內(nèi)部威脅有多種形式。在經(jīng)典方案中，享有特權(quán)的承包商會(huì)安裝間諜軟件，這些間諜軟件會(huì)在項(xiàng)目完成后很長(zhǎng)時(shí)間內(nèi)將敏感數(shù)據(jù)泄露給他們。在另一種情況下，一個(gè)心懷不滿、地位良好的IT管理員積極地對(duì)你的系統(tǒng)進(jìn)行破壞，然后辭職。即使是沒(méi)有特權(quán)網(wǎng)絡(luò)訪問(wèn)權(quán)限的人也可能構(gòu)成內(nèi)部威脅，無(wú)論是故意（收集商業(yè)機(jī)密以備將來(lái)使用）還是無(wú)意中（陷入魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件）。

無(wú)論內(nèi)部威脅可能來(lái)自何處，它們都會(huì)影響端點(diǎn)安全，因?yàn)樗鼈兤茐牧硕它c(diǎn)（計(jì)算機(jī)、平板電腦、智能手機(jī)、物聯(lián)網(wǎng)設(shè)備）與網(wǎng)絡(luò)其余部分之間的信任關(guān)系。通過(guò)檢查下面概述的不同類型的內(nèi)部威脅，您可以發(fā)現(xiàn)共同特征并強(qiáng)化您自己的網(wǎng)絡(luò)以抵御它們。

1.員工互聯(lián)網(wǎng)使用

傳統(tǒng)觀點(diǎn)認(rèn)為，在公司防火墻內(nèi)可以轉(zhuǎn)化為更高的安全性。當(dāng)然，在威脅進(jìn)入您的網(wǎng)絡(luò)之前，情況確實(shí)如此;然后，您的安全性就會(huì)受到損害。數(shù)字生活中的一個(gè)事實(shí)是，授予員工互聯(lián)網(wǎng)訪問(wèn)權(quán)限可能會(huì)將外部人員帶入您的網(wǎng)絡(luò)，在那里他們可以做任何他們想做的事情。與此同時(shí)，將隔離墻建得盡可能高以將所有人拒之門外的安全模式是沒(méi)有意義的。

2.配置錯(cuò)誤

在每個(gè)組織中，端點(diǎn)的數(shù)量都超過(guò)服務(wù)器和服務(wù)，比例為數(shù)百或數(shù)千比一。這就是為什么內(nèi)部威脅的更大危險(xiǎn)在于配置錯(cuò)誤的終結(jié)點(diǎn)，而不是配置錯(cuò)誤的Web 應(yīng)用程序和SharePoint 文件夾。

3.無(wú)意中的內(nèi)部威脅/用戶行為

在授予權(quán)限時(shí)，IT必須執(zhí)行微妙的平衡行為。你降低的門檻越多，就越容易穿透你的網(wǎng)絡(luò)防御。但是，如果您將其提高得太高并且沒(méi)有授予用戶足夠的訪問(wèn)權(quán)限，他們將找到共享文件和完成工作的替代途徑。這是一種由用戶行為驅(qū)動(dòng)的無(wú)意內(nèi)部威脅。

4.未修補(bǔ)的端點(diǎn)/軟件

整理好訪問(wèn)、連接和共享后，您可以確保所有端點(diǎn)都已打補(bǔ)丁且安全。其中很大一部分是知道它們上運(yùn)行了什么。當(dāng)零日威脅來(lái)襲時(shí)，您需要知道的第一件事是它是否會(huì)影響您。例如，當(dāng)在Apache Log4j日志記錄庫(kù)中發(fā)現(xiàn)該漏洞時(shí)，您能多快確定您的網(wǎng)絡(luò)是否受到內(nèi)部影響以及在哪里受到影響？您的任何服務(wù)器都運(yùn)行Log4j 嗎？當(dāng)您的大部分用戶遠(yuǎn)程或在家工作時(shí)，回答這些問(wèn)題變得更加困難。

5.過(guò)時(shí)的軟件

與未修補(bǔ)的軟件相同，也有過(guò)時(shí)的軟件。如果您的組織（和您的安全性）依賴于不再更新的軟件，那么您就會(huì)自找麻煩。

當(dāng)然，操作系統(tǒng)是最臭名昭著的目標(biāo)，因?yàn)閿?shù)量不多，因此它們是吸引不良行為者的目標(biāo)。例如，如果您仍在網(wǎng)絡(luò)上的某個(gè)地方運(yùn)行WindowsServer 2008，那么您很容易受到攻擊。你唯一的希望是加強(qiáng)你的防火墻，但無(wú)論如何你都應(yīng)該這樣做。

6.不受監(jiān)控的軟件安裝

在現(xiàn)代安全立場(chǎng)中，有兩種類型的行為監(jiān)控。首先，您的身份和單點(diǎn)登錄（SSO）提供程序監(jiān)視登錄模式;其次，端點(diǎn)檢測(cè)和響應(yīng)（EDR）系統(tǒng)監(jiān)視安裝惡意軟件或未經(jīng)授權(quán)的軟件的嘗試

7.禁用服務(wù)器上的防火墻

要保護(hù)本地占用空間，您可以做的最重要的一件事就是在服務(wù)器上激活防火墻（甚至是Windows 防火墻），并僅打開(kāi)所需的端口。許多IT 人員忽略了此步驟，并在禁用防火墻的情況下運(yùn)行服務(wù)器。

8.過(guò)時(shí)的密碼思維和政策

不幸的是，使用廣泛使用的黑客工具的人知道這一點(diǎn)。因此，當(dāng)他們想要暴力猜測(cè)哈希時(shí)，他們會(huì)加載字典攻擊，但他們甚至不需要遍歷完整的字典。他們修改工具以自動(dòng)大寫、小寫和附加數(shù)字。反常的是，當(dāng)您實(shí)施輪換策略時(shí)，您實(shí)際上使不良行為者更容易破解用戶的密碼并發(fā)起內(nèi)部威脅。

事實(shí)上，即使是微軟也說(shuō)過(guò)，沒(méi)有理由更改一個(gè)完美的密碼。改變它的摩擦使網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)比保留一個(gè)強(qiáng)大的網(wǎng)絡(luò)要大。這就是為什么關(guān)于密碼的不同想法正在發(fā)展并在企業(yè)中扎根的原因。

9.密碼噴射攻擊

雖然過(guò)時(shí)的密碼思維和策略是內(nèi)部威脅，但它們與密碼噴射攻擊的重大外部威脅有關(guān)。威脅參與者提交完整的密碼列表，試圖讓系統(tǒng)至少接受一個(gè)密碼。像Hydra這樣的工具可以通過(guò)發(fā)送大量密碼來(lái)自動(dòng)化猜測(cè)密碼的過(guò)程。

大多數(shù)系統(tǒng)沒(méi)有設(shè)置為監(jiān)視這種行為，并且永遠(yuǎn)不會(huì)標(biāo)記它。這就是千層面方法有價(jià)值的時(shí)候，因?yàn)槠渲幸粋€(gè)回退層是您的身份驗(yàn)證引擎。如果它可以檢測(cè)到失敗的登錄嘗試一直來(lái)自同一來(lái)源，那么它可以阻止IP 地址。

審核編輯 ：李倩