之二是组织内部人员无意造成的结果，而组织的内部威胁也是导致网络攻击的主要原因，达到数据泄露事件总量的60%。同时，2017年因组织内部员工疏忽导致的错误配置的云计算服务器和网络备份事件中，总共泄露了20多亿条数据记录。

虽然组织将大量资源集中用于应对缓解外部威胁行为者，但内部风险可能对企业构成更大的财务威胁。根据调研机构波洛蒙研究所的“2018年内部威胁成本”报告，2017年由于组织内部人员引发事件，每个事件的平均损失为876万美元，是当年全球数据违规事件平均损失386万美元的两倍多。

组织管理内部威胁的传统方法是采用安全意识培训和访问治理来降低风险。虽然这些措施至关重要，但它们不足以减轻所有类型的内部员工风险。这是因为人类是非常多变的，没有考虑到内部人员的风险可能导致出现代价高昂的安全事件。

根据调研机构波洛蒙研究所的调查，组织的内部员工的无意行为是最常见的内部威胁形式，占数据泄露事件的64%，而外部攻击行为只占数据泄露事件的23%。然而，内部人员的风险比简单的疏忽和恶意企图更加复杂。

实施无意行为的内部人员既包括不响应培训的员工，也包括因错误配置的云计算网络等错误而产生后果的员工。在犯罪类别中，存在内外串通、长期恶意行为和破坏的情况。因此，彻底了解以下五种不同的内部风险类别，对于安全团队制定全面保障措施来说至关重要。

1. 非响应者

组织中实施无意识行为的员工通常是培训活动的非响应者。虽然这些员工可能不会故意疏忽行事，但他们是组织中风险最高的成员之一，因为他们的行为可能更频繁。 2017年，Verizon公司发现在特定网络钓鱼活动中，平均有4.2%的内部人员会点击恶意链接。具有网络钓鱼攻击历史的人员更有可能再次遭到网络钓鱼。

虽然一直以不安全方式行事的员工通常只是组织中一小部分，但其错误的总体影响却是惊人的。波洛蒙研究所的调查发现，去年有63%的事件是由各种类型的疏忽造成的。

2. 内部人士的疏忽行为

简单疏忽是最常见的内部威胁形式，也是最昂贵的风险类别之一。而此类别的内部威胁通常可能表现出安全行为并遵守政策，但会因孤立的错误而导致违规。根据X-Force的调查报告，这来自员工的错误判断，例如将数据存储在不安全的个人设备上，或者因网络钓鱼计划而丢失，这占到2017年数据违规事件的三分之二。

威胁行为者越来越了解组织内部人员无意中造成的漏洞。X-Force的调查报告揭示了过去一年中利用员工错误最常见的犯罪策略的几种模式：

38%的外部攻击者试图欺骗用户点击恶意链接或附件。

35%的外部风险是针对中间人(MitM)攻击的尝试。

27%的外部威胁试图利用配置错误的服务器。

3. 组织员工内外串谋

组织内部员工与恶意外部威胁攻击者的内外串谋可能是最罕见的内部犯罪风险，但由于专业网络犯罪分子越来越多地通过暗网招募组织员工，这仍然是一个重大威胁。

社区紧急响应小组(CERT)的一项研究表明，内部人员共谋事件占所有内部人员引发事件的48.32%。与此同时，内部人员与外界攻击者共谋事件占16.75%。这些事件有几种形式：

大约37%的事件涉及欺诈。

大约24%的事件涉及知识产权盗窃。

大约6%的事件涉及欺诈和盗窃。

根据这个研究，内部人员引发的事件属于违规行为中代价最高昂的类别，并且其检测的时间可能比单独实施行为的内部人员造成的事件要多四倍。

4. 持久的恶意行为

最常见的是，实施犯罪行为的内部人员为了经济回报或个人利益而泄露数据或实施其他恶意行为。调研机构Gartner公司对组织内部犯罪威胁的研究发现，62%具有恶意意图的内部人员被归类为寻求额外收入的人员，其工作资历与这类行为几乎没有相关性。只有14%的持续恶意内部人员担任领导角色，大约三分之一拥有敏感数据访问权限。

这些人的行为可能会在未被发现的情况下表现出更多的复杂性，以最大限度地提高窃取数据的个人利益。这些人员可能会缓慢地将数据泄露以避免检测，而不是大规模地将数据导出，因为这可能会在传统网络监控工具中引发警报。

5. 心怀不满的员工

作为内部人员威胁的最后一类，心怀不满的员工故意破坏或盗窃知识产权也是组织面临的最昂贵代价的风险。Gartner公司对内部人员犯罪的分析发现，29%的员工在辞职或被解雇后窃取组织信息以获取未来收益，而9%的员工只是出于报复这样简单的犯罪动机。

心怀不满的员工可以适应许多行为子模式。而从接到离职通知的那一刻起，一些沮丧的员工可能开始收集或获取没有特定目标的信息。而一些员工可能会有非常具体的意图，并着手向竞争对手出售商业机密。

内部人员可能成为企业中最大的安全风险，但内部威胁是可变的。并没有一种万能的方法可以减轻所有类别的员工风险。因此对于内部人员的防范没有完美的解决方案。而提高对内部威胁的认识和采用行为分析工具可能是防范企业内部威胁的最佳方法。

1. 从数据保护开始

企业中最有价值的数据和系统最容易受到任何类型的内部威胁，其中包括疏忽和犯罪意图造成的风险。为了创建透明度，组织应该整理风险资产，并对其进行分类。持续的监控和认知分析可以保护知识产权和敏感数据记录免受各种网络安全威胁。

2. 采用行为分析方法

虽然组织的每个员工都以自己的方式行事，但个人模式的变化可以预测风险。人工智能和行为分析是检测工作场所习惯和信息消费的微妙模式风险的特殊工具。用户行为分析可以通过深度分析来缓解所有类别的内部威胁，以预测风险倾向。

3. 进行风险评估

行为分析的认知应用程序可以进行风险评估，以便在发生违规行为之前主动识别潜在的内部风险。当组织面临更高的错误风险或发现犯罪行为时，可以采取缓解控制措施，加强访问管理，或者在极端情况下进行帐户隔离，以防止数据丢失。

4. 减少漏洞

针对内部人员和外部攻击者威胁的最大保护措施之一是强大的安全管理措施，以减少组织的漏洞。保持持续的合规性可以促进关键资产的透明度和数据保护。修补程序和网络监视需要在系统或员工受到威胁的那一刻起实施，而不是事件发生后几个月。

5. 减轻内部威胁

虽然勒索软件、加密劫持以及其他外部威胁是人们广泛讨论的安全风险，但组织的内部人员是造成数据泄露的主要原因。疏忽、内部人士犯罪、数据被盗与大部分丢失的记录有关。 X-Force的调查研究表明组织的内部威胁2017年同比增长5%。

了解人类行为的巨大差异对于创建防范组织内部风险的充分保障非常重要。组织借助合规性、数据保护和用户行为分析工具，可以主动防范网络中的无意错误和犯罪意图。