内部威胁保护(ITP)的黄金标准

内部人员威胁的普遍性和后果严重性令很多公司企业开始设立自己的内部威胁项目(ITP)。但安全人员往往对ITP的理想构成不甚清楚，或者存在误解。不过，多年ITP管理经验可以告诉我们，真正有效的“黄金标准”ITP是具备一些共性特征的。

[[238497]]

一、信息安全项目的黄金标准

每个黄金标准ITP背后都是一套黄金标准信息安全项目。事实上，信息安全就是ITP的基石。正如盖房子不会先砌墙再打地基，要开始设立ITP也得先建好恰当的信息安全项目。也正如地基不牢的房子扛不住地震，没有良好信息安全项目支撑的ITP也挡不住内部人威胁。

换句话说，有效ITP需要有效信息安全项目。其主要原因有二：

• 首先，ITP的目标是遏阻、检测和响应内部人威胁，而阻止内部人威胁很大程度上是信息安全项目的责任。如果公司的信息安全项目无法撑起阻止威胁所需的安全标准及控制措施，比如身份与访问管理(IAM)过程、网络使用及设备限制、强制安全意识培训等等，那么公司就更易遭受本可防止的内部人威胁侵扰，从而增加ITP的负担。
• 其次，很多案例中，公司的信息安全项目都需要在内部人威胁调查过程中支持其ITP。如果信息安全团队缺乏所需功能、带宽或资源，有可能会妨碍调查的进展和准确性。

二、涵盖全面的框架

黄金标准ITP通常倚赖包含3个重要组件的运行框架。这3个组件就像三角凳的三条腿，不仅缺一不可，各自完好，还必须整体联动，互相支持;否则，凳子就站不稳，或者说，ITP项目就会倾覆。

1. 程序性功能

可以说是ITP最重要的组件。除了指定ITP的目标、资源、优先级和路线图，该功能还确保了ITP调查的所有方面都有清晰的记录，保持一致，可重复，且遵从所有必要的法律和合规章程。

然而，虽然地位如此重要，程序性功能却是ITP中最常被忽略掉的组件。尤其是急于尽快上马ITP的公司企业，常会把该功能定位到低优先级上。这种思维虽然可以理解，却是问题产生的根源。没有足够的程序性功能支撑，ITP就会缺乏迈向成功和有效所需的指引、优先级和过程。

2. ITP资源&工具

旨在识别可能指征现有或即将发生的内部人威胁的那些行为和事件。这一组件需要能访问广泛的数据集，拥有对整个公司范围内所有员工行为和数据的可见性。常见示例有科学、代理、电子邮件和证章数据集等等。

ITP还需要具备可综合、辨别和提供这些数据集中相关发现的工具。举个例子，用户行为分析(UBA)工具，就可以利用数据科学技术来识别可能需要在ITP上下文中进一步调查的那些用户行为，比如雇员是否导出了超过正常大小的数据，或者经常在正常工作时间段外访问公司网络等。ITP可使用这些工具的输出结果来辅助发起并深入后续调查及响应工作。

尽管黄金标准ITP倾向于依靠大量数据集和高度复杂的工具，它们也意识到了这些资源仅仅是ITP的组件之一。一个常见的错误思维是，将这些资源，尤其是UBA工具，视作内部人威胁的万用药。虽然市场营销是这么宣称的没错，但实际上没有哪款工具或资源能替代掉全面ITP的其他组件。

3. 调查功能

综合并检查ITP工具的输出结果，以确定其指征潜在内部人威胁的程度。该功能特别重要，因为大多数情况下，各工具的输出展现不了用户行为全貌。比如说，当ITP工具揭示某用户在与竞争对手进行电子邮件往来，这是否意味着即将发生内部人威胁?未必!该行为可以有许多种解释，ITP的调查功能就是要深挖出事件和行为背后的根源。

黄金标准ITP调查是一个复杂的多层次的过程，需要不同协议，需要各种类型和深度的分析，需要观察依赖这些行为的利益相关者并估计风险。当调查结果显示内部人攻击就在眼前，该功能便与程序性功能协作，很多情况下还会加入其他部门的利益相关者，来一起根据需要对威胁进行验证和归因溯源。

三、企业级整合

黄金标准ITP最突出的特征，就是横跨整个企业范围的整合与集成。尽管ITP往往作为独立的功能存在，最有效的ITP却是倚赖出自IT、法律、HR、合规、第三方风险和其他各种功能的数据集和资源的。很多黄金标准ITP都在各业务部门指定了代表，作为业务团队和ITP之间的联络人。拥有来自公司决策层和利益相关者的支持与协作，不仅可以支撑ITP的发展与运营，还有助于提高对内部威胁的风险和后果的普遍认知。

对很多企业而言，对抗内部人威胁是个令人困惑和充满挑战的领域，需要采取一些步骤来更有效地预防、阻止、检测和响应这些威胁。上面列出的内容不过是个起点，既不全面，也不是指定性的。黄金标准ITP是动态而复杂的，需要符合公司企业特定的需求。所以，想要设立自有ITP的公司企业最好是与可信第三方合作，获取ITP设立过程中所需的专业知识和支持。目前一些大型安全企业如Symantec、ForcePoint、RSA等都在这个领域里积极的进行探索，而以天空卫士为代表的中国数据安全厂商也正通过将深度内容分析和用户行为分析智能融合，在ITP这个领域开展技术创新。

【本文是专栏作者“”李少鹏“”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文