最近的安全案例凸显内部威胁意识和行动的必要性

9月1日，美国政府办公室的一个安全团队启动了第四届国家内部威胁意识月(NITAM)。为期一个月的这项活动的目标是教育政府机构和各行业组织了解内部威胁带来的危险以及内部威胁计划的作用。今年的活动重点关注批判性思维对帮助员工防范数字空间风险的重要性。发布的国家内部威胁意识月(NITAM)公告引用了数字空间中最近的一些内部威胁示例：

• Twitter公司的员工Ahmad Abouammo于2022年8月被定罪，其罪名是收受贿赂以换取访问、监控Twitter用户的私人信息，并将其提供给中东某国的政府部门。
• 2022年7月，美国中央情报局(CIA)前雇员Joshua Schulte被定罪，他利用访问权限收购了美国一些最有价值的情报，秘密收集这些材料并提供给维基解密。
• 2022年6月，已经转为民用承包商的前美国陆军直升机飞行员Shapour Moinian认罪，他接受了某国政府代表提供的数千美元，以从其国防承包商雇主那里提供航空相关信息。

Code42公司首席执行官Joe Payne是2022年内部风险峰会主席，他在会上列了一个案例。他说，“这可能是我们多年来遇见的规模最大内部风险案例”。在这个案例中，弗吉尼亚州费尔法克斯县巡回法院的陪审团发现，低代码平台提供商Pegasystems公司雇佣了一名政府承包商的员工，长期监视编码自动化服务商Appian公司，以了解如何更好地与竞争对手竞争，因此，Pegasystems公司由于盗用商业机密而被判赔偿Appian公司20.36亿美元。

Payne说，“Pegasystems公司的价值不到20亿美元，在获得20亿美元赔偿金之后，Appian公司的价值增长到30亿美元。由此可以看到一家承包商可能造成问题的规模和严重程度，人们就会开始明白，内部风险在当今各行业中可能非常具有破坏性。”

在最近的一个内部风险示例中，社交媒体平台Twitter公司前安全主管Peiter Zatko在美国参议院一个委员会作证，声称该公司雇佣了外国特工。他还对这家公司雇佣的其他外国特工表示担忧，其中至少有一名来自印度。

无意的内部威胁可能是最大的风险

这些企业内部风险的典型例子被认为是有意或恶意的威胁，而不是无意或非恶意的威胁。Mandiant公司总经理Jon Ford表示，“无意的威胁包括内部人员的粗心大意，他们的行为在大多数研究和学术活动中经常被忽视，甚至没有包括在内部威胁本身的定义中。这是一个重大缺陷，因为无意的内部威胁是最大的内部威胁。大多数研究表明，粗心的内部人员造成了50%至75%的内部威胁事件。”

CybSafe公司首席执行官兼创始人OzAlashe MBE说：“正是员工在无意中做出了增加企业内部风险的事情。我认为最大的内部风险和威胁并不是蓄意和恶意窃取信息、提供网络和系统访问权限的用户。”

国外间谍带来的内部威胁很少见

事实上可能发生的恶意内部威胁的公开实例，证明大多数内部威胁都是非恶意的，不涉及敌对国家的行为。Red Goat Cybersecurity公司合伙人Lisa Forte说：“Twitter公司前安全主管Peiter Zatko指控的是，Twitter公司雇佣了国外间谍。这种情况确实极为罕见。”

然而，Forte表示，更常见的是企业或工业间谍案件，其中盗窃某一企业的知识产权并提供给其竞争对手。Forte说，“这些案件涉及的不是政府间谍，而是那些想赚钱或讨好其他竞争对手以获得利益的员工。”

Mandiant公司的Ford说，“即使国外间谍是一种罕见的内部风险，员工必须了解这种风险以及这些方法的作案方式，以便他们能够识别间谍采用的方法，企业员工在被诱骗商业机密的同时，他们可能只是认为参加了一场商务会议，这种情况并不少见。”

如何发现内部威胁

发现内部威胁的技术各不相同，取决于企业可能面临的威胁类型，无论是恶意还是无意的。在恶意内部威胁方面，要注意员工的反常行为变化，Alashe说，“一些企业会将其视为个人正常登录和注销的时间，或电子邮件流量的变化。它们是可能值得进一步关注的兴趣领域的指标。”

对企业不满的员工或知道自己将被解雇的员工，是可能存在恶意内部威胁的另一个迹象。Alashe说，“我们看到的一个挑战是，有些员工知道他们将被解雇，但他们的权限并没被取消。因此在一段时间内提高了企业面临的内部威胁的风险。”

Forte说，“在观察到的几乎所有案件中，都是在一些员工辞职前一个月内发生的。”此外他指出，盗窃案件中存在两个重要因素，一是员工对自己的工作感到不满，二是他们对工作职位的占有欲很强。

至于无意的内部威胁，Ford说：“员工可能因为快速或方便而采取的行动，例如共享或重用凭据、将文件复制到个人U盘或将文件存储在个人云存储中，这些行动也意味是一种内部威胁，即使它们可能不是恶意的。”

非恶意内部威胁的另一个指标是员工未能完成安全意识培训。Alashe说，“培训并不能彻底改变人们的行为，但据我所知，培训是一些企业应对非恶意内部威胁的方法。”

防止内部威胁的措施

企业可以采取措施将内部威胁的程度降到最低。Ford说，“第一步应该是进行全面的内部威胁能力评估，这将有助于确定现有的差距和有待改进的领域。利用从评估中获得的见解，企业可以制定有效的内部威胁计划，平衡员工隐私与安全，并且应该包括明确定义的组件、功能、范围和治理结构。”

Forte表示，抵御内部威胁的具体措施取决于威胁的类型：欺诈、盗窃或破坏。Forte建议，为了最大限度地减少内部盗窃，除了其他事项之外，企业应确定最具商业敏感性的资产，确定有权使用这些资产的员工，并为他们提供加强的内部威胁培训。她说：“在某些情况下，人们没有意识到他们处理的一些报告是不能带走或复印的。”

Alashe表示，解决内部威胁的关键一步是首先确定非恶意的内部活动是内部威胁。他说，“一些企业表示，他们的安全意识团队负责处理非恶意内容，而内部威胁团队只负责处理恶意内容。更明智的企业并不这么认为。他们会更全面地考虑这个问题。”