为什么传统的威胁预防不足以应对内部威胁 – DATAVERSITY

安全团队可能过于专注于阻止来自外部参与者的网络攻击，以至于他们忘记了组织内部的潜在威胁。 威瑞森 报告 几乎 20% 的违规行为都是由内部威胁造成的。 

使用传统的威胁预防措施很难防御内部威胁，因为内部人员本质上需要更高的信任和访问权限才能完成工作。 因此，恶意内部攻击仍然存在 到 216 年平均有 2022 天未被发现，根据 IBM 的数据泄露成本报告，平均时间为 68 天。 但是，内部威胁不仅是恶意的，而且是恶意的。 它们也可能是意外的人为错误。 即使在这种情况下，企业也需要 189 天的时间来识别错误。

事件（无论是恶意事件还是疏忽事件）未被发现的时间越长，组织的成本就越高。 上述 IBM 报告表明，恶意内部人员造成数据泄露的平均成本为 4.18 万美元，而意外数据丢失的等效成本为 3.94 万美元。

各种类型和规模的组织都容易受到内部威胁——从家族所有的小企业到财富 100 强企业、地方和州政府、公共基础设施到主要的联邦部门和机构。 尽管面临挑战，公司仍可以通过投资政策、培训、系统和监督的正确组合来有效抵御内部威胁。

让我们定义内部威胁

存在内部威胁是因为组织授予个人信任和访问权限。 组织依靠内部人员来执行每项业务功能——从最基本的到最敏感的。

NIST 定义 内部威胁是指内部人员有可能利用他们对组织的授权访问或知识来损害该组织。 这种危害可能包括影响组织及其数据、人员、设施和资产的机密性、完整性和可用性的恶意、疏忽或意外行为。

尽管许多组织对内部威胁的基本处置可能相似，但危险的表现可能大不相同，这取决于组织的性质、部门类型、执行的产品和服务以及组织应保护的资产丢失、妥协、损坏或被盗。

从广义上讲，内部威胁源自两种主要类型的活动：无意的和有意的。 无意行为可以进一步细分为疏忽行为和意外行为。 疏忽大意的内部人员可能会因粗心大意而使组织面临威胁，而意外的内部人员犯下错误会给组织带来意想不到的风险。

另一方面，有意或恶意的内部人员可能出于个人利益或出于个人不满而故意采取损害组织的行为。 一些有意的内部人员是出于与怨恨、野心或财务压力有关的不满。 其他人可能希望通过制造危险或泄露敏感信息来获得认可和引起注意。 他们甚至可能认为他们是在为公共利益行事。

内部事件的潜在后果各不相同，可能包括经济损失、 失去隐私、未经授权的披露、服务的损坏和中断以及数据盗窃。 

不要依赖传统的威胁防御

内部威胁比外部攻击更难识别或预防。 它们对于主要关注外部威胁的传统威胁预防解决方案是不可见的。 如果内部人员利用授权登录，安全机制可能无法识别异常行为。 此外，恶意的内部人员可以在了解组织的安全措施的情况下不被发现。

除了在组织内识别内部威胁的复杂性之外，新兴技术和工作趋势使检测和预防内部攻击变得更加困难。 BYOD 的流行、SaaS 工具和应用程序的激增以及数据向云的迁移已经模糊了企业边界。 接入点的多样性、广度和分散性使企业更难控制安全环境，并为恶意内部人员提供隐藏踪迹的优势。

投资内部威胁缓解计划

尽管与内部事件相关的巨大成本和管理这种威胁的强大价值主张，许多组织没有正式的内部威胁计划。 除了内部事件的财务后果外，每个组织都必须关心其成员。 组织有责任确保其员工和合作伙伴的安全。

管理内部事件并从中恢复的成本明显高于建立和维护内部威胁计划的成本。 创建或增强内部威胁缓解计划的组织将获得无形和有形的投资回报 (ROI)，包括：

• 积极的安全文化
• 加强共同责任文化
• 早期识别威胁
• 减少检测威胁的时间
• 保护企业品牌和声誉

有效的内部威胁缓解计划采用工具“帮助企业检测、调查和应对对其数据的内部威胁。 这些做法和方法将限制内部人员可能造成的损害的影响，无论该行为是恶意的还是无意的。

CISA 发布了一个 指南 帮助企业建立内部威胁缓解计划。 根据该机构的说法，一个有效的程序应该能够检测和识别异常行为，评估威胁以确定业务风险，并实施解决方案来管理和减轻内部事件的潜在影响。

全面的内部威胁缓解计划结合了物理安全、人员保障和以信息为中心的原则。 其目标是了解内部人员在组织内的互动，对其进行适当监控，并在其威胁到组织时进行干预和管理。

成功的内部威胁缓解计划涉及三个核心原则，适用于各种规模和成熟度级别的组织：

1. 促进保护和支持文化。
2. 在保护隐私、人权和自由的同时保护组织的宝贵财富。
3. 随着组织的发展和风险环境的变化保持适应性。

在技​​术堆栈层面，组织可以利用许多工具，包括数据丢失防护 (DLP)、用户行为分析 (UBA)、特权访问管理 (PAM)、访问控制系统、SIEM 等。 正式的培训和意识计划必须补充所有这些。 培训计划必须包括所有员工，因为高度了解和经过充分培训的人员对于及早发现和预防内部威胁至关重要，因为他们可以充当传感器，可以报告异常或未经授权的活动或相关行为。

内部事件的后果可能会波及整个组织和社区，带来毁灭性的后果和长期的负面影响。 准备是一项全组织的共同义务。 作为个人，我们每个人都有责任识别内部威胁并报告有关行为。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
• 与 Adryenn Ashley 一起铸造未来。 访问这里。
• 使用 PREIPO® 买卖 PRE-IPO 公司的股票。 访问这里。
• Sumber: https://www.dataversity.net/why-traditional-threat-prevention-is-insufficient-for-insider-threats/