內(nèi)部人員威脅，與濫用公司內(nèi)部系統(tǒng)及應(yīng)用訪問權(quán)的內(nèi)部雇員、承包商或前雇員的活動有關(guān)，無論有無惡意企圖，造成的結(jié)果就是對關(guān)鍵信息系統(tǒng)或數(shù)據(jù)的機密性、完整性或可用性形成了破壞。

[[205282]]

內(nèi)部人員威脅包括IT破壞、欺詐或知識產(chǎn)權(quán)盜竊。內(nèi)部人員或自行單干，或無意輔助了外部威脅進入。企業(yè)需理解自身目標內(nèi)部人員威脅用例，對正常員工基線行為建模，確保員工知曉自己可能成為高級攻擊者利用來獲取商業(yè)關(guān)鍵信息的目標。

本文討論內(nèi)部人員威脅及可疑/異常事件的關(guān)鍵指標，呈現(xiàn)內(nèi)部人員威脅建模設(shè)計方法，幫助讀者識別此類事件和高風險內(nèi)部人員。

內(nèi)部人員威脅指標

內(nèi)部人員識別，是針對性檢測策略的構(gòu)成部分?？苫趯γ舾行畔ⅰ㈥P(guān)鍵信息或其他商業(yè)重要信息的訪問，來標定內(nèi)部人員。有可能成為威脅的內(nèi)部人員，一般具備以下基本特征：

行為指標：

• 因未達薪水預(yù)期或業(yè)績表現(xiàn)評估太差而心生怨恨;
• 與經(jīng)理意見不合，與同事或供應(yīng)商爭執(zhí);
• 攻擊性或暴力行為，職場騷擾或性騷擾;
• 因個人壓力或缺乏睡眠而導致的效率低下或表現(xiàn)不佳;
• 經(jīng)常性無計劃請假。

技術(shù)指標：

• 大量文檔(含敏感信息)的非必要下載;
• 超出職位需求的黑客工具下載;
• 轉(zhuǎn)移大量數(shù)據(jù)到個人賬戶，設(shè)置并使用后門;
• 對敏感或關(guān)鍵信息的未授權(quán)訪問;
• 經(jīng)常訪問求職網(wǎng)站。

建立內(nèi)部人員正常活動行為的基線，可更容易檢測偏離正常值的奇點，幫助識別出異常事件或行為。

可疑內(nèi)部人員事件

內(nèi)部人員的目標，是有意或無意地誤用訪問權(quán)，以影響公司關(guān)鍵數(shù)據(jù)、系統(tǒng)或基礎(chǔ)設(shè)施的機密性、完整性或可用性。

內(nèi)部威脅事件目標

企業(yè)內(nèi)可導致內(nèi)部人員風險的某些惡意或異常事件如下：

• 敏感信息(知識產(chǎn)權(quán)、金融、個人)的非必要下載，以及找尋通過個人電子郵件、公共盤、打印服務(wù)器、U盤和其他可移動媒介轉(zhuǎn)出數(shù)據(jù)的方法;
• 關(guān)鍵基礎(chǔ)設(shè)施、應(yīng)用或數(shù)據(jù)的配置修改，引發(fā)完整性和可用性問題;
• 正常工作時間外在多個時區(qū)和地區(qū)對關(guān)鍵或敏感信息發(fā)起的特權(quán)訪問;
• 不符合職位需求的關(guān)鍵或敏感信息未授權(quán)訪問。

設(shè)計方法

本節(jié)深入探討解決內(nèi)部人員威脅事件，以及檢測惡意內(nèi)部人員活動的解決方案設(shè)計方法。

內(nèi)部威脅模型

1. 源系統(tǒng)

建立數(shù)據(jù)發(fā)現(xiàn)并標記敏感數(shù)據(jù)，識別關(guān)鍵資產(chǎn)和敏感或任務(wù)關(guān)鍵數(shù)據(jù)，采用足夠的措施來分類信息。

2. SIEM或日志倉庫

捕獲訪問日志并將日志導入SIEM系統(tǒng)或大數(shù)據(jù)日志倉庫。按安全及隱私策略定義保留周期和存儲方式。

3. 數(shù)據(jù)泄露防護(DLP)

可在公司內(nèi)部資產(chǎn)和終端上安裝DLP技術(shù)或代理，以捕獲事件和數(shù)據(jù)移動。也可以基于數(shù)據(jù)的本質(zhì)和敏感性，來實現(xiàn)高級標簽和預(yù)防控制措施。

4. 事件關(guān)聯(lián)引擎

運用統(tǒng)計、規(guī)則和行為模式。關(guān)聯(lián)2個或多個事件(如：系統(tǒng)日志和DLP事件)，驅(qū)動深入理解數(shù)據(jù)。

5. 分析引擎

與關(guān)聯(lián)引擎和風險模型聯(lián)動，基于特定內(nèi)部人員威脅用例，產(chǎn)生針對性輸出(惡意事件、內(nèi)部人員列表)或洞見(數(shù)據(jù)可視化)。

6. 風險模型

基于預(yù)設(shè)閾值或基線，輔助識別異常事件。為每個異常事件分配對每個用戶或身份的風險值。每天匯總所有風險評分，識別出需要進一步調(diào)查的首選用戶或身份，確定涉及的任何內(nèi)部人員威脅活動。風險模型可由分析師人工維護和更新，也可以基于AI和機器學習算法自動更新。

結(jié)論

無論惡意為之還是無心犯錯，內(nèi)部人員威脅都是現(xiàn)實存在且不斷增長的。公司企業(yè)應(yīng)了解內(nèi)部人員威脅，掌握識別高風險用戶，以及檢測并對抗內(nèi)部人員威脅的方法。

該領(lǐng)域涌現(xiàn)出了很多工具和技術(shù)，然而，想要取得對抗內(nèi)部人員威脅的成功，識別特定于公司的用例是關(guān)鍵。本文陳述的設(shè)計方法，就為打造針對性內(nèi)部人員威脅平臺提供了基礎(chǔ)。