《2023年内部人员风险成本全球报告》概述

如果不了解风险，就永远不会了解威胁

波耐蒙研究所《2023年内部人员风险成本全球报告》-该报告就洞察企业内部人员风险造成的财务影响、企业如何开展内部人员风险管理计划、以及如何为内部人员风险管理战略提供资金支持提供了新的见解。第一版内部人员风险全球研究始于2016年，主要针对北美公司，此后研究范围扩大到欧洲、中东、非洲和亚洲地区的组织，参与调研人数超过7.5万人。

“并不是每一个内部人员风险(Insider Risk)都会变成内部人员威胁(Insider Threat)；然而，每一个内部人员威胁都是从内部人员风险开始的。”-Gartner

内部人员风险的三大类型

“本报告所定义的’内部人员风险’基于MITRE相关内部人员威胁类型”

内部人员风险大致可分为两类：恶意的、非恶意的。“恶意的”内部人员企图造成危害，其主观故意意图明显，如：间谍活动、知识产权窃取、未经授权的信息披露、蓄意破坏、欺诈、工作场所暴力等。

“非恶意的”内部人员从主观意愿上并非恶意，但实际后果却带来了实实在在的危害，这类群体又可以细分为三类：粗心大意的、人为失误的（不归因于疏忽的错误）、安全意识薄弱的(容易被黑客轻而易举攻破/智胜巧取)

内部人员风险100%来自用户，内部人员威胁是指1%有故意不良行为的用户，每家企业平均发生24起因内部人员引发的安全事件。

报告精彩内容摘要

组织比以往花费更多的时间和金钱在遏制阶段(Containment)，而不是在预防上(Prevention)。

数据泄露的根本原因: 内部人员风险成本和数量上升

由于组织比以往任何时候都花费更多的时间来试图遏制内部人员安全事件，反而，内部人员风险的成本是有史以来最高的。2023年，每个组织的内部人员风险年平均总成本增长到了1620万美元，而遏制内部人员事件的平均天数延长到86天(分别高于2022年的1540万美元和85天)。与此同时，2023年的内部人员安全事件数量从2022年的6803起增加到7343起。

与内部人员风险相关的最大成本发生在事件发生之后，遏制和补救的代价更高，分别为每起事件179,209美元和125,221美元。响应时间越长，成本越高 (超过91天遏制时间的安全事件成本为1833万美元)。

非恶意的内部人员占安全事件的75%，包括疏忽大意或人为失误(55%)，或被外部攻击或对手轻易利用或攻破的内部人员(20%)。虽然恶意内部人员事件的发生频率较低(25%)， 但它们是迄今为止最昂贵的，平均每起事件的成本为70.15万美元。

尽管内部人员风险形势严峻，但网络安全预算仍然花在了错误的地方

尽管内部人员风险的成本和频率不断上升，但88%的组织将不到10%的IT安全预算用于内部人员风险管理(平均为8.2%)。根据Gartner相关定义，内部人员风险管理是指“衡量、检测和遏制组织内可信账户发生不安全行为的工具和能力组合”。

尽管超过一半的组织将社会工程学攻击归因于所有外部攻击的主要原因，91.8%的安全预算还是花在了抵御外部威胁，出现了90%与10%“倒挂”的怪象。

希望之光

好消息是，积极变化正在发生。组织越来越多地认识到需要关注“人的因素”，需要主动管理，而不是被动应付。58%的组织认为目前的内部人员风险管理资金支持水平不足，近一半的组织(46%)将在2024年增加对内部人员风险计划的投资。

与事件成本、频率和遏制时间相关的上升趋势表明，目前应对内部人员风险的方法根本不起作用。事实上，这些数字清楚地表明，我们正在倒退。

安全预算正在不经意间被误导，部分原因是人们普遍误解了内部人员风险，以及它们是如何根据早期预警行为表现出来的。积极的一面是，越来越多的组织正在建立内部人员风险项目，并寻求预算和高管的支持，以资助和支持这类项目。

此研究呼应了业内主要分析师和研究机构的类似发现，尤其是Forrester,Gartner,MITRE和Verizon。毫无疑问:人，是大多数数据泄露事件的源头，而且越来越多的“人的风险”是来自组织内部的，就在我们的眼皮子底下。通过聚焦于内部人员风险管理计划，组织将有机会在代价高昂的内部安全事件发生之前，主动识别和减轻内部人员风险。

是时候积极主动管理“内部人员风险”了！该研究发现，内部人员安全事件发生后的代价最高。企业花在应对内部人员事件上的钱远远多于花在预防措施上的钱。响应时间越长，成本就越高 (花超过91天时间控制事件的成本为1833万美元)。

内部人员因疏忽大意/人为失误导致的安全事件最多(占55%)；虽然恶意的内部人员不太常见（占25%），但造成的损失最大；内部人员因安全意识薄弱造成账号密码被外部攻击者轻易窃取，平均每起事件损失679621美元。

金融服务行业与专业服务行业(包括会计、咨询和其它专业服务等)的内部人员安全事件成本最高，前者的平均成本为2068万美元，后者为1963万美元。

• 非恶意的内部人员风险(75%)仍然是企业面临的最大风险。

• 外部攻击利用恶意软件(56%)和社会工程学攻击(53%)最有可能轻易“突破人的防线”。

• 从角色看，销售(48%)和客户服务(47%)是构成内部人员风险的两个最主要岗位和职能部门。

• 恶意的内部人员最有可能将敏感数据通过电子邮件(67%)发送给外部第三方。

• 云服务(59%)和物联网设备(56%)最有可能成为内部人员驱动的数据泄露事件的渠道。

本报告详细内部很精彩，值得仔细研读。欲获取英文原版报告，请联系本文作者(微信二维码请查看历史文章)，或直接至官方网站下载。

声明：本文来自超安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。