最堅固的堡壘往往是從內(nèi)部被攻破的。內(nèi)部威脅早已不是什么鮮為人知的安全隱患，其普遍性已經(jīng)成為幾乎所有企業(yè)都需要擔心和考慮的問題。

　　在這里，我們首先定義一下內(nèi)部威脅（Insider Threat）的概念范疇，其是指內(nèi)部人員利用獲得的信任做出的損害授信組織合法利益的行為，這些利益包括企業(yè)的經(jīng)濟利益、業(yè)務運行、對外服務以及授信主體聲譽等。同時需要注意，內(nèi)部威脅不僅僅是組織合法成員的有意或無意導致的組織利益損失，還包括一些外部偽裝成內(nèi)部成員的攻擊。

　　全球內(nèi)部威脅事件頻出

　　企業(yè)經(jīng)濟、業(yè)務、聲譽多重受損

　　在近兩年公開披露的大型網(wǎng)絡安全事件中，因內(nèi)部威脅而造成的，其比例之高、類型之多、行業(yè)覆蓋之廣，令人觸目驚心。

　　● 內(nèi)部泄密

　　內(nèi)部人員造成企業(yè)數(shù)據(jù)泄露是內(nèi)部威脅安全事件中最多也最突出的。

　　2021年11月，輝瑞制藥起訴一名前員工，指控其在跳槽前竊取了超過1.2萬份文件，包括輝瑞新冠疫苗的內(nèi)部評估與建議、輝瑞與德國疫苗合作伙伴的合作關(guān)系，以及兩種癌癥抗體介紹等商業(yè)機密文件。輝瑞認為這是競爭對手的無情挖角而驅(qū)使的。

　　除了這類內(nèi)鬼惡意的竊密，更多的事件源于員工的粗心或誤操作。

　　2020年，保險軟件開發(fā)商Vertafore的一名員工無意中將數(shù)據(jù)文件存儲在不安全的外部存儲服務上，致使2770萬得克薩斯州駕駛員敏感信息泄露。這些文件包含數(shù)百萬個駕駛執(zhí)照的信息，用于該公司為其軟件創(chuàng)建保險評級功能。因員工大意導致客戶數(shù)據(jù)暴露，企業(yè)不僅要承受信任度降低，還將承擔高額的罰款和賠付。

　　● 特權(quán)濫用

　　賬戶與權(quán)限是內(nèi)部協(xié)作與管理中非常基礎的工具，但由于其錯誤的配置、沒有及時更新的權(quán)限管理、沒有及時修補的漏洞、弱口令等，導致身份賬戶總成能為內(nèi)部威脅的巨大敞口。

　　2021年，紐約一家信用合作社的前雇員在被解雇幾天后仍然能夠登錄公司系統(tǒng)，其在40分鐘內(nèi)暴力刪除了21.3 GB的公司數(shù)據(jù)，其中包括2萬個文件和3500個目錄。此外，她還讀取了包括董事會會議記錄在內(nèi)的敏感文檔。

　　除了員工會越權(quán)，黑客也會通過破壞賬戶權(quán)限混入內(nèi)部。

　　2022年1月，紅十字國際委員會（ICRC）表示其遭到不明身份的黑客入侵，超過51萬人的個人信息被竊取，這些數(shù)據(jù)來自全球至少60個紅十字會及其分會。調(diào)查顯示，黑客是通過一個未修補的漏洞破壞管理員憑據(jù)，并偽裝成內(nèi)部合法用戶、管理員來泄露注冊表配置和活動目錄文件。

　　● 網(wǎng)絡釣魚

　　此外網(wǎng)絡釣魚也非常常見，雖然手段看起來很初級，但經(jīng)年累月屢試不爽。

　　2022年5月，國內(nèi)某互聯(lián)網(wǎng)大廠一批員工收到釣魚郵件，有20余名員工按郵件要求掃碼填寫了銀行賬號等信息，被騙取四萬元人民幣。官方聲明顯示，由于某員工使用郵件時被意外釣魚導致密碼泄露，進而被冒充財務部盜發(fā)郵件。

　　值得注意的是，網(wǎng)絡釣魚經(jīng)常被當做打開內(nèi)部大門的跳板，進而可能引發(fā)勒索攻擊、APT攻擊等影響巨大的安全事件。

　　● 供應鏈入侵

　　合作伙伴是另一種身份上的內(nèi)部人員，他們通常擁有比肩內(nèi)部人員的訪問權(quán)限，又常常被內(nèi)部管理及評估所忽略。

　　2021年5月，大眾汽車披露，負責為其提供銷售與營銷服務的第三方供應商的某套在線系統(tǒng)存在安全配置錯誤，導致數(shù)據(jù)泄露，超過330萬客戶的個人信息意外流出，其中大部分為奧迪車主。為響應此次事件，大眾最終承諾為受影響的用戶提供免費信貸保護服務。

　　內(nèi)部威脅不容小覷 恐比外部攻擊更難纏

　　從結(jié)果看，無論是外部攻擊還是內(nèi)部威脅，最終都造成企業(yè)數(shù)據(jù)資產(chǎn)外泄露、業(yè)務受影響等，但是，內(nèi)部威脅的危害性往往是更大的。相較于外部攻擊，內(nèi)部威脅有著更明確的動機和目的，而且攻擊方對內(nèi)部更加熟悉、觸達核心資產(chǎn)更加方便，針對這種強針對性而且便捷的威脅的識別和防范難度也更大。

　　首先是意識層面和策略重點的問題。企業(yè)管理層對內(nèi)部威脅長期缺乏重視，安全資源和重心傾向于外部攻擊，在管理策略和防范策略上處于防外不防內(nèi)的模式，進而導致員工的安全意識和技能也比較淺顯生疏，大量的無意識、誤操作可能引發(fā)蝴蝶效應，更別說心有不軌的內(nèi)鬼會進行偽裝和內(nèi)外勾結(jié)。

　　其次，傳統(tǒng)網(wǎng)絡安全建設著重在解決邊界防護問題，由于其檢測機制所限，這些網(wǎng)絡邊界防護手段無法有效地發(fā)現(xiàn)識別和解決內(nèi)部用戶發(fā)起的內(nèi)部威脅。而內(nèi)網(wǎng)威脅檢測分為網(wǎng)絡側(cè)與終端側(cè)，網(wǎng)絡側(cè)如IPS/IDS等基于流量進行檢測，終端側(cè)依靠EDR、蜜罐等進行識別，以及UEBA等新興技術(shù)，處理大量的告警煩雜低效，而真實的威脅可能被淹沒在其中。

　　解決內(nèi)部威脅的出路：重新找到安全的邊界

　　以內(nèi)外網(wǎng)為邊界進行安全檢測和防護在面對內(nèi)部威脅時手足無措，業(yè)務上云、BYOD、遠程協(xié)作等新辦公場景已經(jīng)沖破了所謂的內(nèi)網(wǎng)，邊界模糊幾近消失，原本安全的內(nèi)部也就不復存在。內(nèi)部威脅總是源于攻擊者借助內(nèi)部身份的便利性或者瞄準身份和權(quán)限管理功能下手，那么身份，就成為了一道新的、邏輯上的安全邊界。

　　IAM（身份識別與訪問管理）如今已成為多數(shù)企業(yè)機構(gòu)的標配，尤其是多分支組織架構(gòu)、擁有多個供應商和合作伙伴的大型集團，IAM旨在統(tǒng)一構(gòu)建平臺的權(quán)限管理標準，通過定義并管理單個網(wǎng)絡用戶的身份，確保合適的身份在合適的時間獲得合適的授權(quán)訪問。

　　隨著零信任概念的普及，采用零信任原則和架構(gòu)的增強型IAM通過多因素身份驗證進行訪問，采用最小特權(quán)原則，對每一次訪問都進行動態(tài)驗證及授權(quán)，可以應對網(wǎng)絡中的各類請求。同時會監(jiān)視特權(quán)用戶的活動，自動禁用或按需修改離職、轉(zhuǎn)崗員工的賬戶權(quán)限，做到實時的、更細粒度的訪問控制和身份安全管理。

　　IAM和零信任體系主要解決身份認證和管理工作，面對這些系統(tǒng)本身可能存在的安全隱患，以及內(nèi)部人員使用合法身份并由此為突破橫掃內(nèi)網(wǎng)的情況，ITDR（身份威脅檢測和響應）將為企業(yè)的身份基礎設施增加額外的安全保障。其旨在最大限度地提高企業(yè)各個位置的身份可見性，高效、高速、實時監(jiān)測身份配置與行為，保護和響應超越終端與流量的局限視角。

　　中安網(wǎng)星ITDR技術(shù)路線圖

　　作為一項新興技術(shù)，ITDR在國內(nèi)外尚處起步發(fā)展階段，專注于該領(lǐng)域的安全廠商中安網(wǎng)星此前在接受安全419采訪時表示，技術(shù)獨立的ITDR可以更好融入到眾多應用場景當中，針對不同場景的身份基礎設施提供檢測和響應，而非這些身份基礎設施獨立集成。其發(fā)展壯大一方面需要技術(shù)上的攻破，比如防護模型覆蓋能力，具體的技術(shù)分析和響應能力，另一方面還需要市場的信心和認同。據(jù)了解，其以AD域安全防護切入為ITDR的落地打下基礎，并將持續(xù)拓展相關(guān)技術(shù)形成完善的ITDR解決方案。

　　針對身份基礎設施的認證和管理，加上對應的檢測和響應能力，將形成定義完整的身份安全，在識別、阻攔內(nèi)部威脅上更上一個臺階。

更多信息可以來這里獲取==>>電子技術(shù)應用-AET<<