内部威胁困境：管理“自己人”比识别外人更麻烦

最坚固的堡垒往往是从内部被攻破的。内部威胁早已不是什么鲜为人知的安全隐患，其普遍性已经成为几乎所有企业都需要担心和考虑的问题。

在这里，我们首先定义一下内部威胁(Insider Threat)的概念范畴，其是指内部人员利用获得的信任做出的损害授信组织合法利益的行为，这些利益包括企业的经济利益、业务运行、对外服务以及授信主体声誉等。同时需要注意，内部威胁不仅仅是组织合法成员的有意或无意导致的组织利益损失，还包括一些外部伪装成内部成员的攻击。

在近两年公开披露的大型网络安全事件中，因内部威胁而造成的，其比例之高、类型之多、行业覆盖之广，令人触目惊心。

● 内部泄密

内部人员造成企业数据泄露是内部威胁安全事件中最多也最突出的。

2021年11月，辉瑞制药起诉一名前员工，指控其在跳槽前窃取了超过1.2万份文件，包括辉瑞新冠疫苗的内部评估与建议、辉瑞与德国疫苗合作伙伴的合作关系，以及两种癌症抗体介绍等商业机密文件。辉瑞认为这是竞争对手的无情挖角而驱使的。

除了这类内鬼恶意的窃密，更多的事件源于员工的粗心或误操作。

2020年，保险软件开发商Vertafore的一名员工无意中将数据文件存储在不安全的外部存储服务上，致使2770万得克萨斯州驾驶员敏感信息泄露。这些文件包含数百万个驾驶执照的信息，用于该公司为其软件创建保险评级功能。因员工大意导致客户数据暴露，企业不仅要承受信任度降低，还将承担高额的罚款和赔付。

● 特权滥用

账户与权限是内部协作与管理中非常基础的工具，但由于其错误的配置、没有及时更新的权限管理、没有及时修补的漏洞、弱口令等，导致身份账户总成能为内部威胁的巨大敞口。

2021年，纽约一家信用合作社的前雇员在被解雇几天后仍然能够登录公司系统，其在40分钟内暴力删除了21.3 GB的公司数据，其中包括2万个文件和3500个目录。此外，她还读取了包括董事会会议记录在内的敏感文档。

除了员工会越权，黑客也会通过破坏账户权限混入内部。

2022年1月，红十字国际委员会(ICRC)表示其遭到不明身份的黑客入侵，超过51万人的个人信息被窃取，这些数据来自全球至少60个红十字会及其分会。调查显示，黑客是通过一个未修补的漏洞破坏管理员凭据，并伪装成内部合法用户、管理员来泄露注册表配置和活动目录文件。

● 网络钓鱼

此外网络钓鱼也非常常见，虽然手段看起来很初级，但经年累月屡试不爽。

2022年5月，国内某互联网大厂一批员工收到钓鱼邮件，有20余名员工按邮件要求扫码填写了银行账号等信息，被骗取四万元人民币。官方声明显示，由于某员工使用邮件时被意外钓鱼导致密码泄露，进而被冒充财务部盗发邮件。

值得注意的是，网络钓鱼经常被当做打开内部大门的跳板，进而可能引发勒索攻击、APT攻击等影响巨大的安全事件。

● 供应链入侵

合作伙伴是另一种身份上的内部人员，他们通常拥有比肩内部人员的访问权限，又常常被内部管理及评估所忽略。

2021年5月，大众汽车披露，负责为其提供销售与营销服务的第三方供应商的某套在线系统存在安全配置错误，导致数据泄露，超过330万客户的个人信息意外流出，其中大部分为奥迪车主。为响应此次事件，大众最终承诺为受影响的用户提供免费信贷保护服务。

从结果看，无论是外部攻击还是内部威胁，最终都造成企业数据资产外泄露、业务受影响等，但是，内部威胁的危害性往往是更大的。相较于外部攻击，内部威胁有着更明确的动机和目的，而且攻击方对内部更加熟悉、触达核心资产更加方便，针对这种强针对性而且便捷的威胁的识别和防范难度也更大。

首先是意识层面和策略重点的问题。企业管理层对内部威胁长期缺乏重视，安全资源和重心倾向于外部攻击，在管理策略和防范策略上处于防外不防内的模式，进而导致员工的安全意识和技能也比较浅显生疏，大量的无意识、误操作可能引发蝴蝶效应，更别说心有不轨的内鬼会进行伪装和内外勾结。

其次，传统网络安全建设着重在解决边界防护问题，由于其检测机制所限，这些网络边界防护手段无法有效地发现识别和解决内部用户发起的内部威胁。而内网威胁检测分为网络侧与终端侧，网络侧如IPS/IDS等基于流量进行检测，终端侧依靠EDR、蜜罐等进行识别，以及UEBA等新兴技术，处理大量的告警烦杂低效，而真实的威胁可能被淹没在其中。

以内外网为边界进行安全检测和防护在面对内部威胁时手足无措，业务上云、BYOD、远程协作等新办公场景已经冲破了所谓的内网，边界模糊几近消失，原本安全的内部也就不复存在。内部威胁总是源于攻击者借助内部身份的便利性或者瞄准身份和权限管理功能下手，那么身份，就成为了一道新的、逻辑上的安全边界。

IAM（身份识别与访问管理）如今已成为多数企业机构的标配，尤其是多分支组织架构、拥有多个供应商和合作伙伴的大型集团，IAM旨在统一构建平台的权限管理标准，通过定义并管理单个网络用户的身份，确保合适的身份在合适的时间获得合适的授权访问。

随着零信任概念的普及，采用零信任原则和架构的增强型IAM通过多因素身份验证进行访问，采用最小特权原则，对每一次访问都进行动态验证及授权，可以应对网络中的各类请求。同时会监视特权用户的活动，自动禁用或按需修改离职、转岗员工的账户权限，做到实时的、更细粒度的访问控制和身份安全管理。

IAM和零信任体系主要解决身份认证和管理工作，面对这些系统本身可能存在的安全隐患，以及内部人员使用合法身份并由此为突破横扫内网的情况，ITDR（身份威胁检测和响应）将为企业的身份基础设施增加额外的安全保障。其旨在最大限度地提高企业各个位置的身份可见性，高效、高速、实时监测身份配置与行为，保护和响应超越终端与流量的局限视角。

中安网星ITDR技术路线图

作为一项新兴技术，ITDR在国内外尚处起步发展阶段，专注于该领域的安全厂商中安网星此前在接受安全419采访时表示，技术独立的ITDR可以更好融入到众多应用场景当中，针对不同场景的身份基础设施提供检测和响应，而非这些身份基础设施独立集成。其发展壮大一方面需要技术上的攻破，比如防护模型覆盖能力，具体的技术分析和响应能力，另一方面还需要市场的信心和认同。据了解，其以AD域安全防护切入为ITDR的落地打下基础，并将持续拓展相关技术形成完善的ITDR解决方案。

针对身份基础设施的认证和管理，加上对应的检测和响应能力，将形成定义完整的身份安全，在识别、阻拦内部威胁上更上一个台阶。