什么是内部威胁？内部威胁被定义为来自您自己公司内部的网络安全威胁。它可能是雇员或供应商——甚至是前雇员。任何对您的网络具有有效访问权限的人都可能是内部威胁。处理内部威胁并不容易，因为您信任您的数据和系统的人是他们的责任人。

内部威胁分为三种类型：受感染用户、粗心用户和恶意用户。

受损的员工或供应商是您将面临的最重要的内部威胁类型。这是因为你们都不知道他们受到了损害。如果员工通过单击电子邮件中的网络钓鱼链接授予攻击者访问权限，则可能会发生这种情况。这些是最常见的内部威胁类型。

粗心的员工或供应商可能成为攻击者的目标。让计算机或终端解锁几分钟就足以让一个人获得访问权限。向普通用户（或更糟的是，使用软件系统帐户）授予DBA权限来执行IT工作也是粗心的内部威胁的例子。

恶意攻击者可以采取任何形式或形式。他们通常拥有对系统的合法用户访问权限，并故意提取数据或知识产权。由于他们参与了攻击，他们也可以掩盖他们的踪迹。这使得检测更加困难。

今天使用的大多数安全工具都试图阻止合法用户受到损害。这包括防火墙、端点扫描和反网络钓鱼工具等。它们也是最常见的违规类型，因此付出如此多的努力来阻止它们是有道理的。其他两种类型的配置文件并不那么容易处理。由于粗心的行为，几乎不可能知道什么系统事件有效或无效。网络和安全管理员可能不知道应用程序行为背后的背景，因此在为时已晚之前不会注意到任何可疑的东西。同样，对于恶意攻击者，他们将了解贵公司安全系统的来龙去脉。给他们一个很好的机会在不被发现的情况下逃脱。

检测内部威胁的最重要问题是：

威胁的性质使得它如此难以预防。由于演员使用其真实的登录配置文件，因此不会立即触发警告。不经常访问大文件或数据库可能是他们日常工作要求的有效部分。

为了让安全团队知道正在发生可怕的事情，他们需要知道糟糕的事情是什么样的。这并不容易。通常，业务部门是其软件方面的专家。如果没有正确的上下文，几乎不可能从安全运营中心检测到真正的内部威胁。

在每个用户登录系统后跟踪他们的活动是很多工作。在某些情况下，需要检查原始日志，并研究每个事件。即使使用机器学习(ML)工具，这仍然需要大量工作。它还可能导致报告许多误报，给问题增加噪音。

检测攻击仍然是可能的。有些迹象很容易发现并采取行动。

使用查找这些项目的系统和工具可以帮助发出攻击警报。虽然定期端点扫描（每天）将确保工作站远离病毒和恶意软件。

识别违规行为始于安全团队了解正常行为。正常行为应该映射到最低的访问和活动。日志中应包括用户ID、工作站IP地址、访问服务器的IP、员工部门和使用的软件。此外，了解访问了哪些数据库、读取了哪些模式和表以及执行了哪些其他SQL操作，将有助于安全团队识别违规行为。

机器学习带来巨大投资回报的一个领域是网络威胁检测。虽然它不是魔术，但它可以突出显示您的资源指向何处。通过将系统的状态和行为信息提供给机器学习算法，可以快速识别奇怪和可疑的行为。用户和连接类型、角色访问和应用程序权限、工作时间和访问模式等信息可以迅速传递给ML应用程序。

可以通过将以下内容映射到警报过程中来了解超出上述正常系统状态的内容：

通过关联上述类型的信息，您可以为每个用户活动创建威胁评分。将其与用户的凭据相结合，您可以在发现漏洞后立即提醒安全团队。使用这种类型的分析对行业来说是新事物。早期的实施已经成功地帮助公司在竞争对手中获得优势。

供应商开始提供定制的安全风险管理解决方案，包括：

33%的组织曾面临过内部威胁事件。

三分之二的内幕事件是由承包商或员工的疏忽造成的。

69%的组织在过去12个月内曾尝试或成功地遭受过数据威胁或损坏。

遏制内部威胁平均需要72天。

使用历史数据可以帮助您快速为每个用户建立风险概况。将他们的日常交互与您管理的数据映射起来，您可以了解高风险概况在哪里。这将使您能够主动参与您最关心的领域。尽管网络中的任何一点都存在风险，但提升的访问权限最有可能被滥用。使用活动目录策略对这些用户配置文件实施关键指标监控将减少您面临的风险。

审计离职员工，确保他们的证书被撤销并且他们不会带着公司数据离开也很重要。将近70%的即将离职的员工承认，他们会随身携带一些数据。如果凭据也完好无损，您也可以为他们敞开大门。特权访问管理是管理用户的好方法。尽管意外的内部威胁仍然是最大的担忧，但可能导致最严重灾难的是恶意威胁。