沒有例外 所有公司都存在內部人員威脅

內部人威脅的普遍性是每家公司都擔心的一大問題。而 Dtex Systems 根據對全球多家企業的威脅評估–《Dtex 2018 威脅報告》得出結論是：所有公司都存在盲點，內部人員威脅屢禁不止。

這一點毋庸置疑。

只要賦予員工決策權，員工就有可能做出危害公司利益的決策。能夠阻止這一亂象的，是一致的目標方向、意識培訓，以及最重要的——信任。沒有哪家公司能將內部人威脅概率減小到零，但有很多公司可以讓內部人威脅接近于零。

《Dtex 2018 威脅報告》將公司企業可以投入資源減小內部人威脅的領域擺到了臺面上。

很明顯，公司企業需關注基本的網絡安全原則，必須從拒絕承認網絡安全問題的階段走出來，承認需要更加了解自身環境中正在發生著什么。

需關注的重點是指正第三方云存儲配置錯誤的那些數據，防止敏感信息被意外暴露到公網上。第三方云存儲導致信息暴露的事件不是個案，受訪者中78%都遭遇過。而客戶數據飛出云窗口會造成什么后果，我們都知道。

然后，想想對交易秘密和知識產權保護的影響。不妨咨詢一下律師團隊，問問他們未提供足夠的信息保障措施會導致多嚴重的商業秘密防護疏漏。這么做可以敦促設置云存儲的人更加小心謹慎，尤其是當所保護的信息事關公司存亡的情況下。

Dtex的調查顯示，90%的受訪者都會將數據傳到未授權的非加密USB設備(收集、U盤、數據卡等等)，再一次證明了便利性需求總是勝過安全需求。或許封禁所有USB端口是個解決方案，或者也可以選擇為所有公司數據存儲提供加密功能。但若你認為各種規定就能阻止員工不用各種便利條件搞定手上工作，那你就太不了解內部人威脅是怎么回事了。

難道不應該信任員工嗎？

員工都是同事，你會雇傭不值得信任的人嗎？肯定不會。

雖然惡意用戶總在尋找新方法來繞過安全控制，但并非所有的內部風險都出自惡意。值得信任的員工不一定知道自己被卷進了破壞性活動中，他們有可能淪為憑證盜竊者的獵物。缺乏對所有用戶行為的可見性，是每家公司中源自雇員的漏洞的根源。

人為因素一直都是讓技術防御無效的變通方案。

破壞公司的內部安全的行為可以分為兩種類型：本意為惡的，以及無心之失的。

前者遠比后者來得危險。

有趣的是，Dtex的評估顯示，惡意發布同事個人信息的報復性攻擊在上升。這種攻擊是將同事的個人可識別信息(PII)發布到公共論壇上，讓你想整的人的收件箱、語音信箱和其他通信方式不堪重負，可以理解為個人級別上的DDoS攻擊。

Dtex評估報告中，67%的受訪者報告稱有惡意雇員牽涉危險行為，從而讓他們的設備比從不訪問色情網站和賭博站點的那些雇員的更加危險。

未盡之意

Dtex報告中并未列出內部人有意背叛雇主的案例數量。報復或貪婪是此類行為的兩大主要動機。下一次調查或許可以以此選題。

這種事件我們時常會在新聞中看到聽到，這些人才是有持久力的終極內部人威脅。

如果一個人天然具有權限，無論拷貝、共享還是打印信息都不會觸發數據丟失防護(DLP)等安全措施的警報，那除非設置24小時全天候監視，否則幾乎不可能抓現行。

安全教育、DLP實現、及時系統更新、復核員工權限(最小權限原則)，都是值得考慮的安全建議。

零威脅是不可能達到的。公司企業應該努力做到的，是把威脅降低到一個可控的范圍。

本文轉載自“安全牛” ，原文作者 ： nana