5分鐘了解“内部威脅”，企業資料安全的定時炸彈

内部威脅早已廣泛傳播并引起衆多安全管理者的共鳴，很多重大資料安全事件都是由内部因素所引發。然而即便如此，企業對内部威脅問題仍然沒有足夠的重視，大多數安全團隊面對内部威脅都隻會事後補救，缺乏前瞻意識。

根據 Ponemon Institute 的《全球内部威脅成本報告》顯示，2022年較過去兩年相比，内部威脅事件的總數增加了44%。資料顯示，56%事件的根本原因是内部人員的疏忽，平均每起事件的成本為484931美元（約為310萬人民币）；内部人員惡意或者犯罪的成本更高，平均為648062美元（約為410萬人民币），他們是26%的安全事件的幕後黑手。與此同時，利用權限賬号盜竊占近兩年安全事件的18%，高于2020年的14%。

内部威脅的種類非常多，從安全意識薄弱的員工、心懷不滿的員工、離職員工和第三方，再到那些對敏感資料和系統擁有進階通路權限的使用者，包括系統管理者、網絡工程師甚至CISO等，都可能對企業資料造成威脅和損害。

内部威脅的具體表現

知其然，還需知其是以然，内部威脅的具體表現在哪？

1、特權賬号/隐形特權賬号

持有特權賬戶的人掌握着企業資訊系統的生死大計，這些賬戶的使命是為公司各項業務正常開展保駕護航。然而，若“無意一指”，或是惡念乍起，這些缺乏管控的特權賬戶可能就會給公司業務帶來滅頂之災。

除了公司指定的特權賬戶，還存在一些隐形的特權賬戶，比如可以配置設定權限的賬号，可以利用特權開通小号，做完風險查詢操作之後删除小号，這樣就了無痕迹，很難發現。

另外，一些項目涉及較多或者崗位輪換的員工，權限越開越大，這樣的賬号就接近特權賬号了。隐形特權賬号同樣面臨着持有者惡意破壞、監守自盜、失誤操作等安全威脅。

2、權限泛濫/權限濫用

目前有很多行業的人員流動性很大，員工入離職以及轉崗較多，權限越開越多；有的企業，第三方（如承包商、兼職員工、供應商、服務提供商和客戶）也擁有企業系統的通路權限，随着第三方數快速增長以及次元擴大，資料的暴露面越來越大，風險就越來越大。

有時候為了簡化使用者管理流程，確定使用者可以在不觸發安全警報或被禁止使用必要資産的情況下完成工作，往往将不受限制或将過多的使用者權限廣泛配置設定給組、角色和個人。 結果，使用者擁有過多的權限，資料的安全性可能會受到危害，可能會對資料進行未經授權的更改，包括添加、修改或删除資料；可能會檢視機密或敏感資料，包括知識産權、代碼，法律資料，以及員工和客戶的個人資訊，即使這些資料并非他們工作所必需的；甚至會販賣資料博得利益。

3、越權行為

員工的越權行為是員工在工作中超越本職位的權力及其限度而作出不屬于自己職權範圍内工作的行為，越權行為包含兩個重要特征：一是超越權限範圍,二是擅自做決定。在大資料時代，企業中員工越權通路敏感資料并牟利的行為時有發生。2022年，一則“華為員工越權通路機密資料被判刑”的消息沖上熱搜，該員工被指于2016年至2018年間越權通路機密資料并牟利。作為知名企業，華為一直非常重視資料資訊的安全，不過員工違法違規還是時有發生，涉及資訊資料洩露、專利侵權等。顯然，越權行為是企業内部威脅重要的因素之一。　　

4、“僵屍賬号”

随着時間的推移，業務系統在營運過程中會産生大量失效的賬号和授權，比如測試賬号或者臨時項目人員賬号等等，這些“僵屍賬号”沒有及時清理，可能會被黑客或病毒攻擊，也可能會給一些心懷不軌的人制造了友善，蓄意造成破壞，可能會删除關鍵資料、重要檔案，篡改背景密碼、洩露資料等等。

5、共享賬号/違規操作

為了便于工作，将自己的賬号借給其他同僚使用；在論壇或者其他傳播媒介上溝通技術問題，将工作内容複制或者截圖上傳，用于讨論學習；為了友善遠端辦公，将公司敏感資料私自列印存留并帶離公司；惡意導出資料，出售資訊謀取利益；發生資訊安全事件，及時處理未造成較大損失，因已經消除了影響并未上報備案。

6、API安全漏洞

應用程式程式設計接口（API）是一套規則和規範，管理兩個應用程式如何互動，通常通過網際網路。API也被稱為一個應用程式的 "前門"。它增強了開發的生态系統，使其更容易在現有的平台上建構，而不是從頭開始。

API安全對企業來說至關重要，因為API經常被用來向外部開發者暴露内部系統和資料。這樣做的原因有很多，例如實作合作夥伴的整合，或者為第三方開發者在現有平台上建立新功能提供途徑。然而，将内部系統和資料暴露給外部開發者也伴随着風險。例如，如果一個API沒有得到正确的保護，它可能允許未經授權的人通路敏感資料。

7、離職洩密

打算離職的員工反複下載下傳或者導出重要資料，離職後帶走公司重要機密，可能将其所從事項目的成果歸己所有，可能會将重要的公司資訊洩露給競争對手；或是，已經離職且還具有通路權限的員工再次登入系統，惡意破壞資料或者洩露資料等等。

企業如何防範？

沒有資料安全事件發生，不代表沒有内部威脅，哪怕不做任何操作，起碼做到心中有數，防患于未然。企業如何防範？

No.1 資料管理

step1識别敏感資料：對于企業，到底有多少資料，包含了哪些資料，敏感資料有多少，分布在哪裡。通過了解企業的高風險敏感資料，能夠有針對性的建立起更有效的防禦機制。是以，首先需要識别出企業所含的敏感資料及其分布情況。

step2資料分類分級：敏感等級不同的資料對内使用時受到的保護政策也不同，對外共享開放的程度也不同，高價值的資料需要更為嚴格的保護機制，而且資料的價值是有時效性的，資料的分類分級清單也需要不斷變化。企業需要專業的資料分類分級産品或者服務來有效地保護企業重要資料資産。

step3敏感資料暴露面分析：這些敏感資料對外暴露給了多少業務系統，又通過業務系統暴露給多少部門，又暴露給多少人員？暴露的類型有哪些？暴露的量級有多少？通過資料暴露面分析了解敏感資料的安全風險程度。

step4資料安全技術管控：通過前面的資料梳理，了解資料的分布、資料的敏感程度、資料的風險成都，不同風險級别的資料需要采取不同的政策，監控、阻止、告警、脫敏、加密等。采取的資料安全管理技術可以根據資料的分級分類，結合業務，決定采用何種資料安全技術作為支撐。通常采取的技術有加解密、資料脫敏、DCAP、DLP、CASB、IAM、UEBA。

No.2 賬号管理

臨時賬号：為承包方或實習生等第三方雇員建立臨時賬戶，使這個臨時賬戶在合同或工程期末的某一個特定的日期到期。這項舉措會確定個人在離開後，不能再通路這些賬戶。可以根據需要延長賬戶的有效期限。

無效賬戶：定期多次開展稽核，定期把已經失效的賬号以及不活躍的僵屍賬号給拉取出來，及時處理。企業應確定讓離職員工知道不能帶走公司的财産，并密切關注下載下傳過多資料的員工，并執行離職流程，以便在員工離職後終止其賬戶通路權限。

特權賬戶：建立特權賬号（包括隐形特權賬戶）名單，對特權賬号做特定的限制，比如特權賬号限定其通路的IP、位址和裝置等等，也就是嚴格限定特權賬号的使用地點，明确特權賬号的使用場景。

特權員工的人數越少，保護企業資料就越容易。這不僅意味着有機會執行惡意操作的員工更少，還意味着黑客/内鬼可以入侵/冒用的賬戶也變少了。

不僅僅特權賬戶，企業所有的賬戶都應遵守權限最小化原則的網絡安全标準，規定企業中的每個賬戶都應當具有盡可能少的特權，并在有必要的時候進行權限更新。使用權限最小化原則來控制賬戶可以通路哪些資源(例如，資産、應用程式、資料、裝置、檔案、網絡、系統等)，以及賬戶可以對這些資源執行哪些操作。這一點同樣适用于第三方通路資料，確定他們具有最少的權限，并且在他們的工作完成時删掉憑證。

No.3 行為管控

1、提高員工的資料安全意識：定期開展資料安全宣傳和教育訓練活動，精心打造企業安全文化，讓員工意識到資料安全的重要性以及違規行為的嚴重性。

2、通路行為管控：禁止員工之間共享賬戶，或盡可能限制共享賬戶的使用；可以采用一定的技術，使用零信任網絡通路和行為分析等來檢測異常活動，對賬号登入、資料通路、資料下載下傳、資料導出、複制截屏過程中的異常行為實時監測和告警。異常檢測是識别使用者執行異常活動的唯一途徑，實時監測實時告警響應，并優先應對最關鍵的威脅。

3、安全審計：可以通過對使用者通路資料行為的記錄、分析和彙報，來幫助企業事後生成合規報告、事故追根溯源，同時通過大資料搜尋技術提供高效查詢審計報告，定位事件原因，以便日後查詢、分析、過濾，實作加強内部網絡行為的監控與審計，提高資料資産安全。

基于以上防護要點，推薦一款資料安全内控利器-覓蹤讓業務系統資料無“洩”可擊，你可能需要它！，通過分析企業内部人員操作行為，掃描業務操作涉及的核心資料資産，建構圍繞業務和人員的零信任資料安全體系，實作敏感資料識别、資料分類分級、風險監測、動态脫敏、通路控制、水印保護、安全審計等“硬管控”。