安全界从来不缺话题，当人们谈论着最新的strusts2漏洞、方程式漏洞、DDOS攻击、勒索软件的时候，人们似乎有意无意的更为关注来自外部的攻击。的确，由于外部攻击的种类繁多，攻击更为频繁和持续，因此获得更多的关注并不奇怪。而内部威胁所引发的安全事件，从企业管理的角度上看，这类安全事故的公布和曝光无疑会为企业和高管/主管们带来业务和声誉的双重损失，因此通用的做法是除了必要的监管上报外尽量低调处理。但作为安全人员，从业伊始就已被灌输安全的威胁既来自外部也来自内部。因此安全人员在关注外部威胁的同时也应该关注来自组织内部人员的内部威胁。

内部人员威胁的背景情况介绍

近年来，网络上曝光了不少内部人员引发安全事件的案例。例如2014年汇丰金控公司因其名下的一名雇员被怀疑向一家大对冲基金泄漏了客户机密信息而遭受美国司法部调查；2015年1月，国内某支付机构泄露了上千万张银行卡信息，涉及全国16家银行，之后半年多的时间里，因伪卡形成的损失高达3900多万元；2016年公安部破获了国内某银行支行领导倒卖征询账户进而牟利的“5.26侵犯公民个人信息案”案件；2016年5月，山东菏泽警方侦破一起定制型贩卖个人信息案，抓获嫌疑人29名，其中包括银行员工2人，交易个人信息共计200余万条；2017年初国内某互联网巨头公司的员工被爆从包含现任雇主在内的多个互联网公司窃取天量内部用户信息；2017年4月5日美国里士满联邦储备银行行长莱克发表声明，承认在2012年与一名分析师不当讨论联邦储备局机密资料，宣布引咎辞职并实时生效。

从以上国内外的案例可以看出，内部人员所造成的安全事件数量其实也不少，相比外部威胁而言其危害性也不低。国外Ponemon公司2016年颁布的研究资料[1]表明在已确认的874起数据泄露安全事件中有568起是由内部人员或合同承包商引起的，85起是外部人员使用偷窃的凭证，191起是由恶意的内部人员和犯罪分子引起。

另据IBM公司2016年的一份研究报告[2]表明，通过其部署在全球约8000个终端设备的监控，他们发现约44.5%的攻击事件是由内部的恶意人员引起的，其比例高于40%的外部人员。金融行业位列所受影响的前三个行业。

内部人员威胁的分析

相信通过前面的介绍，读者已经对内部人员威胁有了感性认知，接下来本文将从内部人员威胁到底是如何产生的，当前的内部人员威胁有什么以及内部人员威胁是否容易发现三个方面进行深入介绍以帮助感兴趣的读者进一步认识和了解内部人员安全威胁。

产生内部人员威胁的个人因素和组织因素

内部人员威胁的产生因素可以分为个人和组织两类因素，其中

个人因素包括如下[3]：

• 处于贪婪或经济利益的需要；
• 因工作原因对公司心怀不满；
• 即将跳槽到另一个组织；
• 希望取悦他人或赢得他人的尊重；
• 个人生活不得意导致工作行为异常；

组织因素包括如下：

• 资产没有进行全面的梳理和识别，没有对资产进行安全级别划分；
• 资产或保密信息没有进行恰当的安全标识，或标识错误；
• 资产或保密信息没有恰当的访问授权机制，导致内部人员可轻易进行访问；
• 没有对不同的工作环境和场所下应该遵守的安全策略进行定义和指示；
• 对员工的安全培训内容不全，没有告诉员工如何恰当的保护信息资产；
• 对员工的内部法规和法律安全教育不到位，没有让员工清晰认识到由于安全松懈或心怀恶意导致发生安全事件后所需要承担的后果；
• 对员工的工作职责设计安排有缺陷，导致员工担任了本应隔离或存在冲突的工作职责角色；
• 组织中的工作流程设计有缺陷，例如过于强调任务完成的高效性，在工作中留给员工进行安全考虑和安全处理的时间过少；
• 没有有效技术手段实现对信息资产的访问控制、认证授权、访问和操作审计、离境审核以及网络入侵检测、终端安全管控等。致使内部人员在进行无意或恶意操作时未感受到来自安全技术监管的压力和阻力；

内部人员威胁的现状

目前发生在组织内部由内部恶意人员引发最多的安全事故是窃取组织内部信息资产。这些信息资产主要包括用户数据信息、金融/财务信息、知识产权、内部人员信息等。内部人员通常通过企业的数据库服务器、文件服务器、OA应用/业务应用、终端、网络以及云环境等获取上述信息。在得手后，恶意内部人员通常通过移动介质、邮件、及时通信、彩/短信等方式将信息转移出组织内部。而由非内部非恶意人员引发最常见的安全事故是工作失当造成的损失，包括文档管理不善、密码凭证的遗失和泄露、办公电脑的遗失、打开钓鱼邮件、无意间的谈论导致的信息泄露、误删除操作等。根据Crowd Research Partners组织2016年的对LinkedIn上Information Security社区（拥有30万成员）成员的调查研究[4]表明有74%的受访组织表示已感受到内部人员的安全威胁，但仅有42%的组织认为他们有内控措施可应对内部人员攻击。

内部威胁是否容易被检测发现

虽然希望答案是“容易”，但是事实上内部人员的威胁较之外部威胁通常更难以进行检测和发现。其原因在于以下五个方面

• 产生威胁的内部人员包括管理人员、管理员、合作的第三方人员以及普通职员。前面三类人员由于本身职务和工作内容的原因，在监管上相对比较难。普通职员尽管其内部权限不高，造成的直接威胁相对较低，但是仍不可忽视其带来的间接威胁（例如使用带有恶意代码的移动介质或点击了含有恶意代码的钓鱼邮件）。
• 通常情况下，对于普通的监测机制而言，难以清晰辨别内部人员日常正常操作与危害性操作的区别。
• 对于内部人员而言，由于清晰知道内部运行机制，因此其更容易在进行恶意行动时逃避检测机制以及事后删除相关的信息记录。这样使得事后的检测和溯源难度较高。
• 某些情况下即便通过检测机制发现了恶意行为，但除非是获取法律认可的充分证据，否则无法判定内部人员存在恶意性。内部人员完全可以以工作疏忽等理由和借口进行掩饰和推脱。
• 对于大部分组织而言，其对于内部人员是基于“默认信任”的模式，因此在安全防护机制上更多的倾向于检测和阻断外部攻击，而较少投入在内部安全防护上面。

内部人员威胁的应对措施

针对内部人员所产生的威胁，以下安全防护措施可以为组织所参考。这些措施包含管理和技术两个层面的内容。内容具体如下。

管理层面安全措施：

• 确保组织已经对信息资产进行了梳理和安全定级，并把保护资源投向重要和关键的信息资产；
• 制定阻吓策略，并在工作场景、流程和操作中应用这些策略（例如在执行高危风险操作时，弹出相关安全政策阐述和后果说明）；
• 核心和高风险的业务操作采取金库管控模式；
• 制定明确和严格的BYOD管控策略；
• 确认组织内部有明确和合理的人员招聘背景调查和离职审计程序；
• 确认在关键岗位有A,B角色设定，并定期让A，B角色进行职责轮岗；
• 采取基于角色的认证和授权模式，并定期审核内部人员是否担任了存在冲突的工作角色；
• 定期开展信息安全检查和信息安全审计；
• 定期和有针对性的对员工开展信息安全培训，让员工广泛了解当前的安全威胁；让员工充分认识和理解公司内部的安全管理要求；让员工充分了解安全违规后个人所需要承担的企业内部责罚和可能的法律责任；
• 请员工就信息安全保密做出一份书面承诺；
• 如有可能和必要，定期对关键岗位的人员就工作和个人生活状态进行封闭式访谈和评估并根据评估结果采取相应的措施；
• 建立一个私密，安全及便捷的沟通、反馈和投诉机制，帮助安全部门及时知晓正在发生或可能发生的安全事故；
• 开展公关安全演练，以应对突发事件后的公关危机；

技术层面安全措施：

• 建立完善的网络边界防护，检测和阻断通过钓鱼邮件、0day漏洞发起针对内部员工的攻击；
• 建立可靠和可信的认证授权机制；
• 确认最小特权模式在工作中得到设置和应用；
• 建立严格的密码管控机制（包括密码强度、生命周期等）
• 建立事中操作审计及事后跟踪溯源审计机制；
• 建立严格的终端安全管控机制（包括网络准入、移动介质使用等）；
• 采用加密手段实现信息资产的机密性保护；
• 建立信息数据离境审核检测技术手段，避免敏感信息流出和泄露；
• 定期开展基于内部的信息安全评估（包括社会工程学评估测试）；
• 建立内部行为安全监测及分析手段，实现对异常行为的监测和告警；
• 建立和拥有完备的灾备环境和技术机制；

结束语

信息安全中“个人”是最难控制的安全风险因素，它就像一颗埋藏在组织中的炸弹，只不过不知道如何时引爆。因此，在安全管理实践中组织应时刻保持警惕，认真审视和对待内部人员威胁。应根据自身情况尽可能提升内部安全风险管控能力，通过预防、阻吓、检测、阻断、更正等措施提高内部恶意人员的攻击成本，减少内部非恶意人员在工作中的犯错机率，最终降低二者给公司带来的损失和修复成本。

• “2016 Cost of Data Breach Study: Global Analysis”，Ponemon
• “Reviewing a year of serious data breaches, major attacks and new vulnerabilities”，2016，IBM
• “insider-threat-brochure103112.pdf”，FBI
• “INSIDER THREAT SPOTLIGHT REPORT”，2016，Crowd Research Partners，LinkedIn Group Parter（Information Security）

如果您需要了解更多内容，可以
加入QQ群：570982169
直接询问：010-68438880