內部風險與內部威脅
內部風險與內部威脅雖然它們都源自於相同來源--內部使用者,但兩者之間的差異在於意圖和影響。內部風險包括無意和有意的行為,而內部威脅僅側重於故意破壞。當內部人員的行為從潛在變為實際行動,從意外變為故意時,風險就變成了威脅。另一個重要區別是組織如何應對每種風險。內部風險需要主動監控、教育訓練和緩解策略,以防止人為錯誤升級為真正的威脅。
另一方面,內部威脅需要偵測、調查,通常還需要完整的事件回應工作流程,包括法律和人力資源的參與。最後,內部風險更為廣泛,但不太可能躍升為頭條新聞;而內部威脅更為罕見,但可能造成災難性傷害。釐清這種差異有助於安全團隊確定工作優先等級,並在兩個類別之間有效分配資源。
內部威脅來源不僅是內部人員
內部威脅可以是任何擁有信任、訪問權限、知識或影響力的人。一般印象中經常會浮現出諸如懷恨在心的不滿的前員工,或最近因晉升而被冷落的惡意同事等人物。然而通常情況下,他們可能是犯下代價高昂的錯誤的員工或承包商。不幸的是,內部供應鏈威脅往往更嚴重。這類管理性質涉及第三方人員活動,共用或第三方系統,因為它們擁有不同的資料系統、較少的監督以及不同的安全協定。即使簽訂了合約,這些供應商也可能走捷徑或疏忽安全,而企業可能毫不知情,直到為時已晚。
傳統資安工具侷限
常規的內部威脅本身已經夠糟糕的了,一般傳統的安全工具因應外部入侵攻擊而設計,無法檢測到內部威脅。這些工具知道攻擊會在哪裡發生造成傷害,而且管理人員也不會懷疑他們。與網路攻擊不同,內部威脅並不突出。由於他們擁有合法存取權限,傳統的監控工具和安全措施不會標記他們的活動。此外,由於他們本身認識自己的同事,他們通常看起來不會立即產生懷疑,即使指標顯示他們是可疑的。監控對於減輕內部威脅至關重要,畢竟資安團隊無法解決他們看不到的問題。
識別潛在威脅指標
如果組織環境中發生內部威脅,無論是惡意威脅還是疏忽威脅都需要辨識正在發生並迅速緩解。除了實體行為、實體活動、財務這些非資訊技術可見的指標,內部威脅在資訊技術上的具體指標包括:異常資料移動,包括資料下載、應用程式或資料夾之間的檔案移動,或異常的傳輸出資料。
- 使用非信任的軟體或硬體,包括下載新應用程式、使用不安全的軟體
- 在異常時間、從新的或不尋常的地理位置(location)存取檔案或應用程式
- 提升權限、檔案和應用程式存取權的要求,而該使用者的工作角色不匹配
- 使用者存取其核心工作職能以外的資料
- 使用者在終止或離開組織後存取或嘗試存取資料或應用程式
然這些指標對於希望偵測內部威脅的安全團隊有幫助,但僅一個指標本身並不能成為嚴重安全威脅的有力指標。這些基於行為的指標應與其他活動監視記錄相結合,或進行進一步關聯分析調查,以更好地了解正在發生的情況並隨後對威脅採取行動。
如果沒有即時監控和完整的行為背景,組織就很難偵測第三方濫用行為,直到為時已晚。傳統的控制是被動的,只有在發生外洩或破壞後才能識別問題。挑戰是在不減慢業務活動的情況下保護系統和資料。
管理第三方存取的挑戰
儘管組織有意識到管理的必要,但大多數組織仍然在執行方面遇到困難。核心挑戰包括:
- 過寬的存取權限:供應商通常會被授予過多的權限,有時甚至超出了工作必要的權限。
- 缺乏即時可視性:大多數組織無法監控第三方連線活動或追蹤上下文行為。
- 合成信任訊號:GenAI 生成的內容和開源模型可能看起來值得信賴,但也存在隱藏的風險。
- 影子 IT 和 AI: 員工可能會在未經批准的情況下濫用 AI 工具或 LLM,在沒有監督的情況下引入流氓模型和第三方程式碼。
- 延遲偵測:當識別異常行為時,通常已經造成損害。 這些差距使得檢測內部威脅變得困難,尤其是那些來自組織外部的威脅,差距會更大。
供應鏈內部威脅的挑戰在於外部人員被賦予了內部存取權限,這種「半內部」角色往往不在傳統監控的覆蓋範圍內,導致風險被低估。最小化授權與零信任架構能顯著降低被濫用的可能性,即使供應商帳號遭入侵,攻擊者也無法大幅橫向移動。為了降低來自內部與第三方的潛在威脅,組織除了需要即時監控與行為分析(如UAM,UBA),還必須強化第三方存取管理,避免過度授權與缺乏可視性所帶來的風險。不僅能降低意外疏失的影響,更能防止惡意行為者濫用存取權限。