资讯安全网: 内部威胁

内部威胁是什么？

内部威胁是源自机构内的人士所带来的保安风险，通常涉及在职或前雇员，以及可以接达敏感讯息或特权帐户的外判商业伙伴。内部威胁涉及恶意雇员意图通过盗窃或破坏而对机构造成伤害，但有时这些可能是无意的行为。

根据一份于2022年发表的内部威胁调查报告显示，内部攻击事件越趋频密，自 2020 年以来攻击数量上升了 44%，每宗事件所造成的财务损失也增逾三分之一。疏忽（56%）和犯罪（26%）是内部威胁事件的主因，而内部威胁现今已成为机构面对最昂贵和最具挑战的风险之一。

谁会造成内部威胁？

1.

疏忽大意的雇员
一些雇员拥有机构的业务资料（例如用户的帐户和敏感的业务资料）或该机构的资料储存于流动装置，如处理不当，可能会泄露机构的敏感资料。另外，部分雇员可能忽视保安政策，因而对机构构成安全威胁(例如在未经适当授权和批准程序的情况下，在用户的电脑或流动装置中安装未经的软件)。

2.

前雇员
如果机构没有及时妥善处理前雇员在资讯科技系统或数据资产的接达权限，可能会对机构构成损害。一些对机构不满的前雇员可能会利用登录凭证，进入机构的资讯科技系统进行恶意行为，例如窃取敏感的知识产权、干扰业务运作或损害机构的声誉。

3.

网络罪犯
如果在职雇员利用获授权的接达权限进行恶意行为，例如为经济利益窃取机构的敏感资料、协助机构以外的企业窃取知识产权从而获得竞争优势、利用资讯科技系统的漏洞等，都被视为恶意的内部人员。

4.

第三方合作伙伴
第三方合作伙伴泛指服务承办商或供应商，他们并非机构的正式雇员，但被授予某种权限接达该机构的系统或设施等。如果这些合作伙伴错误地处理敏感讯息，就会对该机构构成保安威胁，从而造成内部威胁。

内部威胁可能会给机构带来许多风险，包括盗取特权帐户、窃取商业机密资料和敏感知识产权、干扰业务运作及损害机构声誉等。一次成功的内部攻击可能会造成灾难性后果，包括因为不遵守个别业界的监管要求而受处罚、失去客户信任和损害公司的良好信誉等。为避免成为内部攻击的受害者，了解如何提高员工的保安意识、制定适当的保安政策、推行入侵侦测系统和预防解决方案，识别和减轻内部攻击都是十分重要的。

内部威胁有哪些类型？

内部威胁大致可分为三类：「恶意/犯罪」、「疏忽/大意」和「凭证盗窃/冒名顶替」。下表列出各类内部人员和相关威胁：

内部人员的类型	威胁	常见行为
恶意的内部人员/凭证盗窃 (有特权的资讯科技用户/管理员/恶意的第三方合作伙伴)	资料遗失/泄漏服务中断帐户滥用利用系统的漏洞	欺诈行为窃取机密或具商业价值的讯息盗用知识产权利用机构的资讯科技系统或网络漏洞
疏忽/大意 (一般雇员/特权商业用户)	仿冒诈骗攻击恶意软件攻击资料遗失/泄漏	点击仿冒诈骗讯息中的超连结遗失储存机构资料的设备
凭证盗窃/冒名顶替 (承办商/服务供应商/临时员工)	资料遗失/泄漏帐户滥用利用系统的漏洞	欺诈行为窃取机密或具商业价值的讯息盗用知识产权利用机构的资讯科技系统或网络漏洞

内部威胁构成危险的原因？

内部人员获授权接达机构的资讯科技系统和资料，同时他们亦熟悉机构内的政策、流程和程序，因此很难分辨其操作是合法、无意还是恶意。资讯保安系统较难侦测内部人员看似合法的行动，令内部人员能够在资讯科技系统中逗留更长时间，造成更大的破坏。

内部威胁的常见迹象和警号？

监测机构的资讯科技系统和处所以查察可疑的活动是非常重要的。内部威胁的迹象可循多种途径观察到，以下是若干例子：

1.

员工表示不满的行为，例如经常与同事争吵、不愿履行职责、对机构不满等。

2.

员工违反或忽视保安守则，例如关闭自动功能、拒绝维修/安装修补程式、将未经授权的装置连接到机构的网络、反复试图安装或使用未经授权的软件等。

3.

经常于非办公时间留在办公室。

4.

不必要地接达、下载或传送大量与工作无关的资料。

如何防范内部威胁？

为侦测及防范内部威胁，机构需要充分了解其资讯科技系统和处所。要找出所有能进入机构处所、接达资讯科技系统及资料的雇员和第三方合作伙伴殊不容易。以下是一些可以减低内部威胁风险的措施：

1.

进行全企业的风险评估
机构应为整个企业进行风险评估，以找出潜在的威胁并分析包括但不仅限于内部攻击的风险。机构如有安排遥距工作或提供遥距接达设备，评估也应包括这些范畴。机构应优先投放资源保护这些资产，免受潜在内部攻击的影响。

2.

制定保安政策、控制和程序
机构应制定和实施保安政策、管制和程序，管理雇员与机构设施（包括资讯科技系统和处所）之间的互动，以减少任何潜在的内部威胁。保安政策和管制措施应明确记录在案并在机构内传阅，同时由合资格人士进行复核和检讨，以确保措施能有效实施。保安政策应包括敏感和个人资料的识别/分类、严格的接达控制，例如（Multi-factor authentication，简称MFA）、授予最小权限的接达级别、、第三方接达管制程序等。如有任何可疑活动，系统/资讯科技管理人员应仔细分析，并按既定程序将问题上报管理层。

3.

提供保安意识培训
机构应提供有关法例遵行和资讯保安意识的培训，以加强员工的保安文化，例如为员工和行政人员安排培训，让他们了解在发生内部攻击时所需执行的应对程序。

4.

加强网络和资讯科技系统的保安
机构应强化网络边界和资讯科技系统，免其受潜在保安风险威脋。保安行动的例子包括监测和控制所有端点（包括流动设备）的遥距接达、只将必要的网络主机和埠列入白名单、在内部和外部网络之间建立非军事区（Demilitarised Zone，简称DMZ）、适时安装保安修补程式、关闭不必要的服务和埠、启用政策等。

5.

安装有效的保安工具
机构应采用有效的保安工具，例如资料外泄防护（Data loss prevention，简称DLP）和身分识别与接达管理（Identity and access management，简称IAM）工具，以防范内部威胁并积极管理保安态势。这些方案可让机构监测资料接达、档案活动、端点和流动装置的保安等。机构还可以考虑采用使用者行为分析（User behaviour analytics，简称UBA）工具，例如善用接达记录和自动监测使用者行为，从而侦测、分类和警惕异常行为。

6.

制定备份和复原政策及程序
应制定资料备份和复原政策，以便一旦发生保安事故，例如因内部攻击造成的损害，可以快捷有效地复原。机构还应就备份和复原程序定期进行演习，以验证其效能。

7.

制定全面的雇员人力资源管理程序及与第三方合作伙伴的服务协议
机构应另行制定全面的人力资源管理程序和服务协议，在发现潜在/可见的内部攻击活动时，终止与有关雇员和第三方合作伙伴的服务合约。