内部威胁检测：您需要了解的一切

---

内部威胁检测成为一个热门话题有一个很好的理由：事件变得越来越普遍，成本也越来越高。事实上，2022 年 Ponemon 内部威胁成本全球报告显示，67% 的公司每年都会经历 20 多起内部威胁事件，此类事件给组织带来的平均年成本为 1540 万美元！

因此，难怪越来越多的组织认识到能够及时发现并减轻网络内部的威胁对于安全性、合规性和业务连续性至关重要。但到底什么是内部威胁，如何构建有效的内部威胁检测策略？此外，内部威胁检测如何适应您组织更大的网络安全和网络弹性战略？让我带您了解这个关键话题。

内部威胁有哪些类型？

要实施内部威胁检测，您需要知道您在寻找什么。 内部人员是指在您的网络中拥有有效凭证的任何人，例如企业员工、IT 专业人员或承包商。而内部威胁可以分为三类：

• 恶意内部人士
• 疏忽的内部人士
• 拥有被盗凭证的对手

恶意内部人士

当人们想到内部威胁检测时，他们通常会想到恶意内部人员——故意滥用其访问权限的用户。一种常见的情况是员工在离开时窃取专有数据。例如，您可能读过有关苹果和谷歌子公司 Waymo 的工程师窃取有关自动驾驶汽车的知识产权并将其交给竞争对手的报道。类似的恶意内部数据盗窃事件还有很多，包括雅虎、迈克菲和 Proofpoint。

但从数据盗窃中获利并不是恶意内部人员的唯一目标。心怀不满的内部人士——尤其是那些拥有特权的内部人士——可能会积极破坏他们的雇主。一个著名的例子是 UBS PaineWebber 的一名管理员，他对自己的奖金并不满意：他试图通过放置一枚逻辑炸弹来破坏公司的股价，该炸弹会释放恶意软件，导致 400 个办事处分支机构的 2,000 台服务器瘫痪。

此外，当今的网络犯罪分子正在积极引诱员工成为恶意内部人员。勒索软件团伙尤其会贿赂员工，帮助他们在公司网络中释放勒索软件，以换取一定比例的赎金（或者，在针对特斯拉的一次阴谋中，收取 100 万美元的固定费用！）。需要支付账单且对公司没有特别忠诚度的员工很容易接受出售其凭证的要约，从而成为内部访问经纪人。

疏忽的内部人士

任何有效的内部威胁检测策略还需要考虑疏忽的内部人员 - 由于粗心而滥用合法访问权限的用户。示例包括：

• 未能保护敏感数据——在笔记本电脑上以未加密的格式存储关键数据是造成数据泄露的原因之一，例如 Lifespan Health System 的情况。
• 网络钓鱼——2022 年，84% 的组织成为至少一次成功的基于电子邮件的网络钓鱼攻击的受害者。
• 电子邮件错误 - 根据英国信息专员办公室的说法，意外地将敏感信息通过电子邮件发送给错误的收件人是导致数据泄露的首要网络原因。另一个常见错误是将批量电子邮件的收件人姓名放在“收件人”字段而不是“密件抄送”字段中，从而暴露收件人的身份。
• 未能遵循安全策略 - 专注于完成工作的用户通常会绕过他们认为繁重或不必要的安全控制。例如，如果没有现成的安全选项，他们将通过不安全的方法与同事共享数据。

当普通业务用户疏忽行事时，情况就已经很糟糕了，而当管理员或其他具有更高访问权限的用户这样做时，情况可能会更糟。例如，Microsoft 管理员无意中暴露了登录凭据，这些凭据可能使攻击者能够访问公司的 Azure 服务器和其他内部系统。有趣的是，是一家网络安全研究公司发现了这些暴露的凭据，而不是微软本身的内部威胁检测。管理员犯的另一个常见错误是在应该使用常规用户帐户时使用特权帐户，这可能会将其强大的凭据留在工作站的内存中，供攻击者窃取和滥用。

拥有被盗凭证的对手

您的内部威胁检测策略需要解决的第三种类型的用户可能看起来违反直觉：来自组织外部的对手。但事实是，凭据盗窃会立即将恶意外部人员转变为恶意内部人员 - 如果您没有其他控制措施，则拥有被盗凭据的对手将能够访问该帐户合法所有者的所有关键数据和信息可以访问。

黑客利用各种攻击媒介进入您的网络。例如，他们仍然使用老式的密码喷射、撞库和其他暴力攻击来接管用户帐户。但如今，我们看到越来越多的社会工程攻击，例如网络钓鱼及其变体，例如鱼叉式网络钓鱼、网络钓鱼和短信诈骗。攻击可以是多层的；例如，对手使用一次社会工程攻击来破坏 Twitter 员工访问内部系统的凭据，然后通过高调帐户发推文并承诺发送到他们控制的地址的所有比特币将翻倍，从而发起另一场社会工程活动并送回。

谁有危险？

虽然头条新闻往往关注大公司的事件，但重要的是要了解内部威胁对所有组织（无论规模大小）来说都是严重风险。事实上，针对中小型企业 (SMB) 的攻击正在增加，部分原因是攻击者希望它们采取不太强大的内部威胁检测和保护措施。

中小型企业发生的事件可能会对受害组织造成毁灭性打击，因为受害组织可能缺乏抵御攻击所需的财力。但由于当今复杂的供应链，针对中小企业的攻击也可能产生非常广泛的影响。例如，一家医疗包装公司的前副总裁选择删除重要的运输数据，从而在 COVID-19 大流行期间推迟向医疗机构运送个人防护装备 (PPE)。在其他事件中，攻击者会潜入中小企业的网络，然后破坏其更大的客户和合作伙伴。

哪种类型的内部威胁最危险？

在规划内部威胁检测策略时，您可能需要考虑不同类型内部威胁的相对频率和成本。根据 Ponemon 的研究，内部人员的疏忽是大多数事件的根本原因，但凭证盗窃事件的补救成本最高。下表提供了报告中的相关统计数据。有趣的是，恶意内部人员（最常与“内部威胁”一词相关的群体）实际上在事件频率或成本方面并未名列前茅。

Type of insider threat How often the root cause of incidents Average cost per incident Negligent insiders 56% $484,931 Malicious insiders 26% $648,062 Credential theft 18% $804,997

您可能还想考虑趋势。过去两年，凭证盗窃事件的数量几乎翻了一番，而其他内部威胁导致的事件数量几乎保持稳定，仅略有增加（恶意内部人员）或略有减少（疏忽的内部人员）。

但好消息是，当涉及到内部威胁检测策略时，您实际上不必选择将一种类型的内部威胁优先于其他类型；正如我们稍后将看到的，许多内部威胁检测和预防最佳实践适用于所有这三种类型。

什么是内部威胁检测以及为什么它很重要？

内部威胁检测是识别内部威胁的实践，无论这些威胁是恶意的内部人员、疏忽的内部人员还是使用被盗凭证的对手。

由于数据泄露的成本高昂，内部威胁检测至关重要：Ponemon 报告称，2022 年数据泄露的平均成本为 435 万美元，比 2020 年增加了近 13%。总成本包括四个类别的因素：业务损失、检测和升级、通知以及违规后响应。以下是违规可能导致的一些费用：

• 系统停机造成的收入损失
• 失去客户和获取新客户的成本
• 声誉损失和商誉减少
• 评估监管响应要求
• 通知数据主体、监管机构和其他第三方的费用
• 帮助台和入站通信
• 为受影响的客户提供的服务，例如身份保护服务或产品折扣
• 法律开支
• 监管罚款

内部威胁的指标

组织不仅仅需要任何内部威胁检测；他们需要及时且可靠的内部威胁检测。简而言之，检测和遏制事件所需的时间越长，成本可能就越高。以下是一些需要寻找的关键指标。

对任何人来说都不寻常的行为

首先，有效的内部威胁检测策略需要监控任何可疑活动。是什么让活动变得可疑？嗯，有些活动是完全可疑的，例如：

• 帐户锁定
• 多次登录尝试失败，即使随后登录成功
• 尝试在网络外传输大量数据
• 连接未知 USB 设备
• 尝试访问禁止的 URL
• 正常工作时间之外的登录事件
• 从组织没有业务存在的已知可疑区域或地点进行访问

特别是，有明显的迹象表明使用常见的黑客工具从一台机器横向移动到另一台机器或升级帐户的权限。例如，您的内部威胁检测策略需要注意：

• 尝试获取 NTDS.dit 文件的副本，该文件存储密码哈希值
• LDAP 查询过多
• 使用具有较长生命周期的 Kerberos 票证，这可能是金票攻击的迹象
• 尝试修改敏感 IT 资源，例如注册表、安全组、组策略或软件配置
• 直接将管理权限分配给用户帐户
• 创建新帐户
• 尝试更改强大或敏感帐户的密码

对于特定个人或群体来说不寻常的行为

为了避免警报疲劳，内部威胁检测程序必须能够在特定个人或其团体的正常情况下进一步评估操作，这一点非常重要。例如，如果您的销售团队经常出差，预计会看到他们从指定区域的各个位置登录，并且只有来自该区域之外的登录才应被视为可疑。但对于通常仅从一个特定站点登录的个人或团队来说，来自另一位置的任何访问尝试都可能表明他们的帐户已被盗用，因此值得发出警报。

同样，个人和团队在使用数据和应用程序方面往往有固定的模式。如果用户突然下载比平时多得多的文件或访问其团队很少使用的内容，您有充分的理由怀疑他们可能会泄露数据以获取竞争对手或出售给最高出价者。请求访问其他敏感资源可能是内部威胁的另一个指标。

内部威胁检测最常见的方法

内部威胁检测的核心是审计 IT 生态系统中的活动：收集、整合、规范化和分析大量事件数据。许多组织投资安全信息和事件管理 (SIEM) 解决方案来提供帮助，但这些工具的部署和维护成本可能很高，而且它们经常会生成大量误报警报，导致安全团队不堪重负。

为了进行更有针对性的内部威胁检测，您需要一种软件解决方案，该解决方案采用用户行为分析 (UBA) 来建立正常用户行为的基线，并更准确地标记真正的威胁。此外，您需要一个涵盖整个混合环境并自动执行所涉及的许多核心任务的 Active Directory 审核解决方案。

当然，内部威胁检测计划的另一个关键部分是准备快速调查威胁并做出适当的响应。您需要能够快速确定漏洞源自何处、如何展开以及到底涉及哪些系统和数据。这样，您就可以快速采取措施阻止进一步的损害，纠正不当的更改和其他活动，并让个人对其行为负责。

但并非所有内部威胁检测都涉及技术控制。您还应该留意员工培训不足、注意力不集中或心怀不满的迹象。例如，如果员工表现出以下证据，则将其视为潜在的安全威胁：

• 过度劳累或倦怠，可能会导致错误
• 对工资或工作条件不满意
• 吸毒或酗酒
• 财政困难

预防内部威胁并从中恢复

能够及时检测 IT 环境内部的威胁至关重要，但最好首先预防它们。能够快速从内部威胁中恢复也至关重要，无论是快速恢复对用户权限的单个更改还是恢复整个 Active Directory 林。让我们简要了解一下这两个补充内部威胁检测的关键领域。

内部威胁预防

为了降低内部威胁的风险，遵循保护 IT 环境的最佳实践非常重要。尤其要确保：

• 严格执行最小权限原则 - 最小权限是最基本的网络安全最佳实践之一。简而言之，如果内部人员无法访问这些 IT 资产，则无论是疏忽还是恶意，他们都无法窃取数据或损坏系统。仅向每个帐户配置用户角色所需的权限，并定期检查所有权限分配。此外，请警惕删除不再需要的帐户，因为威胁行为者经常试图接管此类帐户以避免被发现。
• 实施攻击路径管理和缓解 — 不仅要考虑每个帐户当前拥有的访问权限，还要考虑它可以轻松获取的访问权限，这一点至关重要。不幸的是，在大多数 IT 环境中，恶意内部人员或窃取凭据的对手很可能利用嵌套组成员身份等因素，只需几个步骤即可将其权限从普通用户提升为域管理员。幸运的是，您可以规划攻击路径并确定需要缓解的瓶颈，以降低内部威胁的风险。
• 特别注意特权帐户 - 域管理员、企业管理员和帐户操作员等组在您的 IT 环境中为其成员提供了大量特权，因此最大限度地减少这些强大组中的成员身份至关重要。此外，实施技术和程序控制以限制管理凭据的使用地点和方式也很重要。管理员永远不应该使用他们的特权帐户登录工作站，甚至是他们的个人计算机，因为这样做会将他们的密码散列留在内存中，供攻击者窃取；特权帐户只能登录到安全特权帐户工作站 (PAW)。
• 不要忘记服务帐户 - 用于运行 IT 服务的帐户通常拥有比实际需要更多的权限，因此请务必遵循服务帐户最佳实践。特别是，定期评估他们的权限并删除不再需要的任何服务帐户。只要有可能，请使用托管服务帐户 (MSA)，无论是独立 MSA (sMSA) 还是组 MSA (gMSA)； MSA 提供自动密码轮换，并限制交互使用，从而限制了其对破坏它们的对手的价值。并且不允许管理员将其个人帐户用作服务帐户。
• 保护组策略 - 管理员使用组策略来管理整个域中的用户和计算机。通过修改单个 GPO 设置，恶意或疏忽的管理员可以使对手轻松窃取有价值的数据、部署恶意软件，甚至随后销毁其活动证据。有效的组策略管理包括清理 GPO，使它们清晰且组织良好，了解它们的链接位置，并定期以及在 IT 生态系统发生重大变化时仔细审查它们。此外，它还需要构建基于批准的组策略工作流程，以帮助确保所有更改均经过授权且准确，并使用可以防止任何人更改最关键 GPO 的解决方案。
• 开始（或继续）您的零信任之旅 - 零信任安全策略首先要接受网络中已经存在内部威胁的事实。毕竟，请记住，即使是善意的业务用户和管理员也可能因疏忽而成为内部威胁！通过实施零信任最佳实践，例如统一身份管理、基于上下文的多重身份验证 (MFA)、Azure AD 条件访问策略、职责分离 (SoD) 和网络分段，您可以显着降低疏忽和恶意内部威胁带来的风险。
• 保护您的端点 - 凭证盗窃通常始于端点。查看此博客，了解如何减轻影响端点安全的内部威胁。
• 提供定期、相关的网络安全培训 - 确保组织中的每个人都参加定期的网络安全培训。理想情况下，培训应与个人的角色相关；例如，向客户和合作伙伴泄露信息的例子不会引起那些角色不涉及与这些人互动的员工的特别共鸣。请务必教会每个人如何发现和报告可疑活动，并通过定期测试（例如模拟网络钓鱼电子邮件活动）来衡量培训的成功程度。

备份与恢复

做好准备也很重要，以防您的内部威胁检测和预防措施无法阻止或遏制所有威胁。事实上，备份和恢复不仅是防御内部威胁的关键支柱，也是网络弹性的关键支柱：尽可能保持 IT 环境正常运行，并在发生中断时快速恢复运行。对于真正的企业备份和恢复策略，您需要快速精细地恢复单个对象和属性，以及在发生灾难时快速恢复整个林。

内部威胁检测是每个人的工作！

虽然您在阅读本文时可能认为内部威胁检测和预防是 IT 网络安全团队的专属责任，但我希望您现在知道并非如此。特别是，很明显，企业用户在减少与疏忽相关的事件方面发挥着至关重要的作用。他们需要密切关注网络安全培训，不要屈服于绕过安全控制的诱惑。如果安全控制看起来不必要或过于复杂，请询问。请记住，网络安全专业人员的任务是平衡安全性和生产力，他们通常愿意接受反馈——如果他们能够提供一种安全的方法来满足用户的需求，他们就会非常积极地这样做，因为这将减少用户变通办法造成违规的可能性。

领导团队也至关重要。事实上，建立以网络安全为中心的文化需要最高管理层的热情支持，不仅是资金方面的支持，而且是为了确保每个人都认真对待问题。它们还可以改变 IT 成功的衡量方式。太多组织都专注于“五个 9”，即 99.999% 的正常运行时间。领导者必须建立一种文化，接受一些停机时间以换取正确完成安全工作。例如，及时修补零日威胁至关重要，尽管有时会带来不便，而对威胁的自动响应会带来一些中断业务流程的风险，但仍然值得这样做。 IT 团队有责任清楚地传达风险和收益，并提供指标，使领导者能够了解他们资助和支持的工作是否成功。

通过合作，组织可以显着降低所有三种内部威胁的风险。