內部威脅
主頁 > 
內部威脅
< 返回

內部威脅

內部威脅是什麼?

內部威脅是源自機構內的人士所帶來的保安風險,通常涉及在職或前僱員,以及可以接達敏感訊息或特權帳戶的外判商業夥伴。內部威脅涉及惡意僱員意圖通過盜竊或破壞而對機構造成傷害,但有時這些可能是無意的行為。

根據一份於2022年發表的內部威脅調查報告 顯示,內部攻擊事件越趨頻密,自 2020 年以來攻擊數量上升了 44%,每宗事件所造成的財務損失也增逾三分之一。疏忽(56%)和犯罪(26%)是內部威脅事件的主因,而內部威脅現今已成為機構面對最昂貴和最具挑戰的風險之一。

誰會造成內部威脅?

1.
疏忽大意的僱員
一些僱員擁有機構的業務資料(例如用戶的帳戶和敏感的業務資料)或該機構的資料儲存於流動裝置,如處理不當,可能會泄露機構的敏感資料。另外,部分僱員可能忽視保安政策,因而對機構構成安全威脅(例如在未經適當授權和批准程序的情況下,在用戶的電腦或流動裝置中安裝未經授權的軟件)。
2.
前僱員
如果機構沒有及時妥善處理前僱員在資訊科技系統或數據資產的接達權限,可能會對機構構成損害。一些對機構不滿的前僱員可能會利用登錄憑證,進入機構的資訊科技系統進行惡意行為,例如竊取敏感的知識產權、干擾業務運作或損害機構的聲譽。
3.
網絡罪犯
如果在職僱員利用獲授權的接達權限進行惡意行為,例如為經濟利益竊取機構的敏感資料、協助機構以外的企業竊取知識產權從而獲得競爭優勢、利用資訊科技系統的漏洞等,都被視為惡意的內部人員。
4.
第三方合作夥伴
第三方合作夥伴泛指服務承辦商或供應商,他們並非機構的正式僱員,但被授予某種權限接達該機構的系統或設施等。如果這些合作夥伴錯誤地處理敏感訊息,就會對該機構構成保安威脅,從而造成內部威脅。

內部威脅可能會給機構帶來許多風險,包括盜取特權帳戶、竊取商業機密資料和敏感知識產權、干擾業務運作及損害機構聲譽等。一次成功的內部攻擊可能會造成災難性後果,包括因為不遵守個別業界的監管要求而受處罰、失去客戶信任和損害公司的良好信譽等。為避免成為內部攻擊的受害者,了解如何提高員工的保安意識、制定適當的保安政策、推行入侵偵測系統和預防解決方案,識別和減輕內部攻擊都是十分重要的。

內部威脅有哪些類型?

內部威脅大致可分為三類:「惡意/犯罪」、「疏忽/大意」和「憑證盜竊/冒名頂替」。下表列出各類內部人員和相關威脅:

內部人員的類型 威脅 常見行為
惡意的內部人員/憑證盜竊

(有特權的資訊科技用戶/管理員/惡意的第三方合作夥伴)
資料遺失/泄漏
服務中斷
帳戶濫用
利用系統的漏洞
欺詐行為
竊取機密或具商業價值的訊息
盜用知識產權
利用機構的資訊科技系統或網絡漏洞
疏忽/大意

(一般僱員/特權商業用户)
仿冒詐騙攻擊
惡意軟件攻擊
資料遺失/洩漏
點擊仿冒詐騙訊息中的超連結
遺失儲存機構資料的設備
憑證盜竊/冒名頂替

(承辦商/服務供應商/臨時員工)
資料遺失/泄漏
帳戶濫用
利用系統的漏洞
欺詐行為
竊取機密或具商業價值的訊息
盜用知識產權
利用機構的資訊科技系統或網絡漏洞
內部威脅構成危險的原因?

內部人員獲授權接達機構的資訊科技系統和資料,同時他們亦熟悉機構內的政策、流程和程序,因此很難分辨其操作是合法、無意還是惡意。資訊保安系統較難偵測內部人員看似合法的行動,令內部人員能夠在資訊科技系統中逗留更長時間,造成更大的破壞。

內部威脅的常見跡象和警號?

監測機構的資訊科技系統和處所以查察可疑的活動是非常重要的。內部威脅的跡象可循多種途徑觀察到,以下是若干例子:

1.
員工表示不滿的行為,例如經常與同事爭吵、不願履行職責、對機構不滿等。
2.
員工違反或忽視保安守則,例如關閉自動加密功能、拒絕維修/安裝修補程式、將未經授權的裝置連接到機構的網絡、反覆試圖安裝或使用未經授權的軟件等。
3.
經常於非辦公時間留在辦公室。
4.
不必要地接達、下載或傳送大量與工作無關的資料。
如何防範內部威脅?

為偵測及防範內部威脅,機構需要充分了解其資訊科技系統和處所。要找出所有能進入機構處所、接達資訊科技系統及資料的僱員和第三方合作伙伴殊不容易。 以下是一些可以減低內部威脅風險的措施:

1.
進行全企業的風險評估
機構應為整個企業進行風險評估,以找出潛在的威脅並分析包括但不僅限於內部攻擊的風險。機構如有安排遙距工作或提供遙距接達設備,評估也應包括這些範疇。機構應優先投放資源保護這些資產,免受潛在內部攻擊的影響。
2.
制定保安政策、控制和程序
機構應制定和實施保安政策、管制和程序,管理僱員與機構設施(包括資訊科技系統和處所)之間的互動,以減少任何潛在的內部威脅。保安政策和管制措施應明確記錄在案並在機構內傳閱,同時由合資格人士進行覆核和檢討,以確保措施能有效實施。保安政策應包括敏感和個人資料的識別/分類、嚴格的接達控制,例如多重認證(Multi-factor authentication,簡稱MFA)、授予最小權限的接達級別、職務分工、第三方接達管制程序等。如有任何可疑活動,系統/資訊科技管理人員應仔細分析,並按既定程序將問題上報管理層。
3.
提供保安意識培訓
機構應提供有關法例遵行和資訊保安意識的培訓,以加強員工的保安文化,例如為員工和行政人員安排培訓,讓他們瞭解在發生內部攻擊時所需執行的應對程序。
4.
加強網絡和資訊科技系統的保安
機構應強化網絡邊界和資訊科技系統,免其受潛在保安風險威脋。保安行動的例子包括監測和控制所有端點(包括流動設備)的遙距接達、只將必要的網絡主機和埠列入白名單、在內部和外部網絡之間建立非軍事區(Demilitarised Zone,簡稱DMZ)、適時安裝保安修補程式、關閉不必要的服務和埠、啟用密碼政策等。
5.
安裝有效的保安工具
機構應採用有效的保安工具,例如資料外泄防護(Data loss prevention,簡稱DLP)和身分識別與接達管理(Identity and access management,簡稱IAM)工具,以防範內部威脅並積極管理保安態勢。 這些方案可讓機構監測資料接達、檔案活動、端點和流動裝置的保安等。機構還可以考慮採用使用者行為分析(User behaviour analytics,簡稱UBA)工具,例如善用接達記錄和自動監測使用者行為,從而偵測、分類和警惕異常行為。
6.
制定備份和復原政策及程序
應制定資料備份和復原政策,以便一旦發生保安事故,例如因內部攻擊造成的損害,可以快捷有效地復原。機構還應就備份和復原程序定期進行演習,以驗證其效能。
7.
制定全面的僱員人力資源管理程序及與第三方合作夥伴的服務協議
機構應另行制定全面的人力資源管理程序和服務協議,在發現潛在/可見的內部攻擊活動時,終止與有關僱員和第三方合作夥伴的服務合約。

免責聲明:用戶亦應留意網絡安全資訊站中的免責聲明。在下載及使用保安軟件或工具前,請細閱相關的用戶協議和私隱政策。