通过暗网监控发现的三种主要内部威胁

内部威胁是一个严重且日益严重的问题。根据最近的研究，恶意员工造成了20%的事件，内部人员参与的攻击平均比外部参与者进行的攻击大10倍。进一步的数据分析显示，在过去两年中，内部威胁攻击有所增加，因为在大流行期间远程工作加剧了风险。

为了最大程度地减少内部威胁，所有组织都应监控市场、论坛和社交媒体渠道以了解有关其公司的讨论。这有助于他们发现即将发生的攻击的早期预警信号，例如寻找内部信息的网络罪犯，或心怀不满的员工发表令人不快的评论。这种监控还必须扩展到暗网，因为这是对组织进行网络犯罪侦察的金矿，因为威胁行为者认为他们超出了执法和网络安全团队的控制范围。

内部威胁概览

Ponemon研究所最新的调研报告显示，内部威胁的态势逐年明显恶化。下图汇总关键发现可见一般。

内部威胁的类型

当我们谈论内部威胁时，重要的是要了解存在不止一种类型的恶意内部人员。大体上，可以将它们分为三类：

受经济利益驱使的内部人员：在当前的经济环境下，员工可能会被威胁组织诱使从事恶意活动。例如，威胁组织Lapsus$臭名昭著地发布了一则招聘电话，要求电信公司、软件和游戏公司以及呼叫中心的员工提供帮助——提供金钱以换取信息。

孤独者和投机取巧的威胁行为者：这些是难以发现的内部人员，他们利用自己在网络中的特权地位来损害公司。虽然它们在统计上不太常见，但一旦发生罢工，它们会对组织产生严重影响。例如，纽约邮报的员工最近通过在其公司Twitter帐户上发布攻击性信息而损害了公司的声誉。暗网分析可以帮助发现这些恶意行为者，如果他们发布查询或就他们在企业环境中浏览时遇到的特定问题寻求帮助。还可以发现他们在暗网上出售内幕信息。

无辜的内部人员：这些人也可能在未经他们同意或不知情的情况下参与威胁活动，从而在不知不觉中损害公司。根据研究，员工犯错误和点击恶意链接的可能性是恶意滥用访问权限的两倍多。

内部威胁的威胁建模

公司针对恶意内部人员的威胁建模需要确定他们的基础设施哪里最不安全，他们拥有哪些资产价值最高，以及威胁参与者最常使用哪些策略。深入了解暗网可以帮助组织确定犯罪分子如何进行侦察并利用恶意内部人员，这有助于为他们的防御提供信息。

用于访问公司环境的最流行方法是获取和利用泄露的凭据。但除了基本的“口令和用户名”销售之外，企业还需要注意 Slack和Teams等应用程序的cookie会话泄漏，威胁行为者可以利用这些泄漏通过社交工程进入公司并滥用员工的信任.

公司需要注意的另一个方面是触发事件，这些事件会增加公司成为攻击目标的可能性。例如，如果一家石油公司准备在生活成本危机期间公布其年度收入，该组织必须评估员工、前员工和外界人士对该公告的反应的敌意程度。在这个例子中，收入披露是一个潜在的触发事件，要求企业在事件发生之前、期间和之后特别勤奋地监控暗网，以了解公司周围的任何闲聊。在这种情况下，企业必须自问是否应该实施额外的防御措施或分配额外的资源。

在触发事件期间，公司可能会通过监控警报或不规则在线活动的增加来发现恶意内部人员。公司设备和Tor网络之间的连接是发现内部威胁的非常可靠的数据点，因为在大多数组织中，员工几乎没有理由连接到暗网。

网络杀伤链中左移

对于任何事件，时间总是至关重要的。在可能的情况下，组织需要在侦察（网络杀伤链的第一阶段）期间查明内部威胁活动，以成功减轻恶意行为者的攻击。逻辑表明，在杀伤链中越早或越靠左，威胁参与者就可以被识别出来，那么他们攻击成功的可能性就越小。

组织了解做好准备、保护边界和教育员工的必要性。然而，这些只是安全基础设施的坚实基础，需要增强智能以更早地阻止威胁。暗网威胁情报应被视为增强组织安全态势的一个组成部分。由于大多数网络犯罪分子都依赖暗网基础设施开展活动，切断这一渠道可以大大降低内部威胁生根发芽和破坏业务运营的可能性。

参考资源

1、https://www.darkreading.com/threat-intelligence/hunting-insider-threats-on-the-dark-web

2、https://www.proofpoint.com/sites/default/files/infographics/pfpt-us-ig-insider-threat-infographic.pdf

3、https://www.verizon.com/business/resources/reports/dbir/

声明：本文来自网空闲话，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。