信任的武器化與普遍性

內部威脅是一種普遍存在的風險，但很少有組織願意公開討論這個問題。如果有什麼阻礙進步的因素最令羅賓遜感到沮喪，那就是否認、隱瞞或者是假裝視而不見。解決問題的第一步是承認問題的存在，第二步是了解不法分子是如何運作的。 安全分析師邁克爾羅賓遜花了 14 個月的時間，挖掘了數千份法律文件，以揭示惡意內部人員的真實身份、他們的運作方式以及傳統檢測模型為何總是漏掉他們。安全分析師邁克爾羅賓遜將內部威脅歸結為 1000 起不當行為——真實案例中，受信任的員工將他們的存取權限變成了武器。羅賓遜說：「我們會分享有關勒索軟體和國家級攻擊的訊息，但幾乎沒有關於內部人員的集體學習和分享。公司把這當成一個見不得人的秘密。」他的研究旨在改變這種現狀。 令人驚訝的是有四分之一的惡意內部人員竟然是高階主管，這些人都是高層——副總裁、總裁——他們被賦予了接觸公司最寶貴數據的權限。羅賓遜則主張提高持續可見性並延長日誌保留時間，因為內部活動可能會在數月內緩慢展開。他說：「公司往往不會保留足夠長的日誌，以至於無法了解全貌。如果沒有數據，就無法調查發生了什麼。」

這項研究旨在透過實證數據，促使業界對這個「見不得人的秘密」進行集體學習和分享。

 

惡意行為人的真實面貌：來自高層的威脅

羅賓遜的研究揭示了關於惡意內部人員身份的一個顛覆性發現：

• 高階主管的風險：令人驚訝的是，有四分之一的惡意內部人員竟然是高階主管，包括副總裁（VP）和總裁（President）等高層職位。

• 權限與價值：這些高層人員被賦予了接觸公司最寶貴數據（如智慧財產權、商業機密）的最高權限。當他們心懷不軌時，造成的損害往往是最大且最難以估量的。

這項發現挑戰了傳統安全防禦僅聚焦於低階員工或技術部門的觀念。由於高階主管的行為本來就涉及存取敏感數據，他們的異常活動很難被僅依賴於權限等級的傳統安全模型所識別。

 

隱蔽的運作模式：緩慢滲透與長期潛伏

羅賓遜的研究強調，惡意內部人員的運作方式與外部攻擊有著根本的不同。他們的活動特徵是緩慢展開和長期潛伏，而非單次快速突破：

• 時間跨度長：內部活動可能會在數月內緩慢展開，攻擊者利用其合法身份，逐步收集或準備外洩數據。

• 低噪音行動：由於對內部系統的熟悉，他們能夠利用系統自帶的合法工具或通道（如電子郵件、雲端同步服務）進行操作，最大限度地降低數位足跡，使其活動看起來像正常的業務操作。

這種長期、隱蔽的運作模式，使得企業難以在傷害發生前及時偵測和阻止。

 

偵測的關鍵挑戰：日誌與可見性缺陷

羅賓遜的研究明確指出，現有安全系統在偵測內部威脅方面存在的結構性缺陷，主要集中在數據的持續可見性與保留上：

• 日誌保留時間不足：大多數公司往往不會保留足夠長的日誌數據。由於內部威脅活動的緩慢展開特性，如果日誌數據在幾週或幾個月後就被刪除，安全團隊就無法了解全貌，無法追溯攻擊的起點和整個過程。

• 缺乏持續可見性：要有效偵測內部威脅，必須對用戶在網路、系統和數據上的活動保持持續、高密度的可見性。如果沒有這些基礎數據，後續的行為分析和調查工作就無從談起。

羅賓遜強烈主張，組織必須實施：提高持續可見性的政策，並延長日誌的保留時間，以便為調查人員提供足夠的數據來重建事件時間線和識別惡意意圖。

 

應對策略與行業啟示

這1000個真實案例所揭示的數據，為組織轉變內部威脅防禦策略提供了實證依據：

1. 正視高權限風險：實施專門針對高權限用戶的**用戶與實體行為分析（UEBA）**模型，重點偵測他們存取與其職務不符的敏感數據、或在異常時間進行數據存取的行為。

2. 數據基礎設施強化：將日誌保留政策與內部威脅的實際生命週期相匹配，確保關鍵活動日誌的保留期足夠長，以支援長期的鑑識調查。

3. 打破秘密文化：像分享勒索軟體和國家級攻擊的訊息一樣，業界需要建立集體學習與分享內部威脅案例的機制，將這個「見不得人的秘密」轉化為共同進步的動力。

總結而言，內部威脅是信任被濫用的結果，其複雜性在於攻擊者擁有合法的鑰匙。唯有透過深入理解這些真實案例背後的TTPs，並從根本上強化持續可見性和數據保留，組織才能有效減輕這個隱藏的、且常常來自高層的重大風險。

資料來源：https://www.darkreading.com/insider-threats/inside-the-data-on-insider-threats-what-1000-real-cases-reveal-about-hidden-risk