【51CTO 5月13日外電頭條】企業中多達80%的惡意攻擊是由內部員工引起的——至少根據我在互聯網上見過的統計數據是這樣。然而，這個數字似乎比我在過去二十年的工作（IT管理和顧問）經歷中見過的高出很多。保守估計，在100個安全事件中，我發現只有少數事件是由內部員工引起的。

由于這些統計數據的出現，我想知道到底內部威脅問題是真的那么嚴重，還是我的經驗是錯誤的。也許公司在出現內部問題之后，都不愿意雇傭公司外部的安全顧問。在我研究內部威脅的時候（我要寫一篇關于這方面的文章），我才發現內部威脅的情況是多么嚴重。當你把各種能夠損害企業的內部員工因素（不管是故意的損害還是無意的損害）都包括在內的話，那么80%這一數字就說得通了。

在內部威脅方面，2009年CSI計算機犯罪調查也許是最權威的報告之一，該報告指出內部人員占到了惡意攻擊的43% ；25%的受訪人員表示超過60%的損失是由內部人員非惡意的活動所引起的。我閱讀過許多損失評估報告，這些報告指出，盡管內部人員引起的事件比外部人員少，但是內部人員所引起的安全事件通常會導致更大的損失。因此，CSI的數據似乎是可信的。

2009年Verizon的數據泄漏報告（另外一個正變得越來越權威的統計渠道）把與內部人員有關的數據泄漏所占比例限定在20%。這個數據只是來自Verizon團隊所調查的事件，但其樣本數量跟CSI的調查差不多。

很明顯，這兩個報告的樣本數量都相對較小，只有幾百個。為了達到一千萬條記錄99%的統計信任度，你需要一個數量為1849的樣本。但是這兩個調查已經是我們能夠擁有的關于內部威脅事件最好的消息來源了。

Verizon的那個20%令我驚奇，但是這個調查補充說，另外32%的攻擊可以歸咎于受信的合作伙伴，我認為這與內部人員幾乎一個意思。這使得Verizon的數據范圍在20%到52%之間，如果數據是真的，那么在這個范圍內的每個數據都很令人吃驚。該報告還指出，到目前為止，最終用戶和IT管理員都可能是內部數據泄漏事件的罪魁禍首，而且兩者的數量勢均力敵。

老實說，我曾經認為那些心懷不滿或者被炒魷魚的管理員威脅更大，但是事實證明，普通員工也很樂意進行數字犯罪。該報告還指出，三分之二的數據泄漏事件是由于內部員工故意造成的。

如果我們把沒有惡意企圖的用戶加進來的話，包含內部人員（故意的或者無意的）的惡意攻擊百分比可能至少是80%。現在，大多數惡意攻擊都會使用社交工程木馬，欺騙人們安裝惡意軟件。如果把這種不知情的同謀活動也算在內的話，那么內部人員要對每次使用垃圾郵件或釣魚軟件成功破壞外部防護的事件負責。

根據微軟安全情況報告8（Microsoft Security Intelligence Report 8），在2009年第四季度中80%被監測并清除的惡意軟件要想成功進行攻擊都需要一定程度的人為行動作為同謀，比如安裝木馬、間諜軟件，或者下載器等。計算機病毒(即能夠自我復制的代碼)需要有人進行最初的運行。如果那些利用代碼以及蠕蟲病毒的攻擊是由于缺乏補丁之類的東西而成功的話，那么我認為用戶并不應該受到指責。微軟公司的這份報告甚至沒有討論那些由垃圾郵件、魚叉式網絡釣魚（spear phishing）、故意使壞以及配置錯誤等引發的攻擊。

就個人而言，我想我在職業生涯中可能花太多的時間去關注外部攻擊了。無賴員工時不時的就會成為新聞頭條，雖然其數目不像外部攻擊那么多。也許，黑客或者病毒攻擊聽上去要比不誠實的員工更聳人聽聞。

現在，我重新認識到了來自內部的威脅也不能忽視。即便是最低的20%，也意味著需要我們一直付出至少五分之一的精力去防范我們的同事和朋友。

如果你對內部攻擊的檢測和預防感興趣的話，我不久還將發表一篇這方面的文章，而且我會把那篇文章的鏈接放在我的博客里。

1. 企業應如何防范內存抓取惡意軟件
2. 企業防火墻：性能遠遠超過其安全功能
3. 發達國家是怎樣重視網絡安全的
4. Google的云計算，你真的安全嗎？
5. 自己動手打造公司內網監管利器
6. 利用HTTP-only Cookie緩解跨站點腳本攻擊