內(nèi)部威脅有多種形式。在經(jīng)典方案中，享有特權(quán)的承包商會安裝間諜軟件，這些間諜軟件會在項(xiàng)目完成后很長時間內(nèi)將敏感數(shù)據(jù)泄露給他們。在另一種情況下，一個心懷不滿、地位良好的IT管理員積極地對你的系統(tǒng)進(jìn)行破壞，然后辭職。即使是沒有特權(quán)網(wǎng)絡(luò)訪問權(quán)限的人也可能構(gòu)成內(nèi)部威脅，無論是故意（收集商業(yè)機(jī)密以備將來使用）還是無意中（陷入魚叉式網(wǎng)絡(luò)釣魚電子郵件）。

無論內(nèi)部威脅可能來自何處，它們都會影響端點(diǎn)安全，因?yàn)樗鼈兤茐牧硕它c(diǎn)（計(jì)算機(jī)、平板電腦、智能手機(jī)、物聯(lián)網(wǎng)設(shè)備）與網(wǎng)絡(luò)其余部分之間的信任關(guān)系。通過檢查下面概述的不同類型的內(nèi)部威脅，您可以發(fā)現(xiàn)共同特征并強(qiáng)化您自己的網(wǎng)絡(luò)以抵御它們。

1.員工互聯(lián)網(wǎng)使用

傳統(tǒng)觀點(diǎn)認(rèn)為，在公司防火墻內(nèi)可以轉(zhuǎn)化為更高的安全性。當(dāng)然，在威脅進(jìn)入您的網(wǎng)絡(luò)之前，情況確實(shí)如此;然后，您的安全性就會受到損害。數(shù)字生活中的一個事實(shí)是，授予員工互聯(lián)網(wǎng)訪問權(quán)限可能會將外部人員帶入您的網(wǎng)絡(luò)，在那里他們可以做任何他們想做的事情。與此同時，將隔離墻建得盡可能高以將所有人拒之門外的安全模式是沒有意義的。

2.配置錯誤

在每個組織中，端點(diǎn)的數(shù)量都超過服務(wù)器和服務(wù)，比例為數(shù)百或數(shù)千比一。這就是為什么內(nèi)部威脅的更大危險在于配置錯誤的終結(jié)點(diǎn)，而不是配置錯誤的Web 應(yīng)用程序和SharePoint 文件夾。

3.無意中的內(nèi)部威脅/用戶行為

在授予權(quán)限時，IT必須執(zhí)行微妙的平衡行為。你降低的門檻越多，就越容易穿透你的網(wǎng)絡(luò)防御。但是，如果您將其提高得太高并且沒有授予用戶足夠的訪問權(quán)限，他們將找到共享文件和完成工作的替代途徑。這是一種由用戶行為驅(qū)動的無意內(nèi)部威脅。

4.未修補(bǔ)的端點(diǎn)/軟件

整理好訪問、連接和共享后，您可以確保所有端點(diǎn)都已打補(bǔ)丁且安全。其中很大一部分是知道它們上運(yùn)行了什么。當(dāng)零日威脅來襲時，您需要知道的第一件事是它是否會影響您。例如，當(dāng)在Apache Log4j日志記錄庫中發(fā)現(xiàn)該漏洞時，您能多快確定您的網(wǎng)絡(luò)是否受到內(nèi)部影響以及在哪里受到影響？您的任何服務(wù)器都運(yùn)行Log4j 嗎？當(dāng)您的大部分用戶遠(yuǎn)程或在家工作時，回答這些問題變得更加困難。

5.過時的軟件

與未修補(bǔ)的軟件相同，也有過時的軟件。如果您的組織（和您的安全性）依賴于不再更新的軟件，那么您就會自找麻煩。

當(dāng)然，操作系統(tǒng)是最臭名昭著的目標(biāo)，因?yàn)閿?shù)量不多，因此它們是吸引不良行為者的目標(biāo)。例如，如果您仍在網(wǎng)絡(luò)上的某個地方運(yùn)行WindowsServer 2008，那么您很容易受到攻擊。你唯一的希望是加強(qiáng)你的防火墻，但無論如何你都應(yīng)該這樣做。

6.不受監(jiān)控的軟件安裝

在現(xiàn)代安全立場中，有兩種類型的行為監(jiān)控。首先，您的身份和單點(diǎn)登錄（SSO）提供程序監(jiān)視登錄模式;其次，端點(diǎn)檢測和響應(yīng)（EDR）系統(tǒng)監(jiān)視安裝惡意軟件或未經(jīng)授權(quán)的軟件的嘗試

7.禁用服務(wù)器上的防火墻

要保護(hù)本地占用空間，您可以做的最重要的一件事就是在服務(wù)器上激活防火墻（甚至是Windows 防火墻），并僅打開所需的端口。許多IT 人員忽略了此步驟，并在禁用防火墻的情況下運(yùn)行服務(wù)器。

8.過時的密碼思維和政策

不幸的是，使用廣泛使用的黑客工具的人知道這一點(diǎn)。因此，當(dāng)他們想要暴力猜測哈希時，他們會加載字典攻擊，但他們甚至不需要遍歷完整的字典。他們修改工具以自動大寫、小寫和附加數(shù)字。反常的是，當(dāng)您實(shí)施輪換策略時，您實(shí)際上使不良行為者更容易破解用戶的密碼并發(fā)起內(nèi)部威脅。

事實(shí)上，即使是微軟也說過，沒有理由更改一個完美的密碼。改變它的摩擦使網(wǎng)絡(luò)面臨的風(fēng)險比保留一個強(qiáng)大的網(wǎng)絡(luò)要大。這就是為什么關(guān)于密碼的不同想法正在發(fā)展并在企業(yè)中扎根的原因。

9.密碼噴射攻擊

雖然過時的密碼思維和策略是內(nèi)部威脅，但它們與密碼噴射攻擊的重大外部威脅有關(guān)。威脅參與者提交完整的密碼列表，試圖讓系統(tǒng)至少接受一個密碼。像Hydra這樣的工具可以通過發(fā)送大量密碼來自動化猜測密碼的過程。

大多數(shù)系統(tǒng)沒有設(shè)置為監(jiān)視這種行為，并且永遠(yuǎn)不會標(biāo)記它。這就是千層面方法有價值的時候，因?yàn)槠渲幸粋€回退層是您的身份驗(yàn)證引擎。如果它可以檢測到失敗的登錄嘗試一直來自同一來源，那么它可以阻止IP 地址。

審核編輯 ：李倩