內部威脅指的是來自組織內部的潛在安全風險和威脅。內部威脅對組織構成了重大風險，因為擁有合法訪問權限的個人可能有意或無意中損害系統(tǒng)、竊取數(shù)據(jù)或從事間諜活動。在2023年，內部威脅已經(jīng)成為現(xiàn)代企業(yè)中普遍存在的安全風險。為了盡量減少內部威脅，組織應實施從內部威脅評估入手的內部風險管理（IRM）策略。

內部威脅風險評估的必要性

為什么內部威脅和風險評估應該成為組織網(wǎng)絡安全態(tài)勢的核心呢？研究人員認為，內部威脅風險評估是一種應對內部威脅挑戰(zhàn)的最佳實踐方法，通過評估企業(yè)組織數(shù)據(jù)當前防范內部人員的程度，能夠提前發(fā)現(xiàn)組織可能存在的潛在風險，并評估這些風險的潛在危害性。NIST報告也指出，執(zhí)行內部威脅分析和風險評估是制定一項有效的內部威脅計劃的必要步驟，內部威脅風險評估應該作為企業(yè)總體網(wǎng)絡安全風險評估的一部分來嚴格執(zhí)行。

特別是對于那些需要處理敏感數(shù)據(jù)的組織，更應該定期評估并持續(xù)檢測內部威脅風險，主要原因有利于了解組織的整體網(wǎng)絡安全態(tài)勢。當組織需要評估網(wǎng)絡安全現(xiàn)狀時，應該將風險評估作為風險管理策略的必要組成部分。徹底的內部風險評估可以暴露現(xiàn)有工作流程的漏洞和網(wǎng)絡安全缺口，避免讓惡意的內部人員破壞企業(yè)數(shù)字化系統(tǒng)及應用。

更快檢測出潛在的內部威脅。基于內部威脅的風險評估有助于更快檢測出由內部用戶引發(fā)的不安全、高風險事件，包括檢測出可疑和惡意的內部網(wǎng)絡活動。

加強組織的數(shù)據(jù)和資產(chǎn)安全。只有知道哪些威脅對組織最危險，才能夠確定采用最合適的措施和工具來進行保護，并制定相應的風險緩解計劃。

更好滿足合規(guī)要求。開展統(tǒng)一的安全性和內部風險評估是確保組織內部信息資產(chǎn)安全的最佳實踐之一。這種做法一直被NIST和ISO等權威組織強制要求并推薦，有利于更好地遵守HIPAA和PCI DSS等法律和標準。

內部威脅風險評估的關鍵步驟

對于現(xiàn)代企業(yè)組織而言，開展并應用一個高效的內部威脅風險評估能夠提前發(fā)現(xiàn)內部威脅，從而快速有效地應對內部攻擊。在實際應用中，有多種不同的方法來評估企業(yè)內部安全風險，這會因組織類型、規(guī)模、業(yè)務范圍和相關的網(wǎng)絡安全要求而異。企業(yè)在深入地執(zhí)行內部威脅風險評估時，可以參考以下的關鍵步驟建議：

1. 識別并確定組織的關鍵IT資產(chǎn)

內部威脅風險評估工作取得成功的關鍵，就是要首先確定企業(yè)組織中最可能被內部人員破壞的所有寶貴資產(chǎn)，并針對這些資產(chǎn)重點進行風險評估。一旦組織確定了關鍵性資產(chǎn)，就應該根據(jù)它們的重要程度進行分類分級。在這個環(huán)節(jié)，企業(yè)可以把注意力集中在以下方面：

對服務器和云服務管理面板的訪問；

客戶的敏感信息（信用卡數(shù)據(jù)、地址、電話號碼和健康記錄等）；

員工的個人身份信息；

關鍵數(shù)字化業(yè)務系統(tǒng)和服務（組織網(wǎng)絡、管理面板和組織內使用的關鍵應用程序）；

有關合作伙伴和經(jīng)銷商的上年數(shù)據(jù)（文件、協(xié)議和聯(lián)系信息）；

商業(yè)秘密及其他機密信息。

2. 界定可能存在的內部威脅

并非所有內部威脅都來自惡意活動或受攻擊賬戶，大多數(shù)的內部威脅是由組織中存在以下行為的合法用戶構成的，包括：因為疏忽泄露敏感數(shù)據(jù)；無意中共享對組織系統(tǒng)的訪問權限，錯誤刪除、更改或濫用數(shù)據(jù)，以及將惡意軟件無意中上傳到組織系統(tǒng)。

因此，要識別企業(yè)內部潛在的威脅風險，可以通過以下問題來思考和發(fā)現(xiàn)：

哪些員工擁有經(jīng)過提升的訪問權限？他們使用這些權限做什么？

員工訪問組織系統(tǒng)和敏感數(shù)據(jù)的頻次如何？目的是什么？

員工如何存儲和處理其密碼？

員工是否了解最新的網(wǎng)絡安全實踐？

員工如何共享其密碼（如果他們使用共享的賬戶）？

系統(tǒng)是否允許員工從不尋常的位置或設備登錄？

員工可以將數(shù)據(jù)復制到來歷不明的USB設備嗎？

3. 確定內部威脅風險的優(yōu)先級

為了確定風險的優(yōu)先級，組織需要評估這些風險，并確定哪些風險可能對組織構成的威脅最大，并可能造成巨大損失。組織可以使用風險矩陣來定義每個風險的級別。

企業(yè)在評估內部威脅風險，應該優(yōu)先分析以下四個因素：

面臨風險的資產(chǎn)具有的重要性；

威脅的嚴重程度；

系統(tǒng)受某個威脅攻擊的脆弱性；

威脅發(fā)生的可能性。

企業(yè)還應該考慮當前哪些安全措施可以保護系統(tǒng)遠離某種場景的影響。如果出現(xiàn)潛在威脅，發(fā)生實際數(shù)據(jù)泄露或其他事件的可能性又有多大？通過確定最危險、最可能發(fā)生的威脅，可以確保組織首先遠離這些高等級的威脅。

4. 創(chuàng)建風險評估報告

在內部威脅風險評估的過程中，需要將發(fā)現(xiàn)的評估結果匯整成詳細報告，才可以在風險管理策略的后續(xù)階段幫助簡化決策。此外，企業(yè)也需要利用風險評估報告向所有員工分享相關的內部風險信息，提醒員工更加留意與風險相關的行為。

內部威脅風險評估報告應全面概述評估過程、已識別風險、風險優(yōu)先級和可能的后果。同時，企業(yè)可以結合以下有效的網(wǎng)絡安全最佳實踐以降低上述風險：

增強授權和身份驗證機制；

執(zhí)行定期數(shù)據(jù)備份；

部署數(shù)據(jù)丟失預防工具；

實施威脅監(jiān)測和響應機制；

更新網(wǎng)絡安全策略和指導方針；

采用用戶活動監(jiān)控解決方案。

5. 要持續(xù)評估內部威脅風險

開展內部威脅風險評估并不是一勞永逸的活動。由于企業(yè)組織的內部威脅是在不斷變化，其復雜性和危害性也會不斷增加，因此，內部威脅風險評估也應該不斷優(yōu)化并持續(xù)開展。特別是在以下情況出現(xiàn)時，應該進行相應的風險評估工作：

當內部威脅事件真實發(fā)生時；

當組織的IT基礎設施發(fā)生變化，也可能會出現(xiàn)新的安全缺口；

出現(xiàn)新的合規(guī)性要求或網(wǎng)絡安全技術；

內部威脅響應團隊發(fā)生變動；

評估計劃中明確要求的時間點。

原文來源：安全牛