最堅(jiān)固的堡壘往往是從內(nèi)部被攻破的。內(nèi)部威脅早已不是什么鮮為人知的安全隱患，其普遍性已經(jīng)成為幾乎所有企業(yè)都需要擔(dān)心和考慮的問(wèn)題。

　　在這里，我們首先定義一下內(nèi)部威脅（Insider Threat）的概念范疇，其是指內(nèi)部人員利用獲得的信任做出的損害授信組織合法利益的行為，這些利益包括企業(yè)的經(jīng)濟(jì)利益、業(yè)務(wù)運(yùn)行、對(duì)外服務(wù)以及授信主體聲譽(yù)等。同時(shí)需要注意，內(nèi)部威脅不僅僅是組織合法成員的有意或無(wú)意導(dǎo)致的組織利益損失，還包括一些外部偽裝成內(nèi)部成員的攻擊。

　　全球內(nèi)部威脅事件頻出

　　企業(yè)經(jīng)濟(jì)、業(yè)務(wù)、聲譽(yù)多重受損

　　在近兩年公開(kāi)披露的大型網(wǎng)絡(luò)安全事件中，因內(nèi)部威脅而造成的，其比例之高、類(lèi)型之多、行業(yè)覆蓋之廣，令人觸目驚心。

　　● 內(nèi)部泄密

　　內(nèi)部人員造成企業(yè)數(shù)據(jù)泄露是內(nèi)部威脅安全事件中最多也最突出的。

　　2021年11月，輝瑞制藥起訴一名前員工，指控其在跳槽前竊取了超過(guò)1.2萬(wàn)份文件，包括輝瑞新冠疫苗的內(nèi)部評(píng)估與建議、輝瑞與德國(guó)疫苗合作伙伴的合作關(guān)系，以及兩種癌癥抗體介紹等商業(yè)機(jī)密文件。輝瑞認(rèn)為這是競(jìng)爭(zhēng)對(duì)手的無(wú)情挖角而驅(qū)使的。

　　除了這類(lèi)內(nèi)鬼惡意的竊密，更多的事件源于員工的粗心或誤操作。

　　2020年，保險(xiǎn)軟件開(kāi)發(fā)商Vertafore的一名員工無(wú)意中將數(shù)據(jù)文件存儲(chǔ)在不安全的外部存儲(chǔ)服務(wù)上，致使2770萬(wàn)得克薩斯州駕駛員敏感信息泄露。這些文件包含數(shù)百萬(wàn)個(gè)駕駛執(zhí)照的信息，用于該公司為其軟件創(chuàng)建保險(xiǎn)評(píng)級(jí)功能。因員工大意導(dǎo)致客戶(hù)數(shù)據(jù)暴露，企業(yè)不僅要承受信任度降低，還將承擔(dān)高額的罰款和賠付。

　　● 特權(quán)濫用

　　賬戶(hù)與權(quán)限是內(nèi)部協(xié)作與管理中非?；A(chǔ)的工具，但由于其錯(cuò)誤的配置、沒(méi)有及時(shí)更新的權(quán)限管理、沒(méi)有及時(shí)修補(bǔ)的漏洞、弱口令等，導(dǎo)致身份賬戶(hù)總成能為內(nèi)部威脅的巨大敞口。

　　2021年，紐約一家信用合作社的前雇員在被解雇幾天后仍然能夠登錄公司系統(tǒng)，其在40分鐘內(nèi)暴力刪除了21.3 GB的公司數(shù)據(jù)，其中包括2萬(wàn)個(gè)文件和3500個(gè)目錄。此外，她還讀取了包括董事會(huì)會(huì)議記錄在內(nèi)的敏感文檔。

　　除了員工會(huì)越權(quán)，黑客也會(huì)通過(guò)破壞賬戶(hù)權(quán)限混入內(nèi)部。

　　2022年1月，紅十字國(guó)際委員會(huì)（ICRC）表示其遭到不明身份的黑客入侵，超過(guò)51萬(wàn)人的個(gè)人信息被竊取，這些數(shù)據(jù)來(lái)自全球至少60個(gè)紅十字會(huì)及其分會(huì)。調(diào)查顯示，黑客是通過(guò)一個(gè)未修補(bǔ)的漏洞破壞管理員憑據(jù)，并偽裝成內(nèi)部合法用戶(hù)、管理員來(lái)泄露注冊(cè)表配置和活動(dòng)目錄文件。

　　● 網(wǎng)絡(luò)釣魚(yú)

　　此外網(wǎng)絡(luò)釣魚(yú)也非常常見(jiàn)，雖然手段看起來(lái)很初級(jí)，但經(jīng)年累月屢試不爽。

　　2022年5月，國(guó)內(nèi)某互聯(lián)網(wǎng)大廠(chǎng)一批員工收到釣魚(yú)郵件，有20余名員工按郵件要求掃碼填寫(xiě)了銀行賬號(hào)等信息，被騙取四萬(wàn)元人民幣。官方聲明顯示，由于某員工使用郵件時(shí)被意外釣魚(yú)導(dǎo)致密碼泄露，進(jìn)而被冒充財(cái)務(wù)部盜發(fā)郵件。

　　值得注意的是，網(wǎng)絡(luò)釣魚(yú)經(jīng)常被當(dāng)做打開(kāi)內(nèi)部大門(mén)的跳板，進(jìn)而可能引發(fā)勒索攻擊、APT攻擊等影響巨大的安全事件。

　　● 供應(yīng)鏈入侵

　　合作伙伴是另一種身份上的內(nèi)部人員，他們通常擁有比肩內(nèi)部人員的訪(fǎng)問(wèn)權(quán)限，又常常被內(nèi)部管理及評(píng)估所忽略。

　　2021年5月，大眾汽車(chē)披露，負(fù)責(zé)為其提供銷(xiāo)售與營(yíng)銷(xiāo)服務(wù)的第三方供應(yīng)商的某套在線(xiàn)系統(tǒng)存在安全配置錯(cuò)誤，導(dǎo)致數(shù)據(jù)泄露，超過(guò)330萬(wàn)客戶(hù)的個(gè)人信息意外流出，其中大部分為奧迪車(chē)主。為響應(yīng)此次事件，大眾最終承諾為受影響的用戶(hù)提供免費(fèi)信貸保護(hù)服務(wù)。

　　內(nèi)部威脅不容小覷 恐比外部攻擊更難纏

　　從結(jié)果看，無(wú)論是外部攻擊還是內(nèi)部威脅，最終都造成企業(yè)數(shù)據(jù)資產(chǎn)外泄露、業(yè)務(wù)受影響等，但是，內(nèi)部威脅的危害性往往是更大的。相較于外部攻擊，內(nèi)部威脅有著更明確的動(dòng)機(jī)和目的，而且攻擊方對(duì)內(nèi)部更加熟悉、觸達(dá)核心資產(chǎn)更加方便，針對(duì)這種強(qiáng)針對(duì)性而且便捷的威脅的識(shí)別和防范難度也更大。

　　首先是意識(shí)層面和策略重點(diǎn)的問(wèn)題。企業(yè)管理層對(duì)內(nèi)部威脅長(zhǎng)期缺乏重視，安全資源和重心傾向于外部攻擊，在管理策略和防范策略上處于防外不防內(nèi)的模式，進(jìn)而導(dǎo)致員工的安全意識(shí)和技能也比較淺顯生疏，大量的無(wú)意識(shí)、誤操作可能引發(fā)蝴蝶效應(yīng)，更別說(shuō)心有不軌的內(nèi)鬼會(huì)進(jìn)行偽裝和內(nèi)外勾結(jié)。

　　其次，傳統(tǒng)網(wǎng)絡(luò)安全建設(shè)著重在解決邊界防護(hù)問(wèn)題，由于其檢測(cè)機(jī)制所限，這些網(wǎng)絡(luò)邊界防護(hù)手段無(wú)法有效地發(fā)現(xiàn)識(shí)別和解決內(nèi)部用戶(hù)發(fā)起的內(nèi)部威脅。而內(nèi)網(wǎng)威脅檢測(cè)分為網(wǎng)絡(luò)側(cè)與終端側(cè)，網(wǎng)絡(luò)側(cè)如IPS/IDS等基于流量進(jìn)行檢測(cè)，終端側(cè)依靠EDR、蜜罐等進(jìn)行識(shí)別，以及UEBA等新興技術(shù)，處理大量的告警煩雜低效，而真實(shí)的威脅可能被淹沒(méi)在其中。

　　解決內(nèi)部威脅的出路：重新找到安全的邊界

　　以?xún)?nèi)外網(wǎng)為邊界進(jìn)行安全檢測(cè)和防護(hù)在面對(duì)內(nèi)部威脅時(shí)手足無(wú)措，業(yè)務(wù)上云、BYOD、遠(yuǎn)程協(xié)作等新辦公場(chǎng)景已經(jīng)沖破了所謂的內(nèi)網(wǎng)，邊界模糊幾近消失，原本安全的內(nèi)部也就不復(fù)存在。內(nèi)部威脅總是源于攻擊者借助內(nèi)部身份的便利性或者瞄準(zhǔn)身份和權(quán)限管理功能下手，那么身份，就成為了一道新的、邏輯上的安全邊界。

　　IAM（身份識(shí)別與訪(fǎng)問(wèn)管理）如今已成為多數(shù)企業(yè)機(jī)構(gòu)的標(biāo)配，尤其是多分支組織架構(gòu)、擁有多個(gè)供應(yīng)商和合作伙伴的大型集團(tuán)，IAM旨在統(tǒng)一構(gòu)建平臺(tái)的權(quán)限管理標(biāo)準(zhǔn)，通過(guò)定義并管理單個(gè)網(wǎng)絡(luò)用戶(hù)的身份，確保合適的身份在合適的時(shí)間獲得合適的授權(quán)訪(fǎng)問(wèn)。

　　隨著零信任概念的普及，采用零信任原則和架構(gòu)的增強(qiáng)型IAM通過(guò)多因素身份驗(yàn)證進(jìn)行訪(fǎng)問(wèn)，采用最小特權(quán)原則，對(duì)每一次訪(fǎng)問(wèn)都進(jìn)行動(dòng)態(tài)驗(yàn)證及授權(quán)，可以應(yīng)對(duì)網(wǎng)絡(luò)中的各類(lèi)請(qǐng)求。同時(shí)會(huì)監(jiān)視特權(quán)用戶(hù)的活動(dòng)，自動(dòng)禁用或按需修改離職、轉(zhuǎn)崗員工的賬戶(hù)權(quán)限，做到實(shí)時(shí)的、更細(xì)粒度的訪(fǎng)問(wèn)控制和身份安全管理。

　　IAM和零信任體系主要解決身份認(rèn)證和管理工作，面對(duì)這些系統(tǒng)本身可能存在的安全隱患，以及內(nèi)部人員使用合法身份并由此為突破橫掃內(nèi)網(wǎng)的情況，ITDR（身份威脅檢測(cè)和響應(yīng)）將為企業(yè)的身份基礎(chǔ)設(shè)施增加額外的安全保障。其旨在最大限度地提高企業(yè)各個(gè)位置的身份可見(jiàn)性，高效、高速、實(shí)時(shí)監(jiān)測(cè)身份配置與行為，保護(hù)和響應(yīng)超越終端與流量的局限視角。

　　中安網(wǎng)星ITDR技術(shù)路線(xiàn)圖

　　作為一項(xiàng)新興技術(shù)，ITDR在國(guó)內(nèi)外尚處起步發(fā)展階段，專(zhuān)注于該領(lǐng)域的安全廠(chǎng)商中安網(wǎng)星此前在接受安全419采訪(fǎng)時(shí)表示，技術(shù)獨(dú)立的ITDR可以更好融入到眾多應(yīng)用場(chǎng)景當(dāng)中，針對(duì)不同場(chǎng)景的身份基礎(chǔ)設(shè)施提供檢測(cè)和響應(yīng)，而非這些身份基礎(chǔ)設(shè)施獨(dú)立集成。其發(fā)展壯大一方面需要技術(shù)上的攻破，比如防護(hù)模型覆蓋能力，具體的技術(shù)分析和響應(yīng)能力，另一方面還需要市場(chǎng)的信心和認(rèn)同。據(jù)了解，其以AD域安全防護(hù)切入為ITDR的落地打下基礎(chǔ)，并將持續(xù)拓展相關(guān)技術(shù)形成完善的ITDR解決方案。

　　針對(duì)身份基礎(chǔ)設(shè)施的認(rèn)證和管理，加上對(duì)應(yīng)的檢測(cè)和響應(yīng)能力，將形成定義完整的身份安全，在識(shí)別、阻攔內(nèi)部威脅上更上一個(gè)臺(tái)階。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<