企业如何建立强大的内部威胁计划

调研机构Forrester Research公司在最近发布的一份调查报告中指出，只有18%的企业优先将安全支出用于构建专门的内部威胁计划，25%企业则将支出用于防范外部威胁。

企业需要担心的不仅仅是可能心怀不满意的一些员工，大多数内部威胁事件本质上都是非恶意的。Proofpoint公司和波洛蒙研究所在其发布的“2022年内部威胁全球成本报告”中指出，粗心或疏忽行为占所有安全事件的56%，而且这些也往往是成本最高的安全事件，平均修复成本为660万美元。

修复失败

部分问题在于安全观念：Forrester Research公司的调查报告发现，近三分之一的受访者并没有将员工视为一种威胁。但众所周知，要防止此类事件发生也非常困难，因为企业本质上是在寻求控制对数据的合法访问。减轻这些威胁不仅是为了提高安全性，而且是为了检测用户行为中潜在的危害指标，因此，大多数企业依靠培训员工来解决这个问题。然而，仅靠安全培训往往是不够的。

这份报告还发现，虽然65%的受访者表示通过培训员工来确保遵守数据保护政策，但55%的受访者表示他们的员工已经找到了规避这些政策的方法。其他受访者表示，他们依靠单点解决方案来预防此类事件，其中43%使用数据丢失防护来阻止操作，29%通过SIEM进行监控(尽管这些系统仍然可以在不检测的情况下泄露数据)。问题是网络安全和员工监控都没有考虑到压力因素，这些压力因素会促使一些员工采用变通办法。

预防总是胜于应对，当前应该重视应对内部威胁的方法。如果发现内部威胁(无论是否恶意)，企业对如何处理的关注不足够。虽然培训和网络安全控制确实可以发挥作用，但两者都需要成为内部威胁计划的一部分。

内部威胁计划协调不同业务部门的政策、程序和流程，以应对内部威胁。它被广泛认为对缓解内部威胁至关重要，但在Forrester公司的调查中，只有28%的受访者声称拥有一个内部威胁计划。这样做的原因是许多企业建立一个内部威胁计划可能令人生畏。除了让人员参与并制定政策外，企业还需要清点其数据并定位数据源，确定如何监控行为、调整安全培训计划、开展调查，以及如何定期评估内部威胁计划本身。

如何开始构建内部威胁计划

首先，企业需要专门的工作组来帮助指导内部威胁计划。工作组成员需要有明确的角色和责任，并采用同一套道德准则或签署保密协议。这是因为有许多与员工隐私和监控相关的法律，以及在制定和执行政策时必须考虑的法律和担忧。工作组的第一项工作将是制定运营计划，并制定防范内部威胁政策的高级版本。

然后，他们需要考虑如何盘点和访问内部和外部数据源。为此，工作组成员需要熟悉特定数据集的记录处理和使用程序。一旦创建了收集、整合和分析数据所需的流程和程序，应该根据数据的用途对数据进行标记，因此可能与隐私调查有关(根据调查，将近58%的影响敏感数据的事件是由内部威胁引起的)。

企业考虑是否会使用技术来监控最终用户设备、登录等，并通过签署的信息系统安全确认协议记录这一点。潜在的危害指标可能包括数据库篡改、企业机密信息的不当共享、文件删除或查看不当内容。当此类行为曝光时，自由裁量权至关重要，任何调查都需要无懈可击且可辩护，因为它可能会导致法律诉讼案件。

可防御性的数字取证

内部威胁计划还应详细说明企业如何响应和调查事件。考虑调查是否是内部的?在什么时候需要让外部代理人参与进来?以及需要通知谁?用于调查的数据将保存在哪里?信息将保留多长时间?虽然保留相关信息很重要，但不希望陷入保留过多信息的陷阱，因为这会增加风险，这意味着内部威胁计划还应该考虑数据最小化策略。

企业应该使用数字取证工具来执行内部威胁计划。需要决定如何主动管理内部威胁，以及这些工具是仅用于分析后还是秘密使用。例如，一些拥有高价值资产的企业会进行扫描，以确定员工离职时数据是否被泄露。企业还应该确保这些工具能够远程定位端点和云源，即使它们没有连接，并且应该与操作系统无关，以便可以在各种设备上捕获数据。

数字取证确保企业可以快速捕获和调查任何不当行为。例如，它可以确定用于将数据从企业信息资产中泄露到任何设备、端点、在线存储服务(如Google Drive或Dropbox)甚至通过社交媒体平台发布的日期、时间和路径。在追踪数据之后，就可以缩小可能的嫌疑人范围，直到团队获得无可争议的确切证据。

无论是调查方式还是证据本身都必须无可非议，并且在法律上是可以辩护的，因为此类事件可能导致解雇甚至起诉。如果在法庭上受到质疑，企业将需要证明尽职调查，因此在保护证据的处理时，必须有一个可靠且可重复的司法程序和适当的监管链。

得到员工的支持

员工的支持也是成功的关键。该政策应在隐私、财务甚至物理影响方面传达安全威胁的风险，以便员工了解所涉及的风险，但也应该有适当的流程使用户能够报告行为危害指标。指南应规定如何以及何时通过特定渠道报告危害指标，即通过电话、电子邮件、DropBox等，还应记录培训的完成情况。

内部威胁计划将需要接受测试，但最好不要与实际事件一起进行测试。与其相反，应该执行内部威胁风险评估，以确定安全控制和业务流程中的差距，或评估数据泄露的难易程度以及数字取证流程的执行情况。考虑如何将内部威胁管理引入其他安全策略，例如涵盖BYOD的安全策略，并确保受信任的业务合作伙伴和分包商也接受内部威胁风险评估。

最后，需要记住的是，随着新流程的上线和数据源的添加，该策略将需要适应和改变。这样做的关键是保持准确的数据库存，并确保企业数字取证工具为其提供足够的范围来处理新技术或渗透途径，但企业也可以将其计划与所在行业的其他业务进行基准测试。

实施内部威胁计划的目的是确保不仅业务、数据或流程受到保护，而且员工也受到保护。通过秘密监控工作流，可以更准确地标记危害指标，帮助防止事件升级。但是，当不可想象的事情发生时，如果毫无戒心的员工泄露了敏感数据，那么拥有强大的可防御流程(这些流程已经记录了事件)，就可以更轻松地进行数字取证调查，并迅速解决问题。