內(nèi)部威脅早已不是什么新鮮概念,，很多重大網(wǎng)絡(luò)安全事件都是由內(nèi)部因素所引發(fā),。但直到目前，企業(yè)對內(nèi)部威脅問題仍然沒有足夠的重視，并且缺乏有效的應(yīng)對和防護(hù)措施,。事實(shí)上，大多數(shù)安全團(tuán)隊(duì)面對內(nèi)部威脅時(shí)仍然是事后補(bǔ)救,。本文總結(jié)了近年來發(fā)生的9起全球知名企業(yè)內(nèi)部威脅安全事件,。通過分析研究這些真實(shí)案例，并從中汲取經(jīng)驗(yàn)教訓(xùn),，有助于組織進(jìn)一步提升自己對內(nèi)部威脅風(fēng)險(xiǎn)的主動防御能力,。

類型一：網(wǎng)絡(luò)釣魚

攻擊者很容易偽裝成您信任的人。根據(jù)《2022年Verizon數(shù)據(jù)泄露調(diào)查報(bào)告》顯示,，網(wǎng)絡(luò)釣魚是社會工程相關(guān)事件的罪魁禍?zhǔn)?，占比超過60%。此外,，網(wǎng)絡(luò)釣魚還是惡意攻擊者實(shí)現(xiàn)入侵的三大媒介之一,，另外兩個(gè)是程序下載和勒索軟件,。

代表性事件：Twitter

2020年7月中旬，Twitter遭受了大規(guī)模魚叉式釣魚攻擊,。網(wǎng)絡(luò)犯罪分子破壞了社交網(wǎng)絡(luò)的管理面板,，控制了多個(gè)知名Twitter用戶的賬戶（包括私人和公司賬戶），并代表他們分發(fā)了假比特幣贈品,。

據(jù)悉,，黑客冒充公司的IT部門專家，聯(lián)系了Twitter的幾名遠(yuǎn)程員工,，要求他們提供工作帳戶憑據(jù),。這些憑據(jù)幫助攻擊者訪問了社交網(wǎng)絡(luò)的管理員工具，重置了數(shù)十名公眾人物的Twitter帳戶,，并發(fā)布詐騙信息,。

防護(hù)建議

制定具有明確指示的網(wǎng)絡(luò)安全政策很重要，但這還不夠,。組織還應(yīng)定期進(jìn)行培訓(xùn),，以確保其員工充分了解該政策的關(guān)鍵規(guī)則，并提高其整體網(wǎng)絡(luò)安全意識,。如果每個(gè)員工都知道誰可以重置密碼,、如何重置密碼以及在何種情況下需要重置密碼，他們就不太可能落入攻擊者的陷阱,。

特權(quán)帳戶需要額外的保護(hù),，因?yàn)槠渌姓咄ǔ？梢栽L問最關(guān)鍵的系統(tǒng)和數(shù)據(jù),。如果黑客能夠獲取這些帳戶,，將可能對組織的數(shù)據(jù)安全和聲譽(yù)造成災(zāi)難性后果。為確保及時(shí)檢測和預(yù)防特權(quán)帳戶下的惡意活動,，組織應(yīng)該部署支持連續(xù)用戶監(jiān)控,、多因素身份驗(yàn)證（MFA）以及用戶實(shí)體行為分析（UEBA）的安全解決方案。

類型二：特權(quán)濫用

有時(shí),，部分內(nèi)部員工也會濫用授予他們的特權(quán),。組織中存在許多具有特權(quán)的用戶，如管理員,、技術(shù)專家和管理者,，他們可以完全訪問網(wǎng)絡(luò)中的多個(gè)系統(tǒng)，甚至可以在不引起任何人注意的情況下創(chuàng)建新的特權(quán)帳戶,。

不幸的是,，企業(yè)很難檢測到擁有特權(quán)的用戶是否濫用了他們的權(quán)限。這類罪犯往往可以巧妙地隱藏自己的行為，甚至可能誤導(dǎo)組織的內(nèi)部調(diào)查,，就像下述Ubiquiti Networks的情況一樣,。

代表性事件1：Ubiquiti Networks

2020年12月，Ubiquiti Networks的一名員工濫用其管理權(quán)限竊取機(jī)密數(shù)據(jù),，并將其用于獲取個(gè)人利益,。攻擊者通過VPN服務(wù)訪問公司的AWS和GitHub服務(wù)，并授予他自己高級開發(fā)人員的證書,。這名員工冒充匿名黑客,，告知公司“竊取了他們的源代碼和產(chǎn)品信息”，并要求公司支付近200萬美元的贖金,，以阻止進(jìn)一步的數(shù)據(jù)泄露,。

可笑的是,，該員工還參與了后續(xù)的事件響應(yīng)工作,。為了混淆公司的調(diào)查方向，他謊稱外部攻擊者侵入了公司的AWS資源,。

代表性事件2：國際紅十字國際委員會（ICRC）

2022年1月,，國際紅十字委員會遭受嚴(yán)重網(wǎng)絡(luò)攻擊和大規(guī)模數(shù)據(jù)泄露。紅十字委員會網(wǎng)絡(luò)戰(zhàn)顧問盧卡斯·奧列尼克（Lukasz Olejnik）表示,，這可能是人道主義組織有史以來發(fā)生的最大規(guī)模敏感信息泄露事件,。此次事件導(dǎo)致515000多名因地緣沖突、移民和其他災(zāi)難而與家人分離的弱勢人群隱私數(shù)據(jù)泄露,。

起初,，人們認(rèn)為這一事件是由于對該組織的一個(gè)分包商的攻擊造成的。然而,，后續(xù)調(diào)查表明,，此次攻擊的目標(biāo)正是紅十字委員會的服務(wù)器。惡意行為者通過一個(gè)漏洞訪問了紅十字委員會的系統(tǒng),，獲取了特權(quán)賬戶,，并偽裝成管理員獲取敏感數(shù)據(jù)。

防護(hù)建議

各組織有多種方式可以防止特權(quán)濫用,，比如可以通過啟用手動批準(zhǔn)模式來保護(hù)組織最重要的特權(quán)帳戶,。許多組織還擁有多人使用的特權(quán)帳戶，例如管理員或服務(wù)管理帳戶,。在這種情況下,，可以使用輔助身份驗(yàn)證來區(qū)分此類帳戶下單個(gè)用戶的操作。

在AWS上啟用用戶活動監(jiān)控可以幫助企業(yè)迅速識別和響應(yīng)可疑事件,，降低關(guān)鍵數(shù)據(jù)從云環(huán)境中被盜的風(fēng)險(xiǎn),。此外，詳細(xì)的用戶活動記錄和審計(jì)可以簡化事故調(diào)查過程，并防止肇事者誤導(dǎo)調(diào)查人員,。

類型三：內(nèi)部數(shù)據(jù)竊取

內(nèi)部人員往往是組織默認(rèn)可信的人,。通過合法訪問組織的關(guān)鍵資產(chǎn)，內(nèi)部人員可以在無人監(jiān)管的情況下輕松竊取敏感數(shù)據(jù),。

代表性事件1：電子商務(wù)平臺Shopify

2020年,，知名電子商務(wù)平臺Shopify成為內(nèi)部攻擊的受害者。Shopify的兩名員工被攻擊者收買,，竊取了近200名在線商家的交易記錄,。他們向網(wǎng)絡(luò)犯罪分子發(fā)送了敏感數(shù)據(jù)截圖和谷歌硬盤的數(shù)據(jù)鏈接。

根據(jù)該公司的聲明,，受損商家的客戶數(shù)據(jù)可能已被泄露,，包括基本聯(lián)系信息和訂單詳細(xì)信息。但Shopify同時(shí)聲稱,，沒有敏感的個(gè)人或財(cái)務(wù)信息受到影響,，因?yàn)楣粽邿o法訪問這些信息。

代表性事件2：Cash App

2021年12月,，Block股份有限公司披露其子公司Cash App發(fā)生網(wǎng)絡(luò)安全事件,。一名前員工下載了內(nèi)部報(bào)告，其中包含了800多萬名Cash App投資客戶的信息,。該公司沒有說明這名前員工為什么可以長時(shí)間訪問敏感的內(nèi)部數(shù)據(jù),，只是聲稱被盜報(bào)告中沒有包括任何個(gè)人身份信息，如用戶名,、密碼或社會安全號碼,。

防護(hù)建議

確保組織敏感數(shù)據(jù)安全的第一步就是限制用戶對數(shù)據(jù)的訪問。企業(yè)應(yīng)該考慮實(shí)施“最低權(quán)限”原則,，以完善訪問管理策略,。用戶活動監(jiān)控和審計(jì)工具也可以幫助網(wǎng)絡(luò)安全團(tuán)隊(duì)發(fā)現(xiàn)員工的可疑行為，例如訪問與職位無關(guān)的數(shù)據(jù)或服務(wù),、訪問公共云存儲服務(wù)或向私人賬戶發(fā)送帶有附件的電子郵件,。

一旦員工的合同終止，應(yīng)該確保有適當(dāng)?shù)碾x職流程,。它應(yīng)該包括停用帳戶,、VPN訪問和遠(yuǎn)程桌面訪問、更改員工可能知道的訪問代碼和密碼,，以及從電子郵件組和通訊組列表中刪除員工的帳戶,。

類型四：知識產(chǎn)權(quán)盜竊

商業(yè)秘密是許多網(wǎng)絡(luò)犯罪分子的主要目標(biāo)，而知識產(chǎn)權(quán)正是一個(gè)組織最有價(jià)值的數(shù)據(jù)類型之一,。絕妙的想法,、創(chuàng)新的技術(shù)和復(fù)雜的方案為企業(yè)帶來了競爭優(yōu)勢，因此成為惡意行為者的主要攻擊目標(biāo)也就不足為奇了。

代表性事件1：英特爾

近期,，英特爾起訴其前雇員竊取機(jī)密文件和商業(yè)機(jī)密,。這起事件發(fā)生在2020年1月。根據(jù)訴訟內(nèi)容,，瓦倫·古普塔（Varun Gupta）博士在英特爾工作了10年,，在其任職的最后幾天里竊取了超過3900份機(jī)密文件，并將其放在移動硬盤上,。在被英特爾解雇后,，Gupta又在微軟獲得了一個(gè)管理職位。不久之后,，Gupta參加了微軟和英特爾關(guān)于Xeon處理器供應(yīng)的談判,。在談判中，Gupta提到了英特爾的機(jī)密信息和商業(yè)秘密,，為他的新雇主贏得不正當(dāng)?shù)纳虡I(yè)優(yōu)勢,。

代表性事件2：Proofpoint

2021年1月，Proofpoint公司合作伙伴的前銷售總監(jiān)竊取了該公司的商業(yè)秘密,，并將其與競爭對手分享,。這些文件包含了與Abnormal Security公司（該員工離職后就任的公司）競爭的策略和戰(zhàn)術(shù),。Proofpoint的法務(wù)代表聲稱,，盡管在入職時(shí)就簽署了競業(yè)禁止協(xié)議，但該惡意員工還是拿走了帶有隱私文件的USB驅(qū)動器,。

代表性事件3：輝瑞制藥

2021年10月,，一名內(nèi)部員工偷走了輝瑞公司12000份機(jī)密文件，其中包括有關(guān)新冠肺炎疫苗以及實(shí)驗(yàn)性單克隆癌治療的商業(yè)數(shù)據(jù),。

輝瑞公司起訴了該員工將包含商業(yè)機(jī)密的文件上傳到私人谷歌硬盤賬戶和個(gè)人設(shè)備,。據(jù)悉，該惡意員工可能是想把竊取的信息傳遞給輝瑞的競爭對手,，因?yàn)楹笳叽饲霸蜻@位前輝瑞員工提供過工作機(jī)會,。

防護(hù)建議

首先，組織需要全面了解哪些信息是最有價(jià)值的知識產(chǎn)權(quán),，它位于何處,，以及誰真正需要訪問它。當(dāng)涉及到技術(shù)專家時(shí),，組織可能不得不讓他們獲得相關(guān)資源,。但是，組織應(yīng)該只授予他們完成工作所需的相關(guān)訪問權(quán)限,。通過使用高級訪問管理解決方案,，企業(yè)可以防止未經(jīng)授權(quán)的人員訪問知識產(chǎn)權(quán)。

組織還可以使用強(qiáng)大的用戶活動監(jiān)控和用戶實(shí)體行為分析（UEBA）工具來加強(qiáng)對知識產(chǎn)權(quán)的保護(hù)，這樣可以幫助組織檢測網(wǎng)絡(luò)中的可疑活動,，并為進(jìn)一步調(diào)查收集詳細(xì)證據(jù),。企業(yè)還應(yīng)該部署防復(fù)制或USB管理解決方案，使員工無法復(fù)制敏感數(shù)據(jù)或使用未經(jīng)批準(zhǔn)的USB設(shè)備,。

類型五：供應(yīng)鏈攻擊

分包商通常擁有與內(nèi)部用戶同等的系統(tǒng)訪問權(quán)限,。與分包商和第三方供應(yīng)商合作是當(dāng)今組織的常態(tài)。但是,，過度允許第三方伙伴訪問企業(yè)網(wǎng)絡(luò)很可能會產(chǎn)生網(wǎng)絡(luò)安全風(fēng)險(xiǎn),。

代表性事件：大眾汽車

2021年5月，大眾汽車披露,，惡意行為者通過攻擊一家大眾汽車的數(shù)字銷售和營銷合作供應(yīng)商,，訪問了一個(gè)不安全的敏感數(shù)據(jù)文件，事件影響了300多萬奧迪現(xiàn)有和潛在客戶,。

雖然大多數(shù)被泄露的數(shù)據(jù)僅包含客戶的聯(lián)系方式和購買或查詢的車輛信息,，但約90000名客戶的敏感數(shù)據(jù)也被竊取。為響應(yīng)此次事件,，大眾最終承諾為受影響的用戶提供免費(fèi)信貸保護(hù)服務(wù),。

防護(hù)建議

在選擇第三方供應(yīng)商時(shí)，企業(yè)應(yīng)關(guān)注他們的網(wǎng)絡(luò)安全制度及合規(guī)性,。如果潛在的合作商缺乏網(wǎng)絡(luò)安全實(shí)踐經(jīng)驗(yàn),，請考慮在服務(wù)級別協(xié)議中添加相應(yīng)的要求，并將分包商對關(guān)鍵數(shù)據(jù)和系統(tǒng)的訪問限制在其工作所需的范圍內(nèi),。

為了加強(qiáng)對最關(guān)鍵資產(chǎn)的保護(hù),，企業(yè)可以應(yīng)用多種網(wǎng)絡(luò)安全措施，如MFA,、手動登錄批準(zhǔn)和實(shí)時(shí)特權(quán)訪問管理,。此外，還可以考慮部署監(jiān)控解決方案,，以查看誰對企業(yè)的關(guān)鍵數(shù)據(jù)做了什么,。保存第三方用戶活動記錄可實(shí)現(xiàn)快速徹底的網(wǎng)絡(luò)安全審計(jì)和安全事件調(diào)查。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<