内部威胁早已不是什么新鲜概念，很多重大网络安全事件都是由内部因素所引发。但直到目前，企业对内部威胁问题仍然没有足够的重视，并且缺乏有效的应对和防护措施。事实上，大多数安全团队面对内部威胁时仍然是事后补救。本文总结了近年来发生的9起全球知名企业内部威胁安全事件。通过分析研究这些真实案例，并从中汲取经验教训，有助于组织进一步提升自己对内部威胁风险的主动防御能力。

类型一：网络钓鱼

攻击者很容易伪装成您信任的人。根据《2022年Verizon数据泄露调查报告》显示，网络钓鱼是社会工程相关事件的罪魁祸首，占比超过60%。此外，网络钓鱼还是恶意攻击者实现入侵的三大媒介之一，另外两个是程序下载和勒索软件。

代表性事件：Twitter

2020年7月中旬，Twitter遭受了大规模鱼叉式钓鱼攻击。网络犯罪分子破坏了社交网络的管理面板，控制了多个知名Twitter用户的账户(包括私人和公司账户)，并代表他们分发了假比特币赠品。

据悉，黑客冒充公司的IT部门专家，联系了Twitter的几名远程员工，要求他们提供工作帐户凭据。这些凭据帮助攻击者访问了社交网络的管理员工具，重置了数十名公众人物的Twitter帐户，并发布诈骗信息。

制定具有明确指示的网络安全政策很重要，但这还不够。组织还应定期进行培训，以确保其员工充分了解该政策的关键规则，并提高其整体网络安全意识。如果每个员工都知道谁可以重置密码、如何重置密码以及在何种情况下需要重置密码，他们就不太可能落入攻击者的陷阱。

特权帐户需要额外的保护，因为其所有者通常可以访问最关键的系统和数据。如果黑客能够获取这些帐户，将可能对组织的数据安全和声誉造成灾难性后果。为确保及时检测和预防特权帐户下的恶意活动，组织应该部署支持连续用户监控、多因素身份验证(MFA)以及用户实体行为分析(UEBA)的安全解决方案。

类型二：特权滥用

有时，部分内部员工也会滥用授予他们的特权。组织中存在许多具有特权的用户，如管理员、技术专家和管理者，他们可以完全访问网络中的多个系统，甚至可以在不引起任何人注意的情况下创建新的特权帐户。

不幸的是，企业很难检测到拥有特权的用户是否滥用了他们的权限。这类罪犯往往可以巧妙地隐藏自己的行为，甚至可能误导组织的内部调查，就像下述Ubiquiti Networks的情况一样。

代表性事件1：Ubiquiti Networks

2020年12月，Ubiquiti Networks的一名员工滥用其管理权限窃取机密数据，并将其用于获取个人利益。攻击者通过VPN服务访问公司的AWS和GitHub服务，并授予他自己高级开发人员的证书。这名员工冒充匿名黑客，告知公司“窃取了他们的源代码和产品信息”，并要求公司支付近200万美元的赎金，以阻止进一步的数据泄露。

可笑的是，该员工还参与了后续的事件响应工作。为了混淆公司的调查方向，他谎称外部攻击者侵入了公司的AWS资源。

代表性事件2：国际红十字国际委员会(ICRC)

2022年1月，国际红十字委员会遭受严重网络攻击和大规模数据泄露。红十字委员会网络战顾问卢卡斯·奥列尼克(Lukasz Olejnik)表示，这可能是人道主义组织有史以来发生的最大规模敏感信息泄露事件。此次事件导致515000多名因地缘冲突、移民和其他灾难而与家人分离的弱势人群隐私数据泄露。

起初，人们认为这一事件是由于对该组织的一个分包商的攻击造成的。然而，后续调查表明，此次攻击的目标正是红十字委员会的服务器。恶意行为者通过一个漏洞访问了红十字委员会的系统，获取了特权账户，并伪装成管理员获取敏感数据。

各组织有多种方式可以防止特权滥用，比如可以通过启用手动批准模式来保护组织最重要的特权帐户。许多组织还拥有多人使用的特权帐户，例如管理员或服务管理帐户。在这种情况下，可以使用辅助身份验证来区分此类帐户下单个用户的操作。

在AWS上启用用户活动监控可以帮助企业迅速识别和响应可疑事件，降低关键数据从云环境中被盗的风险。此外，详细的用户活动记录和审计可以简化事故调查过程，并防止肇事者误导调查人员。

类型三：内部数据窃取

内部人员往往是组织默认可信的人。通过合法访问组织的关键资产，内部人员可以在无人监管的情况下轻松窃取敏感数据。

代表性事件1：电子商务平台Shopify

2020年，知名电子商务平台Shopify成为内部攻击的受害者。Shopify的两名员工被攻击者收买，窃取了近200名在线商家的交易记录。他们向网络犯罪分子发送了敏感数据截图和谷歌硬盘的数据链接。

根据该公司的声明，受损商家的客户数据可能已被泄露，包括基本联系信息和订单详细信息。但Shopify同时声称，没有敏感的个人或财务信息受到影响，因为攻击者无法访问这些信息。

代表性事件2：Cash App

2021年12月，Block股份有限公司披露其子公司Cash App发生网络安全事件。一名前员工下载了内部报告，其中包含了800多万名Cash App投资客户的信息。该公司没有说明这名前员工为什么可以长时间访问敏感的内部数据，只是声称被盗报告中没有包括任何个人身份信息，如用户名、密码或社会安全号码。

确保组织敏感数据安全的第一步就是限制用户对数据的访问。企业应该考虑实施“最低权限”原则，以完善访问管理策略。用户活动监控和审计工具也可以帮助网络安全团队发现员工的可疑行为，例如访问与职位无关的数据或服务、访问公共云存储服务或向私人账户发送带有附件的电子邮件。

一旦员工的合同终止，应该确保有适当的离职流程。它应该包括停用帐户、VPN访问和远程桌面访问、更改员工可能知道的访问代码和密码，以及从电子邮件组和通讯组列表中删除员工的帐户。

类型四：知识产权盗窃

商业秘密是许多网络犯罪分子的主要目标，而知识产权正是一个组织最有价值的数据类型之一。绝妙的想法、创新的技术和复杂的方案为企业带来了竞争优势，因此成为恶意行为者的主要攻击目标也就不足为奇了。

代表性事件1：英特尔

近期，英特尔起诉其前雇员窃取机密文件和商业机密。这起事件发生在2020年1月。根据诉讼内容，瓦伦·古普塔(Varun Gupta)博士在英特尔工作了10年，在其任职的最后几天里窃取了超过3900份机密文件，并将其放在移动硬盘上。在被英特尔解雇后，Gupta又在微软获得了一个管理职位。不久之后，Gupta参加了微软和英特尔关于Xeon处理器供应的谈判。在谈判中，Gupta提到了英特尔的机密信息和商业秘密，为他的新雇主赢得不正当的商业优势。

代表性事件2：Proofpoint

2021年1月，Proofpoint公司合作伙伴的前销售总监窃取了该公司的商业秘密，并将其与竞争对手分享。这些文件包含了与Abnormal Security公司(该员工离职后就任的公司)竞争的策略和战术。Proofpoint的法务代表声称，尽管在入职时就签署了竞业禁止协议，但该恶意员工还是拿走了带有隐私文件的USB驱动器。

代表性事件3：辉瑞制药

2021年10月，一名内部员工偷走了辉瑞公司12000份机密文件，其中包括有关新冠肺炎疫苗以及实验性单克隆癌治疗的商业数据。

辉瑞公司起诉了该员工将包含商业机密的文件上传到私人谷歌硬盘账户和个人设备。据悉，该恶意员工可能是想把窃取的信息传递给辉瑞的竞争对手，因为后者此前曾向这位前辉瑞员工提供过工作机会。

首先，组织需要全面了解哪些信息是最有价值的知识产权，它位于何处，以及谁真正需要访问它。当涉及到技术专家时，组织可能不得不让他们获得相关资源。但是，组织应该只授予他们完成工作所需的相关访问权限。通过使用高级访问管理解决方案，企业可以防止未经授权的人员访问知识产权。

组织还可以使用强大的用户活动监控和用户实体行为分析(UEBA)工具来加强对知识产权的保护，这样可以帮助组织检测网络中的可疑活动，并为进一步调查收集详细证据。企业还应该部署防复制或USB管理解决方案，使员工无法复制敏感数据或使用未经批准的USB设备。

类型五：供应链攻击

分包商通常拥有与内部用户同等的系统访问权限。与分包商和第三方供应商合作是当今组织的常态。但是，过度允许第三方伙伴访问企业网络很可能会产生网络安全风险。

代表性事件：大众汽车

2021年5月，大众汽车披露，恶意行为者通过攻击一家大众汽车的数字销售和营销合作供应商，访问了一个不安全的敏感数据文件，事件影响了300多万奥迪现有和潜在客户。

虽然大多数被泄露的数据仅包含客户的联系方式和购买或查询的车辆信息，但约90000名客户的敏感数据也被窃取。为响应此次事件，大众最终承诺为受影响的用户提供免费信贷保护服务。

在选择第三方供应商时，企业应关注他们的网络安全制度及合规性。如果潜在的合作商缺乏网络安全实践经验，请考虑在服务级别协议中添加相应的要求，并将分包商对关键数据和系统的访问限制在其工作所需的范围内。

为了加强对最关键资产的保护，企业可以应用多种网络安全措施，如MFA、手动登录批准和实时特权访问管理。此外，还可以考虑部署监控解决方案，以查看谁对企业的关键数据做了什么。保存第三方用户活动记录可实现快速彻底的网络安全审计和安全事件调查。