根據美國國家標準與技術研究院（NIST）的定義，內部威脅防護計劃是一種檢測組織內部安全威脅早期指標的有效方法，通過集中管理下多種安全能力協同，旨在提前檢測和防止違規敏感信息泄露的發生。內部威脅防護計劃也經常被稱為內部威脅管理框架，主要包括異常行為監控、威脅事件檢測、安全事件響應以及內部威脅防護意識培養等措施。

對于現代企業組織而言，創建并應用一個高效的內部威脅防護計劃具有以下諸多好處： 

• 減少內部攻擊的損失。內部威脅防護計劃可以最大限度地提高組織快速檢測和阻止安全攻擊的成功率，減少內部人員可能造成的威脅和損害。
• 標準、法律和法規遵從性。隨著網絡安全成為國家安全的重要組成部分，各國監管機構都已制定較完善的法律和行業性IT標準、法規，明確要求企業組織加強內部威脅管理，防止相關事件發生；
• 提前發現內部威脅。檢測內部威脅比檢測外部攻擊更具挑戰性，內部威脅防護計劃有助于組織在威脅隱患演變為真正攻擊并造成實際傷害之前發現威脅；
• 快速有效地應對內部攻擊。內部威脅防護計劃應該準確描述緩解內部威脅的具體流程、工具和人員。通過這些制度和知識，所有員工都可以更有效地處理各種可能發生的網絡安全事件。

為了幫助企業組織更好地制定和應用內部威脅防護計劃，安全研究人員梳理總結了在構建內部威脅防護計劃時的重點任務清單：

01制定計劃前的準備 

是否充分做好準備工作，在內部威脅防護計劃能否獲得成功的關鍵，它可以為組織節省大量的時間和精力。在進行計劃準備時，組織需要全面收集并梳理當前的網絡安全措施、需求和涉及人員等信息，并明確定義希望通過該計劃實現的任務目標。

以下是組織在計劃準備時應該做的主要工作：

• 評估組織當前的網絡安全措施；
• 研究組織需要遵守的法律、法規要求；
• 定義內部威脅計劃的預期目標；
• 列出所有和防護計劃有關系的利益相關者。 

02開展內部風險評估

在制定內部威脅防護計劃時，組織首先需要定義出哪些是需要重點保護的敏感資產。這些資產可以是物理方式存在的，也可以是虛擬形式的，比如客戶信息、員工數據、技術秘密、知識產權等。開展內部威脅風險評估是檢測此類資產及其可能面臨的威脅的最有效方法之一。它可以幫助組織形成網絡安全態勢的全景地圖。在開展內部風險評估時，通常會包括以下步驟：

1. 明確潛在的內部威脅來源；
2. 發現網絡系統中已經存在的安全隱患和漏洞；
3. 創建有關高危風險和高價值資產的列表；
4. 確定風險，并評估內部威脅的可能性和優先級 ；
5. 將結果傳達給所有利益相關者，并幫助員工提高風險意識。

03評估創建計劃所需的資源

要制定一個高效的內部威脅防護計劃會面臨很多挑戰，因此在開始之前，要充分認識到實施這種類型的計劃不能僅靠網絡安全部門，還需要多種公司資源的支撐保障： 

• 管理資源：需要獲得組織各部門的認同與支持，并通過管理手段讓其配合、參與制定內部威脅防護計劃；
• 技術資源：計劃要靠先進的工具來保障落地，因此需要部署專用的內部威脅管理軟件，同時重新調整現有的網絡安全解決方案和基礎設施；
• 財務資源：組織需要為購買網絡安全軟件和雇傭專職專家預留充分的資金預算。

通過準備一份必要的資源清單，這樣有助于更好地向公司管理層匯報這個計劃，并且得到其認可。

04獲得高級管理層的支持

在完成以上計劃準備和制定工作后，就應該通過目前所收集到的各種信息，來獲得公司管理層對實施計劃的支持。計劃關鍵利益相關者的名單通常包括首席執行官（CEO）、首席財務官（CFO）、首席信息安全官（CISO）和首席人力資源官（CHRO）。

為了獲得他們的認可和支持，計劃制定者應該準備一個清晰的案例，清楚地表明實施內部威脅防護計劃的必要性和價值，讓其充分了解內部威脅防護計劃如何有效幫助公司各部門實現他們的發展目標。

05創建內部威脅響應團隊 

內部威脅響應團隊主要由負責內部威脅管理各個階段的員工組成。與通常的看法相反，這個團隊不應該只由IT或安全專家組成。它應該是跨職能的，并擁有迅速果斷行動的權力和工具。

在創建內部威脅響應團隊時，需要明確以下工作任務： 

• 內部威脅響應小組的任務；
• 團隊的領導者和團隊內部的管理匯報制度；
• 每個團隊成員的職責范圍；
• 團隊用于對抗內部威脅的策略、流程和工具。 

06確定內部威脅檢測措施

內部威脅的早期檢測是最重要的保護手段，因為它可以實現快速響應并降低補救成本。為了有效地檢測內部威脅，組織需要： 

• 監視每個用戶的活動并收集其系統操作的詳細日志，安全監控有助于安全人員實時審查可疑會話、調查事件，并評估整體網絡安全態勢；
• 管控用戶對敏感資源的訪問。這樣可以幫助組織防止未經授權的訪問并檢測可疑的訪問嘗試；
• 分析用戶行為，發現威脅的早期跡象。用戶和實體行為分析（UEBA）是一款有效的工具，通常使用人工智能算法來分析正常的用戶活動，為每個用戶創建行為基線，并在發現異常行為時通知內部威脅響應團隊。

07優化事件響應策略

為了對檢測到的內部威脅快速采取行動，應急響應團隊必須找出常見的內部威脅攻擊場景。關于內部威脅響應計劃，最重要的是它應該是現實的，并且易于執行。不要試圖用一個單獨的計劃來涵蓋所有可能的情況，而是應該制定幾個具體的計劃，涵蓋最可能發生的事件。一個內部威脅事件的響應過程應該包括：

• 威脅事件分析和描述；
• 技術性和非技術性的威脅指標分析；
• 威脅行為者分析；
• 事件緩解策略和流程；
• 事件分析文檔和說明。

08事故調查和補救措施

為了有效地管理內部威脅，計劃中需要明確規定好調查內部安全威脅事件的程序以及可能的補救活動。事故調查通常包括以下行動： 

• 全面收集和事件相關的各種數據，比如審閱由UAM記錄的用戶會話，以及采訪證人等； 
• 評估事故造成的傷害；
• 為相關的溯源和取證活動充分收集相關證據；
• 在必要的時候，盡快向上級官員和監管機構報告事件，并獲得更多幫助。 

09員工安全意識培養 

要讓內部威脅防護計劃真正落地，必須確保組織的所有員工都能充分了解該計劃的關鍵規則，并提高其整體網絡安全意識。盡管安全意識培訓課程的內容取決于不同組織中使用的安全風險、工具和方法，但是在任何培訓期間都應該確保： 

• 清楚解釋實施內部威脅計劃的原因，并涵蓋最近的內部攻擊案例及其后果； 
• 分享常見的員工內部威脅活動，提請大家注意可能的疏忽和惡意行為，并了解社會工程攻擊的示例；
• 要讓員工知道，如果他們發現內部威脅線索或遇到內部威脅損害時，應該首先聯系誰？ 

需要強調的是，企業要充分了解內部威脅意識培訓的有效性。為此，組織可以采訪員工、準備測試或模擬內部攻擊，以了解員工在培訓中學到了什么，以及在未來的培訓課程中應該注意和改進什么。

10定期檢查并更新計劃 

創建一個高效的內部威脅防護計劃并不是一勞永逸的活動。內部威脅是在不斷變化，其復雜性和危害性也會不斷增加，因此，內部威脅防護計劃也應該不斷優化以保持效率。確保至少在下述情況下檢查您的計劃： 

• 當發生內部威脅事件時；
• 出現新的合規性要求或網絡安全技術；
• 內部威脅響應團隊發生變動；
• 計劃中明確要求的時間點。

參考鏈接：

https://www.ekransystem.com/en/blog/insider-threat-program/