內(nèi)部人員威脅的普遍性和后果嚴重性令很多公司企業(yè)開始設(shè)立自己的內(nèi)部威脅項目(ITP)。但安全人員往往對ITP的理想構(gòu)成不甚清楚，或者存在誤解。不過，多年ITP管理經(jīng)驗可以告訴我們，真正有效的“黃金標準”ITP是具備一些共性特征的。

[[238497]]

一、信息安全項目的黃金標準

每個黃金標準ITP背后都是一套黃金標準信息安全項目。事實上，信息安全就是ITP的基石。正如蓋房子不會先砌墻再打地基，要開始設(shè)立ITP也得先建好恰當?shù)男畔踩椖?。也正如地基不牢的房子扛不住地震，沒有良好信息安全項目支撐的ITP也擋不住內(nèi)部人威脅。

換句話說，有效ITP需要有效信息安全項目。其主要原因有二：

• 首先，ITP的目標是遏阻、檢測和響應(yīng)內(nèi)部人威脅，而阻止內(nèi)部人威脅很大程度上是信息安全項目的責(zé)任。如果公司的信息安全項目無法撐起阻止威脅所需的安全標準及控制措施，比如身份與訪問管理(IAM)過程、網(wǎng)絡(luò)使用及設(shè)備限制、強制安全意識培訓(xùn)等等，那么公司就更易遭受本可防止的內(nèi)部人威脅侵擾，從而增加ITP的負擔(dān)。
• 其次，很多案例中，公司的信息安全項目都需要在內(nèi)部人威脅調(diào)查過程中支持其ITP。如果信息安全團隊缺乏所需功能、帶寬或資源，有可能會妨礙調(diào)查的進展和準確性。

二、涵蓋全面的框架

黃金標準ITP通常倚賴包含3個重要組件的運行框架。這3個組件就像三角凳的三條腿，不僅缺一不可，各自完好，還必須整體聯(lián)動，互相支持;否則，凳子就站不穩(wěn)，或者說，ITP項目就會傾覆。

1. 程序性功能

可以說是ITP最重要的組件。除了指定ITP的目標、資源、優(yōu)先級和路線圖，該功能還確保了ITP調(diào)查的所有方面都有清晰的記錄，保持一致，可重復(fù)，且遵從所有必要的法律和合規(guī)章程。

然而，雖然地位如此重要，程序性功能卻是ITP中最常被忽略掉的組件。尤其是急于盡快上馬ITP的公司企業(yè)，常會把該功能定位到低優(yōu)先級上。這種思維雖然可以理解，卻是問題產(chǎn)生的根源。沒有足夠的程序性功能支撐，ITP就會缺乏邁向成功和有效所需的指引、優(yōu)先級和過程。

2. ITP資源&工具

旨在識別可能指征現(xiàn)有或即將發(fā)生的內(nèi)部人威脅的那些行為和事件。這一組件需要能訪問廣泛的數(shù)據(jù)集，擁有對整個公司范圍內(nèi)所有員工行為和數(shù)據(jù)的可見性。常見示例有VPN、代理、電子郵件和證章數(shù)據(jù)集等等。

ITP還需要具備可綜合、辨別和提供這些數(shù)據(jù)集中相關(guān)發(fā)現(xiàn)的工具。舉個例子，用戶行為分析(UBA)工具，就可以利用數(shù)據(jù)科學(xué)技術(shù)來識別可能需要在ITP上下文中進一步調(diào)查的那些用戶行為，比如雇員是否導(dǎo)出了超過正常大小的數(shù)據(jù)，或者經(jīng)常在正常工作時間段外訪問公司網(wǎng)絡(luò)等。ITP可使用這些工具的輸出結(jié)果來輔助發(fā)起并深入后續(xù)調(diào)查及響應(yīng)工作。

盡管黃金標準ITP傾向于依靠大量數(shù)據(jù)集和高度復(fù)雜的工具，它們也意識到了這些資源僅僅是ITP的組件之一。一個常見的錯誤思維是，將這些資源，尤其是UBA工具，視作內(nèi)部人威脅的萬用藥。雖然市場營銷是這么宣稱的沒錯，但實際上沒有哪款工具或資源能替代掉全面ITP的其他組件。

3. 調(diào)查功能

綜合并檢查ITP工具的輸出結(jié)果，以確定其指征潛在內(nèi)部人威脅的程度。該功能特別重要，因為大多數(shù)情況下，各工具的輸出展現(xiàn)不了用戶行為全貌。比如說，當ITP工具揭示某用戶在與競爭對手進行電子郵件往來，這是否意味著即將發(fā)生內(nèi)部人威脅?未必!該行為可以有許多種解釋，ITP的調(diào)查功能就是要深挖出事件和行為背后的根源。

黃金標準ITP調(diào)查是一個復(fù)雜的多層次的過程，需要不同協(xié)議，需要各種類型和深度的分析，需要觀察依賴這些行為的利益相關(guān)者并估計風(fēng)險。當調(diào)查結(jié)果顯示內(nèi)部人攻擊就在眼前，該功能便與程序性功能協(xié)作，很多情況下還會加入其他部門的利益相關(guān)者，來一起根據(jù)需要對威脅進行驗證和歸因溯源。

三、企業(yè)級整合

黃金標準ITP最突出的特征，就是橫跨整個企業(yè)范圍的整合與集成。盡管ITP往往作為獨立的功能存在，最有效的ITP卻是倚賴出自IT、法律、HR、合規(guī)、第三方風(fēng)險和其他各種功能的數(shù)據(jù)集和資源的。很多黃金標準ITP都在各業(yè)務(wù)部門指定了代表，作為業(yè)務(wù)團隊和ITP之間的聯(lián)絡(luò)人。擁有來自公司決策層和利益相關(guān)者的支持與協(xié)作，不僅可以支撐ITP的發(fā)展與運營，還有助于提高對內(nèi)部威脅的風(fēng)險和后果的普遍認知。

對很多企業(yè)而言，對抗內(nèi)部人威脅是個令人困惑和充滿挑戰(zhàn)的領(lǐng)域，需要采取一些步驟來更有效地預(yù)防、阻止、檢測和響應(yīng)這些威脅。上面列出的內(nèi)容不過是個起點，既不全面，也不是指定性的。黃金標準ITP是動態(tài)而復(fù)雜的，需要符合公司企業(yè)特定的需求。所以，想要設(shè)立自有ITP的公司企業(yè)最好是與可信第三方合作，獲取ITP設(shè)立過程中所需的專業(yè)知識和支持。目前一些大型安全企業(yè)如Symantec、ForcePoint、RSA等都在這個領(lǐng)域里積極的進行探索，而以天空衛(wèi)士為代表的中國數(shù)據(jù)安全廠商也正通過將深度內(nèi)容分析和用戶行為分析智能融合，在ITP這個領(lǐng)域開展技術(shù)創(chuàng)新。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文