企业内部网络安全四大威胁，如何应对？

如今，网络环境愈发复杂，企业数字化程度也越来越高，加上疫情肆虐，远程办公、异地办公的方式，安全边界肆意拓宽，攻击面倍速增大，使得企业内部安全面临更为复杂的环境。

据业内安全专家实践经验总结得出，大概有以下四种内部威胁的方式，可能对企业信息安全造成威胁：

1、蓄意破坏的员工（含在职与离职）；

2、被勒索病毒攻击；

3、安全意识薄弱的管理员；

4、第三方安全风险。

那么，企业该如何对内部威胁进行有效监管，防止来自内部的损害呢？业内专家也给出了应对威胁的最佳实践方法：

一、蓄意破坏的员工（含在职与离职）

任何运转多年的企业，都会有在职与离职人员；

员工心态往往复杂多变，可能会因为某些工作，产生怨忿与不满，或出于谋求个人利益乃至纯粹为了好玩，继而可能会产生一些报复、泼坏企业信息安全的行为。

比如会删除关键资料、重要文件，篡改后台密码等。尤其是那些拥有特权访问权限的现任员工和离职或被解雇后仍拥有访问权限的前任员工，还可能会窃取知识产权、专有数据、商业机密和源代码等资产。甚至可能会将重要的信息泄露给竞争对手。

当然，有一部分人是恶意目的，比如窃取电子邮件地址和客户联系名单，也可能是无意，比如离职时将其所从事项目的成果据为己有。还有一部分员工可能涉及贿赂或勒索，协助外部攻击者窃取信息或实施攻击。

解决办法：

在面试之前，就做好相关行为规定告知，并在日常工作中进行监督，加强工作透明度，经常保持沟通和协作；定期举办网络安全培训，并密切关注用户行为，及时发现异常活动和行为变化，以便及时应对。

对于离职员工，应及时停止其之前拥有公司的所有权限，确保其知道不能带走公司财产，以及违规后需要承担的责任后果。

企业需要密切关注下载过多数据的员工。应使用最小特权原则来限制员工可以访问哪些应用程序、网络和数据。还可以使用监控机制、零信任网络访问和行为分析等来检测异常活动。

二、被勒索病毒攻击

勒索病毒攻击的目的，就是为了获取企业某部分权限，最终达到信息数据获取、加密的目的。窃取合法用户登录信息的攻击者是导致数据泄露的主要原因之一。

企业权限账户信息往往通过如下途径泄露出去：网络钓鱼和社会工程学伎俩、暴力攻击、登录信息泄露、击键记录程序、中间人攻击、字典攻击、撞库、密码喷洒攻击等。

解决办法：

企业可以选择一些电子邮件安全的相关软硬件产品、电子邮件安全网关、电子邮件过滤来缓解这一状况。对于员工来说，定期的电子邮件、网站访问、文件传输中的防范与警惕性训练也是至关重要。

此外，应该要求用户使用强密码/密码短语，并确保公司密码策略已明确了这些要求；要求用户使用多因子或双因子身份验证，采用特权访问管理和最小特权原则（principle of least privilege ，简称“POLP”），并定期审查访问以验证用户的访问权限。此外，企业还应向员工介绍网络钓鱼诈骗的警示信号等，以提高其防范意识。

三、安全意识薄弱的管理员

对于这部分人而言，违反公司规定、规则，对公司信息安全造成威胁，并非他们本意。只是在日常工作过程中，文件传输、无线网络使用、信息发布、邮件发布等操作，无意地疏忽或被利用，导致对企业内部信息安全构成威胁。

还有些it管理员，因各种缘故有意或无意无视企业安全措施，往往使用影子IT、不安全地共享文件、不安全地使用无线网络、将信息发布到讨论板和博客、打补丁不当、忽视安全策略、通过电子邮件和即时通讯(IM)泄露公司数据等，给企业带来潜在威胁。

解决办法：

个人信息安全意识薄弱，那就需要企业来进行科学地引导，定期的网络安全意识培训非常重要。通过监控影子IT、实施安全文件共享最佳实践和权限、使用基于客户端或服务器的内容过滤、坚持使用补丁最佳实践、要求通过VPN或零信任框架实现安全的网络连接、使用Wi-Fi保护访问3(Wi-Fi Protected Access 3)以及禁用不需要的蓝牙等安全措施，来管理员工的网络行为。

四、第三方安全风险

有权访问企业系统的第三方（如承包商、兼职员工、供应商、服务提供商和客户），可能会对敏感数据构成重大风险。第三方攻击又称为供应链攻击或价值链攻击，其对企业敏感信息拥有巨大的潜在威胁。

解决办法：

企业应确保第三方值得信赖，需查看第三方背景，确保对方可靠后才允许其访问；应落实完备的第三方风险管理计划；通过最小特权原则限制第三方访问；定期审核第三方账户，以确保工作完成后系统权限被终止；使用监控工具检测第三方威胁。

来源：Mary K. Pratt（Contributing writer, CSO）：《Who is your biggest insider threat？》