安全資訊

內部威脅指的是來(lái)自組織內部的潛在安全風(fēng)險和威脅。內部威脅對組織構成了重大風(fēng)險，因為擁有合法訪(fǎng)問(wèn)權限的個(gè)人可能有意或無(wú)意中損害系統、竊取數據或從事間諜活動(dòng)。在2023年，內部威脅已經(jīng)成為現代企業(yè)中普遍存在的安全風(fēng)險。為了盡量減少內部威脅，組織應實(shí)施從內部威脅評估入手的內部風(fēng)險管理（IRM）策略。

內部威脅風(fēng)險評估的必要性

為什么內部威脅和風(fēng)險評估應該成為組織網(wǎng)絡(luò )安全態(tài)勢的核心呢？研究人員認為，內部威脅風(fēng)險評估是一種應對內部威脅挑戰的最佳實(shí)踐方法，通過(guò)評估企業(yè)組織數據當前防范內部人員的程度，能夠提前發(fā)現組織可能存在的潛在風(fēng)險，并評估這些風(fēng)險的潛在危害性。NIST報告也指出，執行內部威脅分析和風(fēng)險評估是制定一項有效的內部威脅計劃的必要步驟，內部威脅風(fēng)險評估應該作為企業(yè)總體網(wǎng)絡(luò )安全風(fēng)險評估的一部分來(lái)嚴格執行。

特別是對于那些需要處理敏感數據的組織，更應該定期評估并持續檢測內部威脅風(fēng)險，主要原因有利于了解組織的整體網(wǎng)絡(luò )安全態(tài)勢。當組織需要評估網(wǎng)絡(luò )安全現狀時(shí)，應該將風(fēng)險評估作為風(fēng)險管理策略的必要組成部分。徹底的內部風(fēng)險評估可以暴露現有工作流程的漏洞和網(wǎng)絡(luò )安全缺口，避免讓惡意的內部人員破壞企業(yè)數字化系統及應用。

更快檢測出潛在的內部威脅?；趦炔客{的風(fēng)險評估有助于更快檢測出由內部用戶(hù)引發(fā)的不安全、高風(fēng)險事件，包括檢測出可疑和惡意的內部網(wǎng)絡(luò )活動(dòng)。

加強組織的數據和資產(chǎn)安全。只有知道哪些威脅對組織最危險，才能夠確定采用最合適的措施和工具來(lái)進(jìn)行保護，并制定相應的風(fēng)險緩解計劃。

更好滿(mǎn)足合規要求。開(kāi)展統一的安全性和內部風(fēng)險評估是確保組織內部信息資產(chǎn)安全的最佳實(shí)踐之一。這種做法一直被NIST和ISO等權威組織強制要求并推薦，有利于更好地遵守HIPAA和PCI DSS等法律和標準。

內部威脅風(fēng)險評估的關(guān)鍵步驟

對于現代企業(yè)組織而言，開(kāi)展并應用一個(gè)高效的內部威脅風(fēng)險評估能夠提前發(fā)現內部威脅，從而快速有效地應對內部攻擊。在實(shí)際應用中，有多種不同的方法來(lái)評估企業(yè)內部安全風(fēng)險，這會(huì )因組織類(lèi)型、規模、業(yè)務(wù)范圍和相關(guān)的網(wǎng)絡(luò )安全要求而異。企業(yè)在深入地執行內部威脅風(fēng)險評估時(shí)，可以參考以下的關(guān)鍵步驟建議：

1. 識別并確定組織的關(guān)鍵IT資產(chǎn)

內部威脅風(fēng)險評估工作取得成功的關(guān)鍵，就是要首先確定企業(yè)組織中最可能被內部人員破壞的所有寶貴資產(chǎn)，并針對這些資產(chǎn)重點(diǎn)進(jìn)行風(fēng)險評估。一旦組織確定了關(guān)鍵性資產(chǎn)，就應該根據它們的重要程度進(jìn)行分類(lèi)分級。在這個(gè)環(huán)節，企業(yè)可以把注意力集中在以下方面：

對服務(wù)器和云服務(wù)管理面板的訪(fǎng)問(wèn)；

客戶(hù)的敏感信息（信用卡數據、地址、電話(huà)號碼和健康記錄等）；

員工的個(gè)人身份信息；

關(guān)鍵數字化業(yè)務(wù)系統和服務(wù)（組織網(wǎng)絡(luò )、管理面板和組織內使用的關(guān)鍵應用程序）；

有關(guān)合作伙伴和經(jīng)銷(xiāo)商的上年數據（文件、協(xié)議和聯(lián)系信息）；

商業(yè)秘密及其他機密信息。

2. 界定可能存在的內部威脅

并非所有內部威脅都來(lái)自惡意活動(dòng)或受攻擊賬戶(hù)，大多數的內部威脅是由組織中存在以下行為的合法用戶(hù)構成的，包括：因為疏忽泄露敏感數據；無(wú)意中共享對組織系統的訪(fǎng)問(wèn)權限，錯誤刪除、更改或濫用數據，以及將惡意軟件無(wú)意中上傳到組織系統。

因此，要識別企業(yè)內部潛在的威脅風(fēng)險，可以通過(guò)以下問(wèn)題來(lái)思考和發(fā)現：

哪些員工擁有經(jīng)過(guò)提升的訪(fǎng)問(wèn)權限？他們使用這些權限做什么？

員工訪(fǎng)問(wèn)組織系統和敏感數據的頻次如何？目的是什么？

員工如何存儲和處理其密碼？

員工是否了解最新的網(wǎng)絡(luò )安全實(shí)踐？

員工如何共享其密碼（如果他們使用共享的賬戶(hù)）？

系統是否允許員工從不尋常的位置或設備登錄？

員工可以將數據復制到來(lái)歷不明的USB設備嗎？

3. 確定內部威脅風(fēng)險的優(yōu)先級

為了確定風(fēng)險的優(yōu)先級，組織需要評估這些風(fēng)險，并確定哪些風(fēng)險可能對組織構成的威脅最大，并可能造成巨大損失。組織可以使用風(fēng)險矩陣來(lái)定義每個(gè)風(fēng)險的級別。

企業(yè)在評估內部威脅風(fēng)險，應該優(yōu)先分析以下四個(gè)因素：

面臨風(fēng)險的資產(chǎn)具有的重要性；

威脅的嚴重程度；

系統受某個(gè)威脅攻擊的脆弱性；

威脅發(fā)生的可能性。

企業(yè)還應該考慮當前哪些安全措施可以保護系統遠離某種場(chǎng)景的影響。如果出現潛在威脅，發(fā)生實(shí)際數據泄露或其他事件的可能性又有多大？通過(guò)確定最危險、最可能發(fā)生的威脅，可以確保組織首先遠離這些高等級的威脅。

4. 創(chuàng )建風(fēng)險評估報告

在內部威脅風(fēng)險評估的過(guò)程中，需要將發(fā)現的評估結果匯整成詳細報告，才可以在風(fēng)險管理策略的后續階段幫助簡(jiǎn)化決策。此外，企業(yè)也需要利用風(fēng)險評估報告向所有員工分享相關(guān)的內部風(fēng)險信息，提醒員工更加留意與風(fēng)險相關(guān)的行為。

內部威脅風(fēng)險評估報告應全面概述評估過(guò)程、已識別風(fēng)險、風(fēng)險優(yōu)先級和可能的后果。同時(shí)，企業(yè)可以結合以下有效的網(wǎng)絡(luò )安全最佳實(shí)踐以降低上述風(fēng)險：

增強授權和身份驗證機制；

執行定期數據備份；

部署數據丟失預防工具；

實(shí)施威脅監測和響應機制；

更新網(wǎng)絡(luò )安全策略和指導方針；

采用用戶(hù)活動(dòng)監控解決方案。

5. 要持續評估內部威脅風(fēng)險

開(kāi)展內部威脅風(fēng)險評估并不是一勞永逸的活動(dòng)。由于企業(yè)組織的內部威脅是在不斷變化，其復雜性和危害性也會(huì )不斷增加，因此，內部威脅風(fēng)險評估也應該不斷優(yōu)化并持續開(kāi)展。特別是在以下情況出現時(shí)，應該進(jìn)行相應的風(fēng)險評估工作：

當內部威脅事件真實(shí)發(fā)生時(shí)；

當組織的IT基礎設施發(fā)生變化，也可能會(huì )出現新的安全缺口；

出現新的合規性要求或網(wǎng)絡(luò )安全技術(shù)；

內部威脅響應團隊發(fā)生變動(dòng)；

評估計劃中明確要求的時(shí)間點(diǎn)。

原文來(lái)源：安全牛