告诉你内部威胁防护的基本知识

内部威胁造成的数据一旦曝光，公司将会受到严重的打击，透露出公司对安全的管理问题。即便数据泄露事件没有公开，但是公司的损失也是不可挽回的，无论是疏忽还是系统出现了问题，内部威胁都是难以管理的的风险。

识别内部风险

内部威胁比外部威胁更难发现，仅靠传统的安全工具难以管理，外部攻击通常需要初始利用或入侵来访问目标网络。大多数情况下这些问题行为都会触发自动化入侵检测管理系统警报，调动事件响应团队加以分析调查。

不过有业内人士已经掌握了网络访问，所以他们一般不会触发报警监控系统的边界，识别可疑或疏忽行为需要进行关联多个数据来源的情报。 包括用户和实体行为分析(U EBA)、数据丢失预防(DLP)、网络日志和终端设备行为，然而，尽管这些工具可以显示异常行为 ——从未见过出现在公司的话之前表达不满，但它们不能透露公司的外部用户可能会引发内部威胁风险。

比如说，内心产生不满的雇员也活跃在深网及暗网 （DDW） 非法进行在线社区中，或者，他们遭受了经济困难，威胁或贿赂聘请外部实体窃取重要数据;这种情况下，需要被处理人的监督和分析。源自非法进行在线社区环境监管的 “业务管理风险信息情报” （Business Risk Intelligence） 可将有价值上下文应用到社会个体经济行为上。标记可疑交易行为以作进一步研究调查， 那么，我们要挑选什么样的活动呢？

管理内部人员威胁

许多公司都意识到，充满了怨恨，当员工离职或竞争对手的招聘，将有内部威胁风险：他们可能是报复利用手中的互联网接入，或窃取有用的数据为新雇主。撤销该员工的访问凭证应成为降低对于此类财务风险的首要动作。

然而，有一个不太明显，但同样危险的时刻，那就是当新员工，人力进行资源管理部门当然我们会对企业员工履历做尽职调查。但他们未必会注意到该员工的所有社会关系或动机，业务风险情报可以提供此类信息，防止恶意人员进入公司..几年前，家里的财富500家强企业遭受这样的风险。当时作为一名拟录用的员工被发现与专门招募公司内部人盗取技术企业进行数据以作勒索的罪犯有联系。无论何时你发现的威胁，公司可以拒绝入境的利益相关者，并加强对此类攻击模式的安全性和防御。

新产品信息发布时也是一个公司的高风险期， 知识产权代表了公司价值的80%，因此知识产权的盗窃会造成灾难性的后果。员工在少数情况下的天然产品公司的商业秘密和信息访问，这项权利犯罪。但真要有员工发展起了坏心盗取了一个公司进行知识产权，他们自己还需要我们找到变现的渠道。而这往往需要涉及 DDW 或其他买卖被盗资产的非法在线社区。

内部 TTP 愈趋复杂

经典的内部威胁行为涉及将文档发送到个人电子邮件，或第三方的电子邮件地址，下载一个可移动载体上的数据，以及纸质文件的盗窃和恶意的内部逃避检测技术变得更复杂。意识到自己公司进行对内部人威胁的认知发展不断提升，有些恶意内部人也越来越惯于使用网络安全信息通信技术方法了。比如加密聊天服务和 DDW 论坛， 没有那些接触过这些圈子的老派分析师的帮助，公司很难监控这些渠道。

DDW和安全的通信信道利用率提高自身内部威胁的风险，因为这意味着肇事者可以开始更先进的TTP和资源，公司内部的身份访问数据系统的实施和数据攻击渗透漏操作。而且，加入恶意社区的公司雇员也将自己置入了被外部管理人员进行招募的风险社会之中，这里的外来人员，包括内部员工想购买或应力民族国家代理窃取数据，和这样的人占了上升。

其实，大多数员工不是恶意的。新加入到企业员工的网络社会行为也经常被自动化技术工具标记为可疑，因为对于新员工在有利信息网络时容易犯错。

 

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！