内部威胁

2017年起，内部威胁超过外部威胁开始占据了中心地位，且2018年至今，愈演愈烈。虽然现在大部分的关注点仍集中在外部威胁、国家层次的攻击和各类勒索软件上，但对于各个组织而言，识别并阻止来自内部的攻击，无论是来自其内部人员、承包商亦或是供应商，都变得越来越重要。内部威胁由于来自内部，往往拥有访问网络和敏感信息的权限。

现在越来越多的数据证明了内部威胁将带来的巨大风险及危害，但是大多数组织并没有做好充分的准备来检测并阻止这类攻击。大部分计算机和网络安全防御主要还是集中在阻止外部攻击，使其不能获得访问内部的权限。虽然这也很重要，但是实际上，来自内部威胁的潜在风险要比外部威胁要大得多。而欺骗技术可以有效地保护敏感资产和数据免受内部威胁，且它不需要通过档案分析或用户行为跟踪来发现威胁。

什么是内部威胁

内部威胁是由那些拥有访问敏感服务器或数据的授权用户造成的威胁。由于是网络的可信任用户，他们有泄露、暴露和窃取信息的能力。

内部用户泄露数据背后可能有很多动机，如表明自己的态度、试图报复，亦或是他们可能正计划离职想带走客户的相关数据或知识产权。但也有很多情况下，数据泄露又带有偶然性——好奇的员工越界去访问他们通常不会去的服务器、应用程序和数据。内部威胁还可能来自信任的第三方伙伴，如承包商、供应商或被授权访问网络或敏感数据的合作伙伴。这些内部威胁都防不胜防。

比兹利（Beazley）的一份报告中提出，在2019年上半年，有30%的黑客入侵事件是由于员工或第三方供应商的失误导致数据遭到入侵。

Soha系统的一项研究发现，63%的数据泄露都直接或间接地与第三方的访问有关。

波耐蒙研究所(Ponemon Institute)去年秋天进行的一项调查显示，56%的组织都经历过由其第三方供应商造成的某种数据泄露。

即使是外部攻击，许多攻击也都是通过网络钓鱼或窃取有效的用户凭据来访问内部网络。从安全和数据保护的角度来看，这些数据泄露的原因就是因为内部攻击，而有效的检测和预防完全可以避免这些攻击。

下面的例子说明了为什么组织会使用欺骗技术来早期检测发现内部威胁:

德克萨斯州彩票委员会的一名员工将10万多人的个人信息复制到计算机磁盘上。他保存了受害者的姓名、地址、社会安全号码和彩票奖金，声称他想保留这些信息以备将来在其他州机构工作时参考。

一名内部员工泄露了纽约州电力公司(New York State Electric & Gas)和罗彻斯特电力公司(Rochester Gas & Electric)近200万名客户的社会安全号码、出生日期和一些个人账户信息。无独有偶，一个承包商在为一家软件咨询公司和其母公司工作时，未经授权访问了数据库。

Verizon遭遇数据泄露，600万用户记录被曝光。然而，实际的漏洞是由第三方客户服务分析供应商Nice Systems造成的。NiceSystems在一个防御并不到位的Amazon S3存储服务器上存储了6个月的客户服务呼叫记录(包括Verizon客户的帐户和个人信息)，导致信息被窃取并公开。

江苏淮阴市淮安警方近期破获了一起银行信息泄露案件，该银行员工利用职务之便贩卖公民个人信息，涉及公民个人信息5万多条。

内部威胁风险

在许多时候，内部威胁比外部攻击更让人难以发现。有效检测和识别内部威胁的最大问题之一是，由于内部人员通常享有授权网络访问权限，他们的绝大部分行为都是正常的——尤其是对那些有权访问敏感数据的人员。因为难以确定他们的访问意图，所以将正常活动与可疑行为分开很难。而试图通过分析用户或监视和跟踪行为来检测内部威胁的工具可能会降低员工的士气与彼此的信任度。这些程序也经常导致威胁被延迟发现，甚至在某些情况下，可能会侵犯用户的隐私。由于来自内部的攻击拥有进入网络的权限，并可以访问敏感数据，他们可能数月甚至数年都不能被发现。此段时间里，他们不停的在网络中横向传播，四处窥探敏感数据，同时也拥有足够的时间掩盖他们的踪迹或删除存在的证据。

那么，现在的困难是组织如何有效地检测和识别可疑或恶意的内部活动。监视可疑或异常行为是一种方法，但这很容易导致威胁被发现的滞后性，以及误导性的结果或误报。

例如，一个安全解决方案可以检测到某个员工周六的活动，由于该员工通常在周末不会访问网络，于是将其标记为异常行为，但也有可能该员工只是需要在周末加班。这不仅为筛选威胁添加了复杂性，还给已经筋疲力尽的IT操作人员增加了额外的任务。

如若有以下行为发生，则标志着一些需要注意的可疑或恶意的事情正在发生：

授权用户试图访问他们不应该访问的服务器或数据。

授权用户访问或请求访问与他们的职责无关的信息。

有人试图窃取授权用户凭据。

无论攻击行为是出于何种目的，如一个授权员工打探他们不应该好奇的信息，或者授权员工恶意访问服务器或数据造成的破坏或信息泄露，亦或是外部攻击者获得了授权用户的有效证明，一旦检测到这些活动往往会引起企业的恐慌。

利用欺骗技术解决内部攻击

欺骗技术是检测来自内部人员的可疑或恶意活动的最快速和最简单的方法。欺骗技术的”3D’s”——欺骗、 探测和防御——可以确保IT安全人员能够在不增加筛选复杂性或增加不必要影响的情况下有效地识别并抵御内部攻击。

欺骗

欺骗技术最主要的一个功能就是是欺骗攻击者。大多数攻击者通过扫描网络来寻找带有服务或应用程序的主机以进行攻击，或搜寻脆弱的端点以窃取员工凭证和数据。而欺骗防御，就是布置欺骗性的服务器和诱饵诱使攻击者攻击。它不需要在组织的服务器或端点上运行签名或代理，只依赖于一个个可靠的诱饵，如服务器、端点和应用程序，它们具有绝大多数攻击者正在寻找的特征。

检测

欺骗技术提供早期的和有效的攻击检测来发现绝大部分的潜在威胁和攻击。欺骗技术利用虚拟机、IP服务和子网的综合阵列，提供了一个可以看见的大量的可以发展的攻击层次汇总。欺骗技术可以检测来自网络、数据中心、云工作负载、物联网设备、SCADA、POS、路由器等的攻击。当攻击者试图进行侦察或通过网络横向移动或寻找端点来提取凭证时，他们将与欺骗诱饵交战并暴露自己。欺骗技术提供了一种有效的手段来检测内部威胁，也包括先进的外部或第三方威胁，恶意软件或勒索软件攻击，或攻击者使用窃取的用户证书访问行为。

防御

一旦攻击者上钩，欺骗解决模块检测到威胁，就会立即采取行动阻止攻击并保护网络和数据。欺骗技术可以用记录下来的威胁和警报信息，全副武装一个组织，为可疑或恶意活动的发生提供确凿的证据。

幻视欺骗防御平台可以对恶意软件和钓鱼攻击进行详细的自动分析。它还支持与各种平台和安全解决方案的集成，并为安全团队提供模板，以便在检测到威胁时自动部署、阻止和隔离活动。

证明

除了”3d’s”之外，还有同等重要的第四样功能，“P”代表“证明”。欺骗技术提供了确凿的证据证明发生了内部攻击。一旦检测到威胁，它就会监控并记录活动，以提供全面的取证报告，并且深入分析以完善攻击细节。

有了欺骗防御技术，组织可以快速识别违反规定的行为，从员工误触这样的小事，到更严重的例如真正的攻击时间。欺骗技术收集的证据提供了攻击者行动的详细跟踪，并为HR和法律提供必要的行动证据。

结论

虽然技术在不断发展，但攻击手段和威胁环境也在不断发展，攻击者也在不停的发动新的攻击。残酷的是，现在没有一个绝对的办法阻止全部的攻击，尤其是当攻击者是个内部人员，拥有访问网络资源和敏感数据的授权时。

心怀不满或受金钱诱惑的员工、承包商或供应商，或盗取内部凭证的外部人员，都常常是攻击的主体。攻击者必须对网络进行一些侦察，从而建立一个立足点才能访问敏感数据，这是攻击生命周期中经常被忽视或投入不足的阶段，但试图分析日志数据或监控异常行为会增加复杂性，并受到误报的困扰。

欺骗技术是种久经考验的智胜对手的技术。欺骗技术可以为组织提供快速、准确地检测和识别可疑或恶意的内部活动所需工具。更重要的是，它还可以提供采取具体行动前所需的证据。