Entry № 607
内部威胁
内部威胁 是什么?
内部威胁现任或前员工、承包商、合作伙伴等具有合法访问权限的人员,出于故意或过失而滥用权限造成损害的风险。
内部威胁通常分三类。恶意内部人员有意外泄数据、破坏系统、欺诈或出售访问权限,常见动机是金钱、报复、意识形态或被胁迫。疏忽性内部人员因安全卫生不佳引发事件,例如文档误处理、弱口令、错发邮件、影子 IT。受损内部人员则是其账号被外部攻击者接管的合法用户。检测项目通常结合人力资源信号、UEBA、DLP、特权访问监控、职责分离与 need-to-know 原则。著名事件包括 2013 年 Edward Snowden 揭露 NSA、2010 年 Chelsea Manning 向 WikiLeaks 泄密,以及多起员工被外部团伙招募或胁迫帮助部署勒索软件的案件。
● 示例
- 01
即将离职的工程师在辞职前将源代码与客户名单复制到个人云盘。
- 02
服务台员工被勒索团伙以社会工程手段诱导,为特权账户重置 MFA。
● 常见问题
内部威胁 是什么?
现任或前员工、承包商、合作伙伴等具有合法访问权限的人员,出于故意或过失而滥用权限造成损害的风险。 它属于网络安全的 防御与运营 分类。
内部威胁 是什么意思?
现任或前员工、承包商、合作伙伴等具有合法访问权限的人员,出于故意或过失而滥用权限造成损害的风险。
如何防御 内部威胁?
针对 内部威胁 的防御通常结合技术控制与运营实践,详见上方完整定义。
内部威胁 还有哪些其他名称?
常见的别称包括: 内部人员威胁, 可信内部威胁。