已定義內部威脅
在內部人員成為威脅之前,他們就是一種風險,風險的定義是一個人有可能惡意或無意地使用授權存取組織的資產,從而對組織產生負面影響。存取包括實體和虛擬存取,而資產包括資訊、程序、系統和設施。
什麼是內部人員?
內部人員是受信任的個人,已獲權存取 (或了解如何存取) 一般不對外公開的任何公司資源、資料或系統,包括:
- 擁有徽章或其他裝置,讓他們可以持續出入公司實體設施 (例如資料中心或公司總部) 的人員。
- 擁有公司電腦並可存取網路的人員。
- 可存取公司的企業網絡、雲端資源、應用程式或資料的人員。
- 了解公司策略及財務狀況的人員。
- 建立公司產品或服務的人員。
內部威脅的類型
內部風險比外部威脅更難偵測,因為內部人員已經可以存取組織的資產,並且熟悉公司的安全性措施。了解內部風險的類型可協助組織更加保護其寶貴的資產。
-
惡意
在內部人員造成的惡意安全性事件中,員工或受信任的人刻意執行他們知道會對公司造成負面影響的事情。這類個人可能是出於個人不滿或其他個人原因而有此舉動,並可能透過其行為尋求財務或個人好處。
-
疏忽
疏忽與意外類似,因為該人員並非有意造成資料安全性事件。差異在於他們可能會故意違反安全性原則。常見的範例是當員工允許其他人在沒有出示徽章的情況下進入一棟建築物。在數位世界中,這就等同於在未謹慎考慮速度與便利性的情況下就覆寫安全性原則,或者透過不安全的無線連線登入公司的資源。
-
合謀
某些內部安全性事件是受信任的人員與網路犯罪組織共同合作以從事間諜行爲或竊取資料。這是另一種惡意內部風險的類型。
惡意內部事件如何發生?
除了一般 網路攻擊以外,内部人員還可以透過各種方式造成惡意事件。 以下是一些可能由內部人員造成安全性事件的常見方式:
-
暴力
內部人員可能會使用暴力或暴力威脅來恐嚇其他員工,或對組織表示不滿。暴力可能透過言論攻擊、性騷擾、霸淩、攻擊或其他威脅行為的形式。
-
間諜
間諜是指為了提供優勢給競爭者或其他方,而竊取組織所屬之營業秘密、機密資訊或智慧財產權的行為。例如,組織可能會受到惡意內部人員的攻擊,該內部人員會收集財務資訊或產品藍圖,以在市場中取得優勢。
-
破壞
内部人員可能會對組織感到不滿意,並有動機破壞組織實體的設施、資料或數位系統。破壞會以各種方式發生,例如破壞設備或洩露機密資訊。
-
詐騙
內部人員可能會為了個人利益而進行詐騙活動。例如,惡意內部人員可能會使用公司的信用卡進行個人交易,或提交虛假或誇大的費用報銷。
-
竊取
內部人員可能會竊取組織的資產、敏感性資料或智慧財產權,以取得個人利益。例如,離職員工可能會以個人利益為動機竊取其未來雇主的機密資訊,或組織雇用執行特定工作的承包商可能會竊取敏感性資料以取得自己的利益。
-
七個內部風險指標
人類和技術在偵測內部風險方面扮演了不同的角色。關鍵是建立正常活動的基準,以便更容易識別異常活動。
-
使用者活動變更
同事、主管和合作夥伴可能最了解某人是否對組織造成風險。例如,有動機引發資料安全性事件的有風險內部人員,可能會突然有異常的態度變化。
-
異常資料外流
員工經常存取和共用工作上的機密資料。不過,當使用者突然共用或下載大量敏感性資料 (與自己過往的行爲比較或與類似角色的同事比較) 時,這可能是潛在資料安全性事件的一個指標。
-
一系列相關的風險活動
單一使用者動作 (例如下載機密資料) 本身可能沒有潛在風險,但一系列的動作就可能代表潛在的資料安全性風險。例如,假設一位使用者將機密檔案重新命名為較不敏感的名稱、從雲端儲存空間下載檔案、將檔案儲存到可攜式裝置,然後從雲端儲存空間刪除這個檔案。在這個案例中,這可能表示使用者想避免被偵測到自己正在外泄敏感性資料。
-
離職員工資料外泄
資料外泄通常會隨著離職而增加,而且可能是故意或無意的。無意事件可能像是離職員工只是想保存自己的成就而不小心複製了敏感性資料,而惡意事件則可能是有人故意下載機密資料以取得個人利益,或協助自己獲取下一個職位。當離職事件與其他異常活動同時發生時,這可能代表有資料安全性事件發生。
-
系統存取異常
潛在的內部風險可能從使用者存取他們通常工作不需要的資源開始。例如,通常只存取行銷相關系統的使用者突然開始一天多次存取財務系統。
-
恐嚇和騷擾
內部風險早期的徵兆之一可能是使用者表達威脅、騷擾或歧視的通訊。這不僅對公司文化造成傷害,也可能導致其他潛在事件。
-
權限提升
組織通常會將特殊權限存取權和角色指派給有限的人員,以保護及管理寶貴的資源。如果員工在沒有明確的業務理由的情況下嘗試提升其權限,這可能表示有潛在的內部風險。
-
內部威脅的範例
過去數年內,各種規模的組織都發生內部威脅事件,例如資料竊取、間諜或破壞。以下是一些範例:
- 竊取營業秘密並銷售給另一家公司。
- 入侵公司的雲端基礎結構並刪除數千個客戶帳戶。
- 使用營業秘密來成立新公司。
整體內部風險管理的重要性
優先處理員工與雇主關係並整合隱私權控制的整體內部風險管理計劃可以減少潛在內部安全性事件的數量,並加快偵測速度。Microsoft 最近進行的一項研究顯示,相對於採用分散方法的公司,採用整體內部風險管理計劃的公司較容易快速偵測內部風險的機會多了 33%,且 16% 的公司有快速補救的可能性。1
如何防範內部威脅
組織可以專注於程式、人員、工具和教育,以整體方式解決内部人員風險。使用下列最佳做法來開發内部人員風險管理計劃,以建立與員工的信任,並有助於加強您的安全性:
-
優先考慮員工的信任和隱私權
要在員工之間建立信任就必須優先處理其隱私權。若要使用其內部風險管理計劃培養一種安全感,不妨考慮在啟動內部調查時實施多層的核准流程。此外,審計調查人員的活動也很重要,以確保他們不會越界。實施角色型存取控制以限制安全性小組中誰可以存取調查資料,也可以協助維護隱私權。在調查期間匿名使用者名稱可進一步保護員工的隱私權。最後,如果調查未繼續,請考慮在一段設定的時間之後刪除使用者的旗標。
-
使用正面鼓勵
雖然許多内部人員風險計畫仰賴負面遏制,例如限制危險員工活動之政策與工具,但平衡這些措施與先發制人的方法非常重要。正面鼓勵,例如提升員工向心力的活動、全面就職培訓、持續進行的資料安全性訓練和教育、向上溝通及反映,以及工作生活平衡計畫,均可協助降低内部人員事件的可能性。透過有效率又主動的方式與員工互動,正面鼓勵可化解風險的源頭,並提升組織內部的安全性文化。
-
取得全公司的支持
雖然 IT 和安全性小組可能承擔管理內部風險的主要責任,但必須讓整個公司參與這項工作。人力資源、合規性和法務等部門在定義政策、與專案關係人溝通,以及調查期間做出決策方面都扮演著重要的角色。若要開發更全面且有效的內部風險管理計劃,組織應尋求公司所有領域的支持與參與。
-
使用整合且全方位的安全性解決方案
要有效地保護貴組織免受內部風險的威脅不僅需要實施最佳的安全性工具,也需要一個可提供整個企業可見度與保護的整合式解決方案。一旦整合資料安全性、身分識別與存取管理、延伸偵測和回應 (XDR) 以及安全性資訊與事件管理 (SIEM) 解決方案時,安全性小組就能有效率地偵測及防止内部人員事件。
-
實施有效的訓練
員工在防止安全性事件方面扮演著重要的角色,使他們成為第一道防線。保護公司資產需要獲得員工的支持,進而增強組織的整體安全性。建立此支持最有效的方法之一是透過員工教育。您可以教育員工,以減少無意的內部活動數目。解釋內部事件對公司及其員工的影響非常重要。此外,傳達資料保護政策並教導員工如何避免資料外泄非常重要。
-
使用機器學習和 AI
現今現代化工作場所的安全性風險是動態的,且具有各種不斷變動的因素,讓它們難以偵測和回應。不過,使用機器學習和 AI,組織可以用電腦速度檢測和減輕內部風險,啟用以人為中心的調整式安全性。這項進層技術可協助組織了解使用者如何與資料互動、計算和指派風險層級,以及自動量身打造適當的安全性控制。組織可以使用這些工具來簡化識別潛在風險的流程,並排定其有限資源的優先順序,以解決高風險内部人員活動。這可節省安全性小組寶貴的時間,同時確保更好的資料安全性。
內部風險管理解決方案
防禦內部威脅頗具挑戰,因為我們很自然地會信任為組織工作及與組織合作的人。快速識別最重要的內部風險,並優先處理資源以調查及減輕這些風險,對於降低潛在事件和外泄的影響至關重要。幸好,許多 網路安全性 工具也可以識別內部威脅。
Microsoft Purview 提供資訊保護、內部風險管理和 資料外洩防護 (DLP) 功能,可協助您深入了解資料、偵測可能導致潛在資料安全性事件的重要內部風險,以及有效防止資料外洩。
Microsoft Entra ID 可協助管理誰可以存取哪些專案,以及當某人的登入和存取活動有風險時,可以提醒您。
Microsoft Defender 365 是一個 XDR 解決方案,可協助保護雲端、應用程式、端點和電子郵件,避免未經授權的活動。網路安全性與基礎結構安全機構等政府組織也會提供指引,以開發內部威脅管理計畫。
採用這些工具和使用專家的指導,組織可以更有效地管理内部人員風險,並保護其重要資產。
深入了解 Microsoft 安全性
常見問題集
-
內部威脅有四個類型。意外內部威脅是公司内員工或與公司合作的人員可能危害組織或其資料或人員的風險。當某人故意違反安全性原則,但不是有意造成傷害時,即為疏忽內部風險。惡意威脅是當有人故意竊取資料、破壞組織或有暴力行為時。另一種形式的惡意威脅是勾結,即當內部人員與組織外部的某人共同合作以造成傷害時。
-
內部風險管理很重要,因為這些類型的事件可能會對組織及其人員造成極大的損害。有了適當的原則與解決方案,組織就可以戰勝潛在的內部威脅,並保護組織寶貴的資產。
-
內部風險有幾個可能的徵兆,包括使用者活動的突然變更、一連串的風險活動、嘗試存取工作不需要的資源、嘗試提升權限、異常資料外泄、離職員工外泄資料,以及恐嚇或騷擾。
-
防止内部人員事件可能有點複雜,因為會導致安全性事件的風險活動是由與組織有關系且具有授權存取權的信任人員執行。優先處理員工與雇主關係並整合隱私權控制的整體內部風險管理計劃可以減少潛在內部安全性事件的數量,並加快偵測速度。除了隱私權控制,以及專注於員工士氣之外,一般的訓練、全公司的支持和整合式的安全性工具均可協助降低風險。
-
惡意內部威脅是受信任的人員故意傷害組織和在那裡工作的人的可能性。這不同於當某人意外入侵公司或違反安全性規,但無意讓公司受到任何傷害的無意内部風險行爲。
關注 Microsoft