即使是那些受到雇主信任的內部人員，也會做出一些辜負信任的惡意活動。他們實行惡意行為時，往往會用到一些策略、技術以及過程(TTP)。對于這些已知的TTP，自我定位為內部威脅情報中心的MITRE認為：是時候匯總出一個統一的“字典”了。

二月中旬，在Citigroup Technology、 Microsoft、Crowdstrike、Verizon、和 JP Morgan Chase等多部門巨頭的支持下，MITRE Engenuity的威脅知情防御中心公布了其內部威脅知識庫的設計原理和方法。

惡意的內部人員 “一個獨特的威脅”

在TTP知識庫的努力下，威脅知情防御中心的研發主管Jon Baker在博客中提出了一個所有CISO都認可的觀點：“惡意的內部人員對組織構成了獨特的威脅。”Baker的帖子還表明，重點在于“IT環境中SOC可觀察到的”網絡威脅和活動上。同時，CISO們也聽取Baker的警告，不把重心放在上一個重大內部威脅事件的TTP上。

內部威脅者的14項技術

TTP強調了14個不同的關注領域，其中包括54種針對內部威脅者行為的識別技術：

• 偵查Reconnaissance
• 資源開發Resource development
• 初始訪問Initial access
• 執行Execution
• 持續Persistence
• 權限提升Privilege escalation
• 防御規避Defense evasion
• 憑證訪問Credential access
• 發現Discovery
• 橫向移動Lateral movement
• 收集Collection
• 命令與控制Command and control
• 滲透Exfiltration
• 沖擊Impact

人們通常認為那些受信任的內部人員大概永遠不會暴露到檢測內部威脅的雷達中。然而MITRE的努力卻恰恰證明了：即使是內部人員，如果他們做出一些打破信任關系的行為，同樣也會被檢測到。

內部威脅者常見的策略

該程序的設計原則巧妙地涵蓋了對每個TTP所需技能的評估，并將重點放在實際發生過的，而非那些假設會發生的案例上。他們的研究得出了如下推論：

• 內部威脅者通常使用簡單的TTP來訪問和泄漏數據。
• 內部威脅者通常利用現有的訪問特權來使數據竊取或其他惡意行為更加方便。
• 內部威脅者通常會在滲透前“準備”他們打算竊取的數據。
• 外部/可移動的方式仍是常見的滲透渠道。
• 電子郵件仍是常見的滲透渠道。
• 云存儲既是內部人員收集的目標，也是常見的滲透渠道。

隨后，他們根據這些推論，以“使用頻率”為權重，將“頻繁”，“中等”和“不頻繁”的標簽分配給每個威脅技術，以幫助開發者針對各項技術被使用的可能性進行排序，并確保那些出現頻率較高的技術被覆蓋。而附帶的GitHub文檔則旨在幫助團隊對他們的經驗進行分類。

資源有限的組織應該將注意力集中在“發生概率大”的事件上，并在條件允許時適當涵蓋那些“可能性小”的事件。根據Baker的說法，專注于所有可能發生的事件(盡管不太現實)，雖然具有創造性，但“會導致抵御內部威脅的程序和SOC失去重點”。對此，他引用了Frederick大帝的名言：“捍衛一切的人什么也捍衛不了。” 由此可見，CISO應該采用性價比最高的產品。

關注最有可能發生的內部威脅場景

雖然，國家收買員工的事情很有可能發生，但更有可能發生的是內部的惡意行為。因為這對那些內部威脅者個人以及他們的職業生涯都是有益處的。這些內部的惡意行為包括個人收集信息以支持自己的發展、出售手頭的商品(其雇主的知識產權和商業秘密)，或將信息/數據作為其下一份工作的敲門磚。

創建TTP知識庫和社區的目的主要是確保，“內部威脅者不得再在合法權限的掩護下肆意妄為，以及在內部威脅對組織造成巨大損失或使組織陷入困境之前檢測到它”。這將通過管理流程和應用程序在行業內的共享、網絡研討會以及大型會議來實現。在這些會議上，用例將會被共享，“捍衛者”們也可以進行彼此之間的相互學習。

圍繞著內部威脅的網絡活動數量來設計結構是有意義的，CISO們應最小限度地審查MITRE TTP的適用性，并著眼于確定如何采用該理念，使自己在所有朝著統一方向前進的實體社區中發揮作用，進而挫敗惡意的內部人員。

點評

比起外部的攻擊，內部威脅往往是企業運行安全、數據安全的主要原因。通過識別惡意的內部操作，以及可執行此類操作的人員，企業可以在威脅行為發生之前采取措施。正所謂“知己知彼，百戰不殆”，有效的網絡安全防御措施依賴于對攻擊方戰術、技術與過程的識別與應對。了解對方常用的TTP，并構建靈活的防御措施，可以使安全團隊從被動轉向主動，最大程度地降低由內部人員帶來的風險。