中怡网络安全系列洞察(一) | 应对内忧

许多造成重大商业影响的网络安全事故都起因于企业内部。本文将提供简明指引帮助您识别和应对内部威胁。

摘要： 过去两年，无意和恶意的内部威胁增加了44%，全球每起事故造成的损失增长了超三分之一，达到1550万美元。 内部人员常见的动机包括政治或个人信仰、对组织或员工不满，或渴望得到认可和经济利益。 为避免可能发生的事故，需要寻找企业可能面临风险的迹象，并及早采取措施降低风险。

外部的勒索软件攻击和重大数据泄露事件通常会成为头版头条，但企业必须继续关注内部网络安全事故，这些事故可能会给企业带来严重的财务损失。需要注意的是，这些安全事故往往是由那些拥有组织内部访问权限的人员引发的。

在过去的两年中，无意和恶意的内部威胁增加了44%，全球每起事故造成的损失增长了超三分之一，达到1550万美元。控制内部威胁的平均支出为184,548美元，其中业务中断成本通常是较大的开支，占总支出的23%。¹

对12个月内报告的6,803起内部事故的研究显示：

• 56%是由于疏忽造成的，例如未能保护设备，未能遵守公司安全政策或未能修复和升级设备等。
• 26%是由内部恶意人员造成的内部犯罪活动。内部恶意人员包括将数据访问权限用于有害、不道德或非法目的的员工或授权个人。
• 18%的事故涉及关键数据和软件访问权限凭证盗窃。虽然凭证盗窃事故数量较少，但是每起事故平均损失高达804,997美元，属于损失严重的一类事故。

“内部人员”指的是有权访问业务系统、数据和资产（实体/数字）的个人，包括员工、承包商和供应商等。他们之所以构成威胁，是因为他们的行为可能故意、无意或是在疏忽中损害组织的利益。这些行为可能包括暴露或盗窃资产、机密信息，从而导致组织的运营能力、诚信或声誉受损，并造成其他财务、业务或社会后果。

过去三年，发生内部事故的企业数量逐年增加。Ponemon的一项研究显示²，2022年，67%的企业表示每年会发生21至40多起事故，并预计这种情况在2023年不会得到改善。

当前，企业的裁员增加，薪酬和福利减少，以及经济普遍存在的不确定性可能会使原本善意的员工产生消极怠工或采取恶意行为应对裁员和其他不利的工作变化。心怀不满或怨恨的员工可能会将不稳定的工作状况作为发起知识产权盗窃或其他犯罪行为的动机。

近70%的员工更有可能在辞职前盗取公司数据。此外，员工在被解雇前一天进行的未经授权的数据传输行为增长了23%，而在失业当天则增长了109%。³

 

内部威胁动机

内部人员可能会出于多种动机选择损害组织利益，常见原因包括：

• 政治或个人信仰
• 对组织或其人员不满
• 渴望得到认可或经济利益

造成组织损失的内部人员并非总是有意为之。有些内部人员可能会在不知情的情况下帮助外部人士进行社交工程，通过网络钓鱼邮件制造假象，让员工将资金转入另一个账户。

另一方面，内部人员可能出于疏忽或鲁莽而不遵守企业的安全策略或管控，例如使用个人设备或帐户开展业务，或允许身份不明人员进入限制区域。

此外，还有些内部人员可能会出于恶意损害组织，例如离职员工盗取机密信息，意图将其用于或出售给竞争对手。

 

识别内部威胁：企业面临风险的迹象

当内部人员出现以下情况时，企业可能会面临风险：

• 没有接受过培训，无法充分理解和应用与其工作相关的法律、法规或监管要求，并且无法理解这些对组织安全有何影响；
• 缺乏针对社会工程（如网络钓鱼电子邮件）危害的正确应对措施的培训；
• 不知道应该采取哪些措施来确保他们使用的设备（公司发放的设备和自带设备） 始终得到保护；
• 将高度机密的数据上传到云中不安全的位置；
• 打破企业的安全策略以简化工作；
• 不坚持将设备和服务升级到最新版本。

 

降低内部风险的三个步骤

1、方向和范围：

为了恰当应对内部人员带来的风险，企业必须首先践行良好的信息管理，并了解关键数据的内容、存储位置、管理方式以及可以访问数据的人员岗位和责任。只有当企业充分了解其内部风险敞口的位置后，才能更有效地增强或介入内部管控。

2、阻止和威慑：

要想阻止具备高度复杂性的内部人员实现其目标，企业需要在多个领域建立经过精心设计和测试的安全控制层，以保障安全区域。

一些企业在雇用前会进行高强度的尽职调查，以起到威慑的效果。威慑控制可以包括在入职和离职期间签署具有法律约束力的协议，或着重教育员工了解内部威胁并报告可疑活动。

大多数企业现有的安全架构都可以扩展用于内部威胁管控。这些控制是预防性的，可以阻止内部人员试图发动攻击，并劝阻内部人员从事危害行为。

自动化和相互连接的监控系统变得越来越复杂，并持续在企业的风险缓解战略中发挥着重要作用。除此之外，企业必须了解可以通过其他非技术手段检测到内部活动，例如匿名举报、威胁情报以及追踪具有指示性的内部行为。

3、更先进的防范措施

一旦企业制定了正式的政策和充足的内部计划，建立并增强了内部管控，并实施了稳态监控机制后，他们就可以选择引入更先进的风险降低措施。面对一些资源丰富且执着的内部人员，企业可以从更先进、主动的风险缓解战略中受益，例如蜜罐、虚假信息活动和高级行为分析。

理论上，这些策略反映了企业从纯防御策略转变为更具进攻性的战略。对于许多企业，这些先进的反击策略和战术尚不实用或可能不适用，但对于符合条件的企业，引入先进的反击战略和战术可以对降低内部风险产生重大的积极影响。

---

如需获取更多信息或有相关需求，敬请联系：

周海晨

中怡保险经纪网络安全执行总监

邮箱：johnson.zhou@aon-cofco.com.cn
电话：+86 (20) 3816 5923

 

刘晨晖

中怡保险经纪网络安全高级客户经理

邮箱：alyssa.liu@aon-cofco.com.cn
电话：+86 (21) 3865 8366

---

引用来源：

^1,2 2022 Cost of Insider Threats Global Report | Ponemon
³ When Employees Leave, Sensitive Data Often Leaves With Them | Bloomberg