美国政府发布新的内部威胁成熟度框架

维基解密公布美国陆军士兵布拉德利·曼宁泄露的伊拉克战争日志之后一年半，奥巴马总统颁布了一份总统备忘录：《给执行部门与机构负责人的行政部门的国家内部人员威胁政策与最低标准备忘》。

《备忘》中写道：形成的ITP能力将强化行政部门的机密信息保护，加强我们抵御对手和误用访问权限威胁国家安全的内部人员的防御。

这份备忘显然没用。一年后，斯诺登开始揭秘，而且他的解密行为至今未停。2016年，“影子经纪人”黑客团伙开始泄露NSA工具集，包括后来被用于WannaCry和NotPetya勒索软件的永恒之蓝漏洞利用代码，但也有人认为这些文档一开始就被NSA承包商 Hal Martin 泄露给了“影子经纪人”。

2017年，Vault 7 (CIA文件)开始浮现。2018年，曾为NSA和CIA工作过的 Joshua Adam Schulte 被起诉，罪名是盗取了被维基解密公布的CIA机密文档。

2018年11月1日，美国司法部长和国家情报总监联合领导下的国家内部威胁特别工作组(NITTF)，发布了一份新的《内部人员威胁项目成熟度框架》。国家情报总监办公室的声明中称，其目的是帮助行政部门及机构ITP超越《最低标准》，变得更主动、更全面、更能吓阻、检测和缓解内部人员威胁风险。

新《框架》保留了奥巴马《最低标准备忘》中的关键元素，进行了强化和扩展，以便采用该框架的部门和机构(D/A)能够“从ITP资源、流程和过程中获得更大的益处。”《框架》由19个元素组成，每个元素指明高级内部人员威胁项目(InTP)的一个属性，提供详细信息以辅助各内部人员威胁项目强化相关最低标准的效果。

《框架》是专门为政府部门和机构设计的，其主要目的是保护国家安全而不是资本知识产权。政府部门和机构在组成、使命和文化上都区别于私营产业，但私营产业也有自身潜在的内部人员威胁需要管理，可能会采纳同样的框架。

比如说，Dtex Systems 联邦副总裁 David Wilcox 就评论道：

《框架》的某些元素完全可以被私营产业借用。其他则需谨慎应用。比如说，第一个元素描述了：D/A和InTP领导层发展InTP基础设施及人员，并将解决内部人员威胁的重要性提升到足以创建有效且持续的项目的程度上。

第三个元素称：对抗内部人员威胁以保持符合其D/A政策、法律、监管、员工及技术环境变化对InTP而言十分重要。InTP可通过参与涉及决策、监管发展和技术基础设施进步的D/A论坛来评估项目合规及有效性变化的影响。

这就已经开始有些像是高度专业的高级别领导下的新部门了，当然，维持费用也会很高。连GDPR要求的数据处理官一职已经遭到公司企业的质疑，更昂贵的且法律也没有要求的部门无疑也会遭到质疑。想要将该框架用作内部人员威胁项目指南的公司企业首先应将这些指南提炼成可负担得起的东西。

《框架》中私营产业应剔除的东西还有其他一些。元素7描述了内部人员威胁意识培训要求。这当然是个比较好的操作，但仅从指南上并不容易找到入手点：InTP可驱动D/A内的文化改变，建立内部人员威胁意识氛围，树立通过交流活动报告潜在内部人员威胁责任。

其中风险在于可能会导致鼓励员工间相互举报的微妙氛围。这就很容易走向极端，造成工作场所气氛恶化了。

但这并不是说《框架》就没有可以转化到私营产业的良好操作。元素14和15就对内部人员威胁检测提出了好建议。前者鼓励应用高级分析与异常检测。此类工具可辅助管理大量数据，建立起识别异常行为的基线。数据分析工具可以帮助内部人员威胁分析师上下文化行为，支持调查决策，将问题提交给响应要素，并制定缓解策略。

元素15更为诡异，但只要谨慎实现，也是能管理好的。

这是对行为科学的拓展应用，需要监视员工电子邮件和即时聊天，但具有客观公正的优势，或者说看起来具有该优势。2017年情报与国家安全联盟(INSA)发布的一篇论文提出，心理语言学分析可用于事前检测内部人员威胁的发展脉络。

论文讨论了所谓的怠工行为(CWB)，断言恶意内部人不是天生的，是生活和工作压力迫使他们成为了恶意内部人。不断升级的怠工行为可通过对电子邮件、个人博客、聊天内容和朋友圈的心理语言学分析加以检测——其理论就是：可以在员工演变为恶意内部人之前预先检测出来，并施以帮助，防患于未然。

尽管私营产业或许不应生搬硬套该框架，但里面有很多好建议是可以奠定内部人员威胁防护的良好实践基础的。虽然是为政府部门和机构设计，只要精挑细选，私营产业也可以加以利用。

新《ITP成熟度框架》：

https://www.dni.gov/files/NCSC/documents/nittf/20181024_NITTF_MaturityFramework_web.pdf