內部威脅是指來自機構內部的安全風險,通常涉及員工、承包商或可信賴的合作夥伴,他們濫用其存取權限造成傷害,無論是有意還是無意。
目錄
內部威脅定義
雖然大多數網絡保安防禦都集中在阻截威脅,但內部威脅卻從內部而來,靜靜地,而且往往沒有即時跡象。這些威脅涉及可合法存取機構系統、數據或設施的人士,使他們具有獨特優勢,無論是有意還是意外地造成傷害。
內部威脅尤其危險,因為它們在受信任下運作。有別於必須入侵防火牆及入侵偵測系統的外部黑客,內部人士可在未被偵測的情況下遨遊內部網絡,而他們通常使用根據日常身份獲授予的工具及權限。
許多機構,尤其是採用混合工作模式或複雜數碼基礎設施的機構,對內部用戶活動的視野都很有限。缺乏視野會造成盲點及導致內部威脅茁壯成長,令關鍵系統及敏感資料遭到濫用。
挑戰不僅在技術性方面,更會深入機構文化。公司必須營造一個鼓勵各級問責、員工警惕及保持網絡保安意識的工作場所。沒有這種做法,即使員工表現良好,也可能成為無意中出現的風險。
誰有資格成為內幕人士?
內部人員可包括:
現任員工(資訊科技、人力資源、財務等)
仍然擁有登入權限的前僱員
第三方承包商
業務夥伴或供應商
實習生或臨時員工
內部威脅的類型
他們可根據個人動機、特權和活動來形成不同形式。知道這些形式對於識別及對抗可能出現的威脅至關重要。
惡意內部人士
他們是故意傷害組織的內部人士。他們的原因可以是報仇、意識形態、個人利益或為競爭對手工作。這些惡意的內部人士通常也知道如何隱藏自己,因此他們的威脅就會更大。
他們可能會竊取保密資訊、偽造記錄、破壞業務或植入惡意程式。在其他情況下,他們甚至可以在攻擊前安靜數月,以便可保持存取權更長時間。
疏忽的內部人員
疏忽內部人士指無意中違反保安的僱員或承包商。這可能涉及不小心點擊網絡釣魚訊息、選擇壞密碼、錯誤處理敏感資料或忽略保安管控。
大多數內部攻擊都因疏忽所致,大部分時候都是由於不熟悉或缺乏培訓,而非不良動機所致。不幸的是,其影響可能與計劃攻擊一樣嚴重。
被入侵的內部人員
被入侵的內部人員士是指被外方竊取或取得合法用戶憑證的人員,他們通常透過網絡釣魚、惡意軟件或社會工程被入侵。外部方作為可信賴的用戶存取內部資源。
這是一種非常難以偵測的威脅類型,因為其用途似乎來自合法授權來源。這通常需要進階行為分析來偵測使用模式的異常情況。
疏忽內部人員
串通是指內幕人士與外部人士或犯罪集團合作的情況。這種威脅通常由財務收益或勒索所推動,並結合內幕情報及外部資源。串通的威脅最麻煩,因為它結合了內部人員的廣泛接觸面及外人的技巧和資源,從而產生極具針對性的破壞性攻擊。
為何內部威脅如此危險
內部人員擁有合法存取權,他們了解系統、政策和弱點,因此難以偵測。
根據 2023 年 Ponemon Institute 報告,在英國,內部威脅的平均成本為 940 萬英鎊,其中超過 63% 是因疏忽所致。
財務成本及數據損失
類型
影響
例子
疏忽的內部人員
平均損失 940 萬英鎊
員工透過公有雲分享敏感檔案
惡意內部人員
知識產權盜竊、罰款
工程師在離職前竊取源碼
被入侵的內部人員
部署
網絡釣魚受害者向攻擊者交出存取權
內部威脅的真實情況
英國的幾個備受矚目案例顯示,內部威脅可能涉及哪些行業:
大英博物館入侵者盜竊案(2023 年)
據稱有一名員工偷走並破壞了館藏的古代文物。員工逐步利用他們的職位和權力,找出登入內部和庫存審計的弱點。
Daniel Khalife 越獄案(2023 年)
一名前英國陸軍士兵買通熟識 Wandsworth 監獄內部及其程序的內部人員來越獄。它對可登入機構及專業培訓人員構成威脅。
能源行業濫用登入權
NCSC 亦指出內部威脅是對英國關鍵基礙設施的最重大威脅。在一宗個案中,一家能源公司的前承包商在離職後嘗試破壞業務流程,這顯示了員工離職後適當管理登入權限的重要性。
內部威脅定義
雖然大多數網絡保安防禦都集中在阻截威脅,但內部威脅卻從內部而來,靜靜地,而且往往沒有即時跡象。這些威脅涉及可合法存取機構系統、數據或設施的人士,使他們具有獨特優勢,無論是有意還是意外地造成傷害。
內部威脅尤其危險,因為它們在受信任下運作。有別於必須入侵防火牆及入侵偵測系統的外部黑客,內部人士可在未被偵測的情況下遨遊內部網絡,而他們通常使用根據日常身份獲授予的工具及權限。
許多機構,尤其是採用混合工作模式或複雜數碼基礎設施的機構,對內部用戶活動的視野都很有限。缺乏視野會造成盲點及導致內部威脅茁壯成長,令關鍵系統及敏感資料遭到濫用。
挑戰不僅在技術性方面,更會深入機構文化。公司必須營造一個鼓勵各級問責、員工警惕及保持網絡保安意識的工作場所。沒有這種做法,即使員工表現良好,也可能成為無意中出現的風險。
誰有資格成為內部人員?
內部人員可包括:
現任員工(資訊科技、人力資源、財務等)
前僱員可長期使用
仍然擁有登入權限的前僱員
業務夥伴或供應商
實習生或臨時員工
採用國家及國際框架
機構應符合以下主要標準:
NIST Insider Threat Mitigation Framework:這個以美國為本的模型在全球廣泛被引用,並提供建構內部風險計劃的結構化方法。
ISO/IEC 27001:資訊安全管理系統(ISMS)的國際黃金標準,包括內部風險控制及審計準備。
NPSA(前身為 CPNI)內幕風險緩解指引:英國國家保護安全局提供詳細的資源,以識別和減少內幕威脅,特別是在關鍵行業。
Cyber Essentials & Cyber Essentials Plus:政府支持的計劃,推廣存取管控、監控及系統強化方面的最佳實務。
政策和機構文化最佳實務
除了合規之外,強而有力的內部實務亦至關重要:
制定明確的內部威脅政策:釐定構成內部威脅的因素、如何報告事件及違反政策的後果。
定期測試及更新管控:利用紅隊、稽核及事故模擬來評估您的防禦在實際情境下的表現。
鼓勵跨部門協作:涵蓋人力資源、法律、資訊科技及合規,以建立全面的內部風險部署。
優先考慮心理安全及舉報文化:員工應有能力舉報可疑行為,而毋須擔心遭到報復。
內部威脅的跡象及指標
內部威脅可能難以精準偵測,因為它們來自可信賴的用戶。但即使是行為或系統使用的細微變化,也可能代表問題更嚴重。
意外存取敏感系統 — 尤其是正常工作時間之外 — 通常是其中一個重要提示。員工存取與其職責無關的資料,或將大量資料傳輸至外部磁碟機或雲端儲存空間,可能有意或無意地為資料盜竊作好準備。
其他跡象包括停用保安工具、不斷違反政策或出現異常行為,尤其是在負面的辦公室事件後,例如降職或辭職通知。在某些情況下,內部人士可能要求提升登入權限或在沒有正當理由下試圖進入受限制區域。
及早識別這些規律,尤其是在行為分析支援的情況下,是偵測內部威脅以免造成持久傷害的關鍵。
預防及緩解措施
為盡量減少內部威脅,首先要授予最低限度的存取權限。這個最低檯限方式可減少曝露風險,其他工具如用戶行為分析(UEBA)和特許存取管理(PAM)都可以有效地即時發現誤用情況。
適當的離職安排至關重要,要確保員工離開機構時同時停止存取權限。攻擊最常在跳過簡易步驟後發生。
員工亦須持續接受培訓。接受過內部威脅性質及注意要點培訓的員工可成為防禦的延伸。鼓勵開放及負責任的工作環境亦鼓勵提早報告可疑行為。
最後,將監控技術如 SIEM 與行為資訊相結合,讓機構獲得即時回應及阻截威脅所需的啟示。
我可以在哪裡獲得管理內部威脅的協助
了解內部威脅只是開始,機構仍需要正確的技術來防範威脅。Trend Vision One™ 為您提供偵測風險用戶行為所需的視野及分析,以免造成損害。
Trend Vision One 透過關聯用戶端、雲端、電郵及身份層的活動,協助發掘傳統工具錯過的內部風險。無論威脅是疏忽、惡意攻擊或被入侵,您都能獲得迅速而有效的回應。
隨著內幕威脅日益複雜,Trend Vision One 為您的團隊提供智能及自動化服務,以保持領先地位。
產品管理副總裁 Scott Sargeant 是一名經驗豐富的技術領導廠商,擁有 25 年以上的經驗,一直在網絡資訊保安和資訊科技領域提供企業級解決方案。
常見問題
甚麼是內部威脅?
透過包括分析技術、行為觀察及員工培訓來識別可疑行為。
內幕威脅的類型是甚麼?
惡意、疏忽、被入侵及串通
如何識別內部威脅?
留意異常存取、大額資料傳輸或可疑行為。使用監控工具及存取記錄來偵測風險。
如何防止內部威脅?
限制存取、監控活動、培訓員工及執行保安政策。
內部威脅有多常見?
內部威脅在保安事故中佔主要比重,通常約為 20–30%。