隐身模式,也称私人浏览模式,可阻止网页浏览器在您的设
内部威胁是指发生在组织内部的网络威胁。 这类威胁来自在职或离职员工、合作伙伴、承包商或供应商等内部人员,包括他们导致的敏感数据泄露、系统破坏或因个人恶意目的窃取数据的行为。 内部威胁可能是蓄意的,也有可能是无意的,具体取决于内部人员的目标以及其是否有同伙。
继续阅读,了解有关内部威胁的更多信息,以及组织可以采取哪些措施来降低内部威胁风险。
内部威胁的类型
内部人员可以分为三大类:
恶意内部人员
恶意内部人员是指有权访问组织内部信息(例如员工或承包商)并利用这些信息来泄露敏感数据的人。 他们的目标是破坏组织、窃取信息或偷盗钱款以谋取私利。 例如,员工可能会仅仅为了经济利益而将组织的机密信息卖给竞争对手。
恶意内部人员分为两类:勾结者或独狼。 勾结者是指与第三方(例如竞争对手)串通,通过泄露机密信息或扰乱业务运营来伤害组织的恶意内部人员。
独狼则为独立行动的恶意内部人员。 独狼通常因为个人原因而想要攻击自己的组织,例如对公司心怀不满或强烈想要破坏组织的运营。
疏忽大意的内部人员
疏忽大意的内部人员是指组织内部不重视安全实践的人员。 他们可能会因此犯下人为错误或判断失误,从而导致数据泄露。 例如,员工可能会陷入网络钓鱼诈骗,点击恶意链接后导致整个组织的网络和系统遭到破坏。
拥有内部访问权限的外部人员
获取了组织系统和数据访问权限的外部人员是另一类常见的内部威胁。 这类人员也称为间谍。 为了访问他们原本无法访问的系统,间谍会伪装成员工或供应商,这样就不容易被抓住。 他们通常能够侵入员工账户或进入组织的实体建筑,以此获取内部系统的访问权限。
内部威胁都是蓄意的吗?
不是,内部威胁并非都是蓄意的。 虽然有些内部人员的意图是伤害他们工作的组织,但也有一些内部威胁只是内部人员疏忽大意造成的。 他们因为自己的疏忽而犯下伤害组织的过错。
例如,可能会有员工在不知情的情况下登录了欺骗网站。 这个过程中,他们向网络犯罪分子提供了访问合法账户的合法凭证。 然后,网络犯罪分子可以利用这些信息来入侵员工账户。 尽管员工可能已经落入圈套,但他们并不是有意这么做的。
为什么内部威胁很危险
内部威胁对组织来说很危险,以下列举了几个原因。
可能导致数据外泄
数据外泄是指敏感数据的意外曝光,曝光的数据很容易被网络犯罪分子收集并用于恶意目的。 数据外泄对组织来说极其危险,因为他们可能几天甚至几个月都不会注意到。 数据外泄会导致组织的所有敏感数据面临风险,包括客户的个人身份信息 (PII)。
可能导致数据泄露
A data breach is when a cybercriminal or insider steals sensitive data without the knowledge or authorization of the individual or organization who owns the data. Similar to a data leak, organizations may not notice a data breach until after multiple days or months have passed. This provides enough time for cybercriminals to use the breached data for malicious purposes.
财务损失
Soft Activity 的一份报告显示,在过去 2 年中,内部威胁事件增加了 47%,事件造成的平均损失为 1538 万美元。 根据内部威胁的影响,组织面临的财务损失可能会有所不同。
声誉损失
内部威胁一旦实施成功,会让许多组织失去信誉,导致他们更难吸引到客户和合作伙伴。 组织会因此面临收入亏损,甚至可能会彻底倒闭。
法律后果
内部威胁还可能给组织带来法律后果,尤其是没有制定适当程序来保护最重要的资产(如客户数据)的组织。 法律后果往往代价高昂,可能会让组织面临重大资金损失
如何检测内部威胁
内部威胁的检测指标主要分为两类:数字指标和行为指标。 数字指标是指可以在计算机或其他设备上观察到的指标。 行为指标是根据个人在现实生活中的行为观察到的指标。
数字指标
以下是一些需要注意的数字指标:
- 异常登录尝试
- 过量下载数据
- 使用未经批准的软件和工具
- 将文件重命名为与内容不匹配的名称
- 查看与其角色无关的内容
行为指标
以下是一些需要注意的行为指标:
- 请求访问非其角色所需的敏感信息
- 工作习惯或绩效发生改变
- 安全事件频发
- 不满行为
- 拒绝遵守公司的安全政策
不能将行为指标作为内部威胁的唯一指标,在得出结论之前还应对其进行调查。
如何降低内部威胁风险
组织可采取以下措施来降低内部威胁风险。
权限访问管理 (PAM)
权限访问管理是指组织对高度敏感的数据、系统和账户访问权限实施的管理和保护措施。 其中包括薪资系统和 IT 管理账户等。 PAM 解决方案有助于组织集中管理特权系统和账户的访问权限,让 IT 团队能够更加轻松地跟踪并控制哪些用户有权访问这些系统和账户。 同时,也使得网络犯罪分子或恶意内部人员难以获取访问权限。
PAM 解决方案还可以通过其他方式帮助组织降低内部威胁风险,包括:
- 实施最小特权原则 (PoLP):最小特权原则是一种网络安全概念,其中用户只能访问他们完成工作所需的信息和系统,而无权访问其他任何内容。 这意味着用户只能获得必要的访问权限。 通过限制特权访问,组织可以最大限度降低因恶意活动、员工疏忽或失误导致的内部威胁风险,否则,这些因素可能导致特权数据外泄或被盗。
- 管理并保护特权凭证:PAM 解决方案的一个主要优势在于,组织可以将特权凭证安全存储在一个安全保险库中。 许多 PAM 解决方案还支持定期轮换密码,并且可用于对账户实施多因素身份验证 (MFA),从而为账户提供额外的安全层。 管理并保护特权凭证可以阻止内部人员访问敏感数据,以防他们将这些数据用于恶意目的。
- 监控并审核特权访问:PAM 解决方案为组织提供了一种持续监控特权账户和系统的方法 有助于组织识别可疑活动。 借助这一功能,组织还可以全面了解哪些用户有权访问特权账户、他们使用账户做了什么以及何时访问了这些账户。
- 从内部威胁中恢复过来:如果没有合适的工具来协助调查攻击,组织很难从内部威胁中恢复过来。 遭遇内部威胁后,PAM 解决方案会为组织提供详细的审计日志,可用于调查事件并确定发生攻击的根本原因。
加强员工意识与培训
组织应要求员工了解并遵循网络安全最佳实践。 还应开展员工培训,教他们如何识别网络钓鱼和商业电子邮件泄露 (BEC) 攻击等常见骗局,避免成为受害者。 向员工介绍内部威胁,可以帮助他们更好地了解相关注意事项。 告诉他们,如果他们怀疑某个同事是内部人员,应立即告知 IT 团队。
还可以为员工提供相关资源,让他们及时了解最新网络安全资讯。
保护您的组织免受内部威胁
内部威胁仍然是许多组织面临的一种网络威胁。 如果没有合适的工具和知识,组织就很难发现这类威胁并降低其风险。 组织应将特权账户、系统和数据视为优先保护的资产,因为这些包含了组织的核心价值。
虽然无法完全杜绝内部威胁,但权限访问管理解决方案可以作为一种重要的防范工具。 Keeper Security 拥有自己的 PAM 解决方案,称为 KeeperPAM™,该解决方案将 Keeper 的 Enterprise Password Manager (EPM)、Keeper Secrets Manager (KSM) 和 Keeper Connection Manager (KCM) 整合到一个易于使用的统一平台中。
如需进一步了解 KeeperPAM 及其如何帮助组织降低内部威胁风险,请立即申请演示。