内部威胁
内部威胁 是什么?
内部威胁现任或前员工、承包商、合作伙伴等具有合法访问权限的人员,出于故意或过失而滥用权限造成损害的风险。
内部威胁通常分三类。恶意内部人员有意外泄数据、破坏系统、欺诈或出售访问权限,常见动机是金钱、报复、意识形态或被胁迫。疏忽性内部人员因安全卫生不佳引发事件,例如文档误处理、弱口令、错发邮件、影子 IT。受损内部人员则是其账号被外部攻击者接管的合法用户。检测项目通常结合人力资源信号、UEBA、DLP、特权访问监控、职责分离与 need-to-know 原则。著名事件包括 2013 年 Edward Snowden 揭露 NSA、2010 年 Chelsea Manning 向 WikiLeaks 泄密,以及多起员工被外部团伙招募或胁迫帮助部署勒索软件的案件。
● 示例
- 01
即将离职的工程师在辞职前将源代码与客户名单复制到个人云盘。
- 02
服务台员工被勒索团伙以社会工程手段诱导,为特权账户重置 MFA。
● 常见问题
内部威胁 是什么?
现任或前员工、承包商、合作伙伴等具有合法访问权限的人员,出于故意或过失而滥用权限造成损害的风险。 它属于网络安全的 防御与运营 分类。
内部威胁 是什么意思?
现任或前员工、承包商、合作伙伴等具有合法访问权限的人员,出于故意或过失而滥用权限造成损害的风险。
内部威胁 是如何工作的?
内部威胁通常分三类。恶意内部人员有意外泄数据、破坏系统、欺诈或出售访问权限,常见动机是金钱、报复、意识形态或被胁迫。疏忽性内部人员因安全卫生不佳引发事件,例如文档误处理、弱口令、错发邮件、影子 IT。受损内部人员则是其账号被外部攻击者接管的合法用户。检测项目通常结合人力资源信号、UEBA、DLP、特权访问监控、职责分离与 need-to-know 原则。著名事件包括 2013 年 Edward Snowden 揭露 NSA、2010 年 Chelsea Manning 向 WikiLeaks 泄密,以及多起员工被外部团伙招募或胁迫帮助部署勒索软件的案件。
如何防御 内部威胁?
针对 内部威胁 的防御通常结合技术控制与运营实践,详见上方完整定义。
内部威胁 还有哪些其他名称?
常见的别称包括: 内部人员威胁, 可信内部威胁。
● 相关术语
- defense-ops№ 1145
威胁行为者
通过网络行动有意造成或试图造成对信息系统、组织或个人伤害的个人或组织。
- privacy№ 278
数据丢失防护 (DLP)
在终端、网络、邮件和云服务中检测并阻止敏感数据未经授权外泄的一组技术与策略。
- identity-access№ 861
特权访问管理(PAM)
一套用于保护、控制、监控和审计具有管理员或更高权限账户与系统访问的实践与工具。
- defense-ops№ 1189
UEBA(用户与实体行为分析)
一种检测技术,通过为用户和实体建立正常行为基线,利用统计或机器学习识别可能预示入侵或内部威胁的异常。
- attacks№ 1065
社会工程学
通过心理操纵让目标执行特定行为或泄露机密信息,从而使攻击者获益的攻击方式。
- defense-ops№ 901
勒索软件团伙
以经济利益为动机的网络犯罪团伙,开发、运营或分发勒索软件,通过加密文件与数据泄露威胁勒索组织。