目录

1.介绍

2.内部攻击的类型

3.风险

4.防御

5.总结

6.拓展阅读

7.参考文献

8.关于NCCGroup

1.介绍

这篇论文打算为那些想要实现程序的防护功能的人，对内部威胁给出一个高层次的看法。我们考虑到了内部攻击的类型以及一些公共的弱点，这篇论文也包含一些政策和控制用于实现检测，阻止和防御内部威胁。我们打算做一个综述，但在最后的拓展阅读部分，我们也提供了更深层次的细节信息。

人们普遍认为大部分企业的威胁都是来自于外部，带着这种固有观点，黑客们通过犯罪来赚钱。此外，在进行网站的渗透测试时，在进行代码审查和内部体系安全测试时发现的问题，并不是引起关注的真正原因。那是因为有措施能够预防外部攻击者获取内部资源的访问权。

随之而来的一个问题是，这没有考虑到来自于内部的威胁。在工作人员通过背景检查及审核程序之后，人们总是趋向于信任他们，而只考虑外部攻击。正如Computer Economics[1]所描述的那样，低于40%的人认为来自内部的恶意攻击是主要威胁。IBM的研究显示，高达60%的商业攻击是来自于拥有合法访问权的位置。其中3/4是来自于带有恶意意图的个体，比如员工，承包商或是’evil mail’-style attack[3]中提及的服务人员。尽管非常少的一部分员工加入了带有恶意的组织，然而，工作环境或是外部环境都可能会改变员工的行为或观点。

这是一个大问题。内部人员更有可能了解系统和公司是怎么运行的，这使得他们有更多的时间且能够更有针对性的进行攻击活动，因为他们有合理的原因接触财产或是访问系统。此外，他们不需要想办法去绕过外部安全控制。

内部威胁中的主要问题是通过盗窃或访问严格的系统引起的保密性缺失，这同时也是系统完整性受到损害的例子。这也可以通过欺诈交易或数据伪造数据以及蓄意破坏系统的可访问性。

论文的其他作者也考虑到了可以被恶意内部人员执行的三种公共攻击类型，以及公共弱点和经常被攻击或存在弱点的区域。

2. 内部攻击的类型

对于内部攻击并没有一个明确的定义。内部攻击可能会因为各种原因以各种方式执行，并影响到IT及物理系统。这使得要对它进行分类相当困难。

这篇论文对内部攻击的定义是，拥有系统或财产的合法访问权的个体，利用他们的优势位置发起的攻击。请注意，这一定义并没有限制为纯物理访问，因为有团队资源的访问权的远程工作人员也被认为是内部人员，例如通过VPN。此外，内部人员也不仅仅是员工，所有拥有合法访问权的人都被视为内部人员。这其中包括但不局限于承包商，供应商和顾问等人员。

尽管分类是一个复杂的任务，攻击也能被大致地分为三类：破坏，盗窃和欺诈。这种攻击首次出现是在CERT的wide-ranging study on insider threat[4]中。对于这个研究的一个有趣的观点是，攻击者并不像很多人想像的那样拥有高超的技术。许多攻击并不需要大量知识或是特殊的技能。尽管对银行和财经部门内部威胁的一项早期研究[5]强调了这点，然而，这一主题仍是调查研究的主体。

请注意，尽管这篇论文中记录了攻击者的潜在动机，但CERT的研究表明，恶意内部人员并没有某种固定的模式。他们覆盖了技术等级和职位管理链[6]中的每个人。

2.1 破坏

破坏是对系统或物理财经的伤害，例如，当员工被解雇后，或是他们感受到自己被不公平地对待，这些不满的员工就会进行报复攻击。

破坏攻击不一定发生在员工仍然在公司上班期间，相反，员工可能在离职后仍保留访问权，或是设置定时器来触发某个事件。

破坏攻击的最著名的例子是’logic  bomb’[7]。在这个例子中，攻击者在网络中留下一个程序，它会由某个事件进行触发；这一事件可能会是一个给定的日期或系统的某一特定活动。一旦这一事件发生，这个程序就会执行，它通常会产生大量的攻击，比如删除或损坏数据库中的客户数据。’logic bomb’的一个例子是2013年发生在韩国的一次大范围的攻击事件，造成银行和广播公司的硬盘驱动大范围的损坏。

破坏攻击也包括物理损坏。其中一个例子是，某员工申请加薪被拒后，花了3年时间使用’Cillit Bang’（译者注：一种强力清洁剂）对系统进行破坏，造成了大范围的系统故障。

2.2 盗窃

当提到企业的风险时，第一个想到的通常都是盗窃，它是公司在对待个人身份信息(PII)上，特别关注的东西。盗窃的目标可以是知识产权，比如源代码，客户列表以及自主研究，也可以是有形物品，比如公司财产甚至是钱。华盛顿邮报的一篇文章里表明，高达60%的离职人员可能会盗窃公司数据[10]。

盗窃的动机并不总是明确的，但总是源于对赚钱的渴望。这可能是因为攻击者认为他们拥有某些东西，努力赚钱，甚至是想要转投到公司竞争者手下，并带一些有价值的东西给竞争者。

盗窃的其他例子可能是出于报复心理，与上面描述的破坏攻击相类似。

盗窃攻击最出名的例子是Edward Snoden。Snowden是美国政府的员工，他盗取了机密信息并把它泄露给了媒体[11]。在这个例子中，他的行为是出于思想原因，可以想像，这样的例子是出于不满或是对金钱的渴望。

盗窃通常都是出于个人因素，这对第三方来说并没有价值，比如帮助朋友或家庭成员，或是某些勒索案件。这对于诈骗和较小程度的破坏也是成立的，然而，大部分时候还是与盗窃有关。

2.3诈骗

诈骗通常与规避控制或是业务流程有关。在一次技术高超的攻击当中，攻击者为了从中获益（通常是赚取钱财），常常会改动源代码。

诈骗活动的例子包括管理员为了隐藏未授权的交易，从而签署自己的交易，利用软件的逻辑错误以绕过控制，或是臭名昭著的’salami attack’，在这一攻击中，舍入误差会被重定向到某个被控制的账户而不需要经过检测[12]。

诈骗的动机与盗窃相似，也是为了获得个人收入。可能导致诈骗的一个额外的动机是掩盖错误或失败。其中一个例子是，某投资商操纵交易，使他似乎变成了一个明星销售员，然而事实上他损失了公司大量的钱[13]。

3. 风险

正如前面所提及的，并没有一个明显的模式来表明某次内部活动或是某种人可能会犯罪。这一部分会尝试划出一些危险区域，然而，这并不能作为内部攻击的明确定义。

这一部分由三块组成：员工，技术和业务。然而，这三块之间可能会有重叠。

内部攻击是复杂的，并没有某个指标能够用于检测内部攻击。相反，为了预防内部攻击，我们必须采取综合性的措施来对所有地方进行评估。

3.1 员工

员工问题范围巨大而且复杂，在没有确切证据的前提下，我们应该尽量避免指控或是过度监视员工，因为这涉及到人权并可能导致法律纠纷。要想培养出一个良好的安全文化，一个关键是高管们对员工的态度以及他们解决问题时的语气。例如，不要直接称某人为嫌犯，而是使用更柔和的证据，比如说’behaviour of concern’。

CPNI[14]发布的一篇报告指出，有很多地方都是值得我们关注的，包括人格特征，生活习惯和工作场所行为。请注意，如果这些地方在生活中频繁发生或是过于严重，但也可能只是因为兴趣，来自于CERT的一项研究表明犯罪在发生之前，通常都会带有大量轻微的预兆。这包括和同事的关系变坏，来自管理层的轻微遣责或是不参与公司活动[17]。

个人经济问题出现在大量的内部攻击案例中，尤其是诈骗和盗窃。尤其要关注的是，某人试图掩饰他们的生活窘迫，而强行维持奢侈的生活，或者是他们有酗酒，吸毒或赌博的行为。

其他个人环境，比如家庭问题和健康问题，也有可能导致个人经济问题，并导致他们采取某些极端的方法来获取钱财。

另一个影响因素是对工作的满意度不够和待遇不公。这可能是源于没有升职，工资过低，工作体验不好甚至是没有权力感。在这个例子中， 罪犯可能认为公司欠了他们什么，他们没有做错，只是拿回他们应得的东西。一个例子是一个员工因为得不到升职，在新的财政主管上任前，将大量机器中的文件都删除了[15]。

不满引发的最极端的例子是在员工被解雇的时候，因为这使得员工生活陷入困境，而他们已经没有什么好失去的了。员工在离职前通常都会有一个月的通知期，在这段时间内，如果他们仍然拥有对系统的访问权，这就使得他们可以利用这段时间进行犯罪。

糟糕的管理也是内部攻击的另一个诱因。这通常都发生在远程工作人员上，这些人有足够的理由不与公司的人联系而常常被忽略。孤独感与参与感的缺乏使得他们不被人关注，犯罪也没能被发现[16]。

最后一个需要考虑的地方是，某些人犯罪仅仅是因为他们有能力犯罪。这可能仅仅是为了挑战或是他们发现了某系统的漏洞。这通常被认为是传统的外部黑客攻击，然而，它仍然应该被作为内部威胁看待，因为内部人员更容易接触系统，也更容易发现潜在的漏洞。

我们还应该关注的是，随着时间的推移，忠诚度，满意度和个人环境的变化。某人现在没有目的和动机去犯罪不代表他将来也不会。CPNI的一项研究发现“超过75%的内部攻击行为是由那些在加入公司时没有恶意，但加入后就变了的员工造成的。”[18]

3.2 技术

尽管技术问题并不会直接导致内部攻击，但会使得那些技术不熟练的人进行内部攻击变得更加容易。如果技术系统是安全的，就会使得攻击更困难。

最流行的安全问题之一是密码的管理，主要包括密码复杂度和密码的共享。如果密码能被轻易地猜出来，或是由多个用户共享，就会使得系统失去保密性，完整性和身份认证功能。这意味着攻击者不仅仅能够访问并改变信息，也能够把责任推脱到其他人身上。尤其需要关注的是管理员密码或是用于提权的密码。

根据密码共享，我们应该实现一个鲁棒性好，基于角色的访问控制系统，以确保用户只能访问他们需要的资源，而拒绝其他资源的访问请求。

系统中未修补的漏洞是另一个需要考虑的地方。如果没有打补丁或是有其他我们不知道或者忽视了的漏洞存在，技术好的攻击者就能利用这些漏洞来获取系统的访问权。

有时候，尽管你不能够预防一次攻击，但是可以快速地检测和缓解一个漏洞。然而，为了进行有效地记录和监控，系统应该提前做好准备。监控也可能失误或是停留在默认设置上，这会使得正误差或负误差很高。

如果不检查日志和警告的话，监控也是没用的。如果系统中存在监控的话，负责这一监控的人也有其他的事要做，剩下给检查监控的时间不多。

此外，如果某人负责开发，一个很大的风险是他们可能会把唯一的一份源码保存在自己的机器里。这是非常危险的，尤其是在团队里。如果这份代码遗失了，甚至可能造成整个项目失败。

3.3 业务

和技术风险一样，业务问题并不直接导致攻击的发生。然后，如果进行合适的管理的话，就能使得攻击更难发生，为了解决这一问题，我们需要确保流程正确。

缺少监督也是一个潜在的需要关注的地方，它有两种形式。在第一种中，个体没有受到足够的监督，这使得他们可以自由地进行恶意攻击。第二种中，带有恶意的内部人员身居高位，也就意味着他们可以要求下属代替他们进行操作。

在一些例子中，尤其是个人处于某个角色很长一段时间，他们就会成为一个single point of failure（SPOF）。他们独自享有某一系统的权限，或是独自管理着整个代码库。如果他们做出破坏系统的行为，或是修改所有的密码，就可能会造成巨大的损失。如果不能确保代码库等关键的商业数据有备份，就会给系统造成巨大的风险。如果数据有备份，即使现有的副本被删除或损坏了，也能够进行恢复。

许多公司没有一个安全的终止策略或是取消用户供应政策。当合同终止时，仍然保留访问权会造成数据有被盗窃或破坏的风险。因此，前雇员的权限没有被撤消，也就意味着他们在终止合同之后仍然能够访问系统[19]。Identity and access management solutions(IAM)对于防御内部攻击非常重要，但是，正如一篇关于福布斯的文章中说的那样，IAM虽然非常有用，但没有多少组织使用它。

特权蠕变是一个术语，它是指用户在本应被移除权限而仍然保留权限，从而借此逐渐获取更多的权限。用户拥有的权限越多，他们就有更多的机会进行攻击。CERT的研究中给出了一个例子[19]，某员工在转换角色后仍然保留对工资数据的访问权。这个员工把这些保密数据提供给了他们新开的公司，这一行为使得雇主花了100万美元。

高级技术支持也是一个需要重点关注的内部威胁，但它经常被忽略。在公司中，通常都对董事会级别的安全控制缺少必要的限制[21]。研究表明恶意内部人员通常都会表明出一些明显的特征，但如果没有一个安全的机制将特征报告给管理层，仍然没有人会知道。在这些场景中进行指控时必须小心，任何告密的策略都必须谨慎考虑[22]。

CERT对内部威胁的研究表明这些犯罪行为没有意识到或没考虑到的他们这种行为的后果。另一些例子中，他们没有意识到有监控机制或其他控制机制来监控他们的行为。

4. 防御

在这一部分，我们会介绍一些潜在的防御措施，然而，方法并不详尽，且只给出了一些基本问题的解决方法。

当考虑安全措施时，并没有单一的控制措施能够预防这些威胁。一个好的方法是采取多层防御策略，使用多种方法实现。这可以确保如果某种方法失效了，攻击者也不能获取所有的权限。

然而，我们也有可能过度看重安全策略，因此我们要保证要采取合适的方法，不要产生一种不信任他人的氛围，因为这会使得人们不能高效的工作。这就起到了反作用。

4.1 员工

员工限制最有效的方法之一是人员审核。审核等级依赖于要保护的数据的安全等级。这里重点要关注的是现在的或潜在的员工，确保他们处在正确的安全等级上。审核不应该是一次性的活动。

环境会发生变化，所以审核应该贯穿整个雇佣期间。一个例子是政府员工，他们每过五年就要进行一次完全审核，如果是更低级的官员，则每十年一次。这为怎么审核那些加密材料提供了一个范例，然而，每个组织都需要把合适的等级审核作为风险评估的一部分。

正如前面提到的，恶意内部人员在行为上通常都会有点反常，可能会受到训斥。同事们通常都能发现这些反常行为，不过也有可能没人发现。安全的处理流程应该报告这些信息，并将之作为潜在攻击的警告。在考虑怎么实现告密的体制时，一定要小心，以保证员工告密以及被告密的行为不会受到报复。公司政策中的流程必须透明而细致，以预防有益的指控被驳回。

对包括直接上司和更高层管理人员进行管理可以形成一个防御恶意内部人员的体系。在员工感觉到自己被不公平对待时，能够向更高层人员反映情况，可以减少他们的不满。这对于那些单独工作，与公司的人没有交流的远程工作人员来说，尤为重要。定期的见面，无论是直接相见还是打电话，都能让员工体更有归属感。此外，管理人员在处理一些特定的事情时，最好是通常电话进行联系，而不是一封没人情味的电子邮件或是IT部门的一条消息。

4.2技术

正如前面讨论的，技术问题并不直接造成内部威胁，但脆弱的的技术控制会使攻击变得更为容易。

一个鲁棒性好和强制执行的密码策略足以保护我们的系统。密码要应该足够健壮且遵循推荐的密码设定策略。此外，密码共享并不被提倡，每个要访问系统的用户都应该自己注册密码（这对于问责制系统会有额外的优势），其他用户不应该拥有这些注册信息。

使用多重密码有助于对抗密码共享和滥用的问题。双重验证（2FA：two-factor authentication）是其中一种方法。用户在固有密码之外，还必须进行另一个身份认证，比如随机令牌，RSA令牌，或是用户设备上的一串代码，比如验证码或电子邮件。

生物识别技术是另一种越来越流行的方法，尽管它还存在许多的问题。通过使用生物识别技术，想要进行欺诈会变得更为困难，因为它难以被模仿。CPNI在它正在进行的人员安全的实践指南中[24]，给出了关于生物识别系统的建议。

安全环境应该通过组策略应用到所有的机器中，服务器和工作站应该升级到合适的版本。这使得规避控制或是访问被禁止访问的数据更难。

网络中所有的系统都应该定期接受安全测试，并从内部攻击人员的角度收集问题。如果攻击者从外部发起攻击，他将会在防御系统上花费大量的精力。正如介绍中提及的，如果从内部架构上进行评估，这是个错误的结果，应该给审查和其他内部检查一个合适的优先级。

为了保护所有重要数据，我们应该定期进行备份。备份的地方要是安全的，离线的，在没有得到授权之前不能访问。此外，对于涉及到源代码的项目，应该将源码托管在版本控制仓库中，比如Github[25]，或是apache subversion（更出名的名字的SVN[26]）。这意味着使用常规快照备份代码，这使得内部人员更难以破坏他们所在的项目。如果这些解决方案能在项目开始的时候就实现，并以托管的方式把它介绍给团队的新成员，就能更轻易地管理那些不遵守规则的用户。

实现一个登录和监测系统将使我们可以看见网络中正在运行的东西，并为实际攻击提供证据。如果使用监控的解决方案，分析师必须定期检查警告和输出，否则就会错过攻击记录。为了检测出异常行为，我们应该对某一系统或网络，给出一个‘正常’行为的标准，这样偏离正常的行为就可以被检测出来。从用户的角度来说，在监控系统中，当用户试图访问某个未经授权的区域时，给他们弹出一个警告会是一个有效的威慑。

对于那些开发软件的公司，我们推荐在发布之前进行代码审查。如果有人在开发团队之外对代码安全很熟悉，就有可能消除未被发现的安全漏洞。另一个好处是能确保没人能在代码中留下后门。

Data Loss Prevention(DLP)解决方案是另一种安全防护方式，它能指示出那些内部攻击活动。这可以通过分析指纹数据起作用，并超出公司的范围，比如离开公司网络。这一解决方案也可以分析大量数据泄露的流量或是防御可移动媒体的大量数据传输。

4.3 业务

和技术控制一样，业务控制用于加大攻击者的难度。不同的是，技术控制对内部威胁和外部威胁同样有效。业务策略更倾向于应对内部威胁。

权限应该尽量被分割开来，也意味着没有人能同时拥有授权权限和执行权限。除此之外，在合适的地方应该实行two-person rule。也就是说，为了某一关键的业务功能，两个独立的用户应该输入不同的凭据。这样的行为提供了一种监督方式，以确保一个以上的人员会参与到这个过程中。这虽然不同防护串通或胁迫行为，但提供了一种方法防御单个攻击者，并威慑那些企图犯罪的人。

确保系统中不存在single point of failure以及没有某个人掌握着大量关键数据是非常重要的，这包括源代码，数据库访问权，流程知识或是其他的关键业务功能。在极端情况下，这也意味着要制定合适的策略，防止员工接触某几个关键的业务，以预防他们积累进行攻击所必需的知识。

最低权限的准则应该被应用到所有用户上，也就是说，每个员工在除了他所必须的权限之外，没有更多的权限。因为管理员权限拥有非常大的灵活性，因此要重点关注，使管理员组中的用户最少。它同时也适用于数据访问和系统访问上，例如包含PII的数据库和员工不需要接触到的敏感信息。

应该制定合适的政策，当员工角色发生改变之后，及时改变对应的权限。尤其是在员工即将离开公司，或是正处于通知期的时候。尤其要考虑到让员工访问这些信息的风险。我们能找到大量的实践指南，CPNI也提供了很多建议，但是，我们仍能在网上轻易地找到一份概览[27]。

制定有效的政策以及不要创建一个错误的文化也是非常重要的。例如，如果密码策略要求你不要共享你的登录细节，但IT部门要你提供登录凭证以提供技术支持，这是很危险的，因为它教会员工有时候忽略政策是可能的。这提高了他们在策划攻击时的可能。

对抗内部威胁一个重要方法是在业务中加入不同的功能块。例如，如果物理安全团队发现有人在非办公时间进入办公室，HR团队报告了他盗窃了客户数据，IT团队发现他尝试下载大量的数据，这些信息可以被组合起来，形成一个可靠的安全风险，而不是在事后才发现。

为了使安全策略可行，高级支持和赞助是必不可少的。董事会成员应该对安全负责，同时考虑到内部和外部的攻击者。作为这一责任的一部分，他们应该采取规划和审计，因为它考虑到了所有的系统和流程，存在哪些威胁以及怎样防御。这样做可以实现一个鲁棒性好并且可实现的安全策略。

这同时也延伸到创建一个好的安全文件。实施的政策应该应用到所有员工上。例如，如果对着装有政策要求，CEO也必须穿同样的着装，否则这一政策就存在被破坏的风险。这一问题的相关推荐在CPNI指南的Holistic Management of Employee Rish(HoMer)中有详细的介绍[28]。

正如CERT中提到的，内部攻击人员中很大一部分比例并没有意识到他们这样做的后果，也没有意识到有人在监控着他们[23]。使用户意识到他们到底在做什么，可以使潜在的攻击仔细考虑他们在做的事。然而，一定要注意不要让攻击者知道技术细节，这使得他们有可能绕过访问控制。此外，透明的安全策略可以使员工更好地了解调查程序，遵循这一策略使得调查程序在执行时员工不会遇到不公平的情况。

5. 结论

来自内内部人员的威胁正受到越来越多公司的关注，但考虑到重点要关注哪一方面的时候又学学被忽略。内部攻击行为可能出于很多的原因，但通过从潜在动机方面思考，系统中的任何弱点都是可以被找到并解决的。

为了找到防御内部攻击的最好方法，我们应该找到组织中风险高的角色，并找到正确的方法来减少因为个人出于或故意或偶然的原因，而对公司造成损失的可能。

据此，组织应该找到他们的’crown jewels’并保护好它们。这不仅能够减少攻击者访问它们的可能，也可以减少拥有合法权限的人数，确保有真正需求的人才能访问它。

有很多潜在的方法可以用于解决员工，技术和业务风险，要想系统的安全控制有效，必须考虑到所有方面。

传统的渗透测试着重点是技术风险，但是在发现流程和业务漏洞上不是那么有效。当把安全保障活动应用在业务审计和风险评估时，它也许能发现更多需要修复的流程和业务控制漏洞。

对内部威胁进行基于场景的测试也许是最好的解决方案。也就是，顾问拥有某一内部团队的权限，例如管理人员，技术人员或是分析师，尝试去进行某个特定行为。这也包括敏感数据的泄漏或是植入’逻辑炸弹’（无害的/模拟的）。最终报告列出了所有已发现的问题，并给出了一些建议以提高安全系数。

6. 拓展阅读和资源

6.1 拓展阅读

这篇论文对恶意内部人员和潜在位置的威胁，以及如何防御提供了一个简明的介绍，但并没有说得很详尽。CERT和CPNI对于这一主题进行了大量深层次的研究，并提供了一些拓展资源在网上。

HoMER是一篇由CPNI编写的指南，它主要针对董事会成员和风险很大的管理人员，并给出了对防御内部威胁的进行评估的一个框架：

https://www.cpni.gov.uk/system/files/documents/62/53/Holistic-Management-ofEmployee-Risk-HoMER-Guidance.pdf

CPNI也在《自然》上给出了一个对内部风险和部分因素的简短总结。这篇文章给出了一个简短有用的总结：

https://www.cpni.gov.uk/system/files/documents/63/29/insider-data-collection-studyreport-of-main-findings.pdf

CERT已经对内部威胁进行深层次的研究超过10年了，并发表了大量关于威胁在不同部门的不同的论文。以下链接给出了一个非常简短的内部威胁练习的指导方案：

https://www.cert.org/insider-threat/best-practices/index.cfm

为了对内部威胁进行更深层次的分析，CERT发表了’Common Sense Guide to Mitigating Insider Threats’，里面包含了最好的20个练习：

http://resources.sei.cmu.edu/library/asset-view.cfm?assetid=484738

Dawn Cappelli等人发表的’CERT Guide to Insider Threats’，是一个离线的参考文档给出了大量的研究案例。

CPNI的所有资源列表：

https://www.cpni.gov.uk/reducing-insider-risk

CERT的所有资源列表：

https://www.cert.org/insider-threat/index.cfm

6.2 可用的工具

网上有大量免费的检测和防御内部威胁的工具。当然，也有大量的商用解决方案。这里给出了部分工具的参考，不过，这些工具并没有被深入测试。每个工具都有它的优势和限制，在被使用之前都应该测试和评估它们的适用性。一些解决方案必须要考虑到终端用户的权利，并在涉及到他们的隐私时，应该给他们通知。

Scout是一个使用风险指标来主动检测威胁并监控通信的工具：

https://www.strozfriedberg.com/press-release/stroz-friedberg-announces-insider-threatdetection-tool-scout/

Merit是由CERT开发的练习模拟器，它可以把用户安排进各种业务情形中，在这些业务中，他们必须做出关于内部行为的决定，然后工具会模拟这些行为的结果：

https://www.strozfriedberg.com/press-release/stroz-friedberg-announces-insider-threatdetection-tool-scout/

CERT的一项研究中介绍了如何使用防抄袭算法检测内部威胁。前提是攻击者使用web邮件或其他加密了的，未经检查的泄漏载体。这一解决方案涉及到建立已知的敏感数据的数据库。然后，如果这一方法实现了，就必须重点保护它，因为它本身就是一个极具吸引力的目标。一个拦截web邮件访问的更简单的解决方案是：

http://resources.sei.cmu.edu/asset files/TechnicalNote/2013 004 001 64688.pdf

结合上一篇论文，Tagger是CERT开发出来用于将标签插入敏感文档的工具：

http://resources.sei.cmu.edu/asset files/TechnicalNote/2013 004 001 40234.pdf

CERT写了篇文章描述了潜在恶意攻击活动的指标。这是一篇非常详细的文档，实现起来可能很困难，但是，这一方法在如果实现并运行起来，确实是一个非常标准的方法：

http://resources.sei.cmu.edu/asset files/TechnicalReport/2016 005 001 454627.pdf

CPNI开发了一个员工安全成熟度模型，用于评估企业在内部威胁方面的状态：

https://www.cpni.gov.uk/system/files/documents/c3/69/CPNI-personnel-securitymaturity-model.pdf

CERT也提供了一个分析方面的白皮书，可以用于内部威胁早期检测的指标：

http://resources.sei.cmu.edu/asset files/WhitePaper/2015 019 001 451069.pdf

7. 参考文献

（译者注：见原文）

8. 关于NCC Group

NCC Group是一个网络安全和风险降低的专家，帮助公司保护它们的品牌，价值和名声，对抗不断发展的威胁。

通过使用我们的知识，经验，将有助于企业识别，评估，防御和反馈他们遇见的风险。

总部设英国曼彻斯特，在全世界有超过35个办事处，NCC Group在全球有2000个员工，并拥有15000个忠实客户。

原文链接：https://www.nccgroup.trust/uk/our-research/understanding-the-insider-threat-and-how-to-mitigate-it/

本文由 看雪翻译小组 梦野间 翻译

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法