內部威脅的七個警訊
員工對自已的員工發動攻擊，稱之為內部威脅，已更加常見且代價高昂。據CA report指出，超過50%的企業組織，在過去十二個月遭受以內部威脅為基礎的攻擊，而有四分之一的人表示，比過去一年遭受的攻擊更加頻繁。90%的企業組織聲稱感到易受內部威脅攻擊。
內部威脅採取型式可能是偶然無意間洩露資訊的內部人員，配合外部實際利用竊得憑證的冒牌貨，或者就是個想要好處或金錢的惡意內部人員。雖然找出企業內部威脅很難，但有些警訊，可以在事件發生與資料離開網路邊界前，為企業組織提供潛在事件的警告。
這些攻擊代價高昂。據Ponemon指出，成功的惡意內部攻擊，平均成本為六十萬美金。這些攻擊由各種型態與大小形成、來自各類型員工。

內部威脅：是誰？他們要偷什麼？為什麼要偷？
建立潛在內部威脅的風險剖析，重點就是要知道誰可能是犯罪者、他們可能鎖定什麼資料，以及為什麼要偷。這可以讓你更能限制潛在威脅者，並更加掌控易受攻擊資料。
由國家基礎設施保護中心(Centre for the Protection of National Infrastructure)於2013年的舊研究報告發現，內部攻擊多半由31至45歲的男子所犯下。攻擊多半來自正職員工而非承包商或合作夥伴，而犯下大量內部攻擊的員工多半在公司待不到五年。卡內基美隆大學(Carnegie Mellon University)的研究發現，內部人員通常單獨行動，但若是共謀，無論是自願或社交工程所導致，攻擊「將持續單一內部人員所致四倍時間之久。」
發動內部攻擊的原因為何？多半是為了經濟收益。若不是某人為了特定資訊提供一筆錢，就是內部人員深信可以在線上賣掉資訊。有時動機是為了某人輕視他而要報仇。也可能因為收到警告或懲戒或績效考核不佳，或者被升遷或專案略過、獎金年薪意見分歧或遭到資遣，種種的報復。有時是為了職涯上的好處，例如取得客戶合約內容或珍貴的智慧財產權給新雇主。
「對許多人而言，這是他們建立的聯繫，與這能對他們的新工作產生什麼幫助，他們將此視為『他們的資訊』而不是公司的。」Clearswift產品資深副總裁Dr. Guy Bunker如此表示。「所以，他們會備份可能有用的資訊複本：人員名稱、電子郵件、電話號碼、已完成或有機會交易的資訊。」
讓內部攻擊得以成功的常見失誤與問題包括：
●過度的存取權限。
●存取機敏資料的裝置與位置不斷成長，像是行動裝置與以雲端為基礎的產品，這些通常存在公司企業網路之外，難以追蹤與控制。
●觸及網路資料協力廠商數量的增加。
●利用USB這類外部儲存裝置。
●Dropbox這類非IT核准app的缺乏控制。
對於存取的缺乏管理也是因素之一。來自資料控管公司Varonis的報告發現，企業組織內部整體資料夾裡有21%是開放予公司內所有人存取，而至少三分之一的公司擁有上千個機敏資料夾開放給大家。
有鑒於可以輕鬆存取大量儲存裝置與越來越快的網際網路速度，內部人員可以不費吹灰之力就把資料移出站外。Cisco對雲端資料洩漏的研究發現，為期六周的時間內，就有750位惡意使用者能使用390萬份公司組織所屬的雲端系統(每位平均5,200份文件)。
所有型態的資料都有內部威脅風險。CA報告發現，財務與客戶及員工資料這類機密商業資訊最易受攻擊，接著是密碼、個人可識別及健康資訊(兩者皆受嚴密監管)這類特權帳號資訊，再來才是智慧財產權。


內部威脅實例
Edward Snowden 可能是最知名的內部攻擊，承包商洩漏數千份文件，揭露NSA與其他情報機構的運作方式。另一個有名的內部攻擊者 Chelsea Manning，洩漏了大量軍事文件的快取給維基解密(WikiLeaks)。
電動車及太陽能公司特斯拉(Tesla)執行長 Elson Musk 曾表示，發現內部人員「以偽造的使用者名稱，直接更改 Tesla Manufacturing Operating System 的程式碼，並輸出大量高機敏性資料至未知第三方。」
另一個來自汽車世界的例子是 Anthony Levandowski。Otto Motors創辦人據稱從Google的Waymo自動駕駛汽車專案竊取了14,000份文件創立自已的公司。此舉耗費Otto收購者Uber大量成本，並導致Uber交出其營利中的股份給Google。
然而，並非所有內部威脅都鬧得這麼大或上頭條。資安分析公司Interset的技術長 Stephan Jou 見過一位客戶遭受大量內部威脅。「一位員工(現已列於終止名單)拍了一堆專利原始程式碼與其他智慧財產的螢幕擷取畫面，再以電子郵件將這些畫面傳送到他們個人帳號上。」他說道。「同公司，一位不滿的員工以電子郵件寄送500MB的機敏資料到個人電子郵件帳號，並透過分散至三個不同個人電子郵件帳號的動作，試圖隱藏資料洩漏。第三例，不同的員工複製了2GB以上的資料到USB碟上，並電子郵件寄送額外資料到個人電子郵件帳號。」
資安防禦公司Lastline共同創辦人暨技術長 Giovanni Vigna 博士提到，關於時裝設計師遭遇的事件，該公司偵測到通往中國主機的連結，這不尋常。經過調查，發現這個連結是竊取專利設計並於中國生產仿冒品計畫的一部份。
以下是內部人員可能成為威脅的警訊。

一、企業組織重大變遷
雖然潛在內部威脅留下許多數位線索，但在那之前一定有更多明顯實體徵兆。「某個人突然勃然大怒後偷走一切、將硬碟塞滿口袋然後離開的情況很少見。」ZoneFox產品管理副總裁暨資安分析 Dr. Jamie Graves 表示，ZoneFox是今年稍早被Fortinet收購的行為分析公司。「通常，在攻擊前，會有些企業組織變遷或事件。最常見的是，若你的企業組織經歷重大變革，你們不是被收購，就是會裁員。」
「若你深究，會找出何以如此的理由。可能會有個徵兆，接著當你問組織裡的人，他們表示：『喔是的，Bob快被裁員，或是他沒通過審查等等』你就得做好準備，開始監控某種「惡意」行為模式。」 Graves說道。

二、性格與行為的改變
性格與行為模式的改變會是潛在內部威脅的第一徵兆。可能他們很明顯直言不諱在工作上的不開心或缺乏動力，或者談到金錢上的麻煩，或者在辦公室裡公然反對主管。工作超時、周末工作，或越來越常從家裡或遠端位置工作，也會是指標。
公開說公司的壞話或討論找新工作的事，無論是在辦公室裡、在公司聊天系統裡還是在社交媒體上，都應被是注意的警訊。「若你用 LinkedIn Recruiter，就能在你員工『Looking for New Opportunities』選項裡的選擇，知道他是否在找新工作。」網路安全訓練公司 Crucial Academy 中領導網路安全的顧問及訓練與開發主管 Tom Huckle如此表示。「若無法看到這些內容，還可以從其他地方發現露出端倪的徵兆，包括他們透過按讚與留言參與了社交媒體上的可疑社團。」

三、員工離職
那些離開公司的人，無論是否自願，很可能考慮把資料帶走。大部份內部人員智慧財產的竊取都發生在離職員工離開組織的三十天內。值得留意的還包括有忽略安全性協議前科必須嚴密監控的員工。另一份Deloitte的研究發現，有一半已知涉入內部攻擊的員工，先前就有過違反IT安全性政策的紀錄。

四、內部人員存取大量資料
若錯過行為警訊，仍有數位線索可以知道某人可能正在考慮惡意行為，與內部人員正進行攻擊的清楚警告。「內部人員不再列印、拍照，或從辦公室移除大範圍實體文件。」Blackstone Consultancy 的情報分析師 Tom Tahany 說道。「更準確地說，從遠端位置快速分散，下載線上儲備裝置裡數TB的資料，只要幾分鐘就能完成。」
這種大量資料存取與下載的動作不是警訊，而是遭到內部威脅的確鑿罪證。通常發展到確切外洩前，會有數位面的警告通知有事情可能即將發生。

五、未授權內部人員試圖存取伺服器與資料
許多內部人員會先通過偵察階段，在那裡探索他們想存取的資料與系統。「授權使用者試圖存取他們不該存取的伺服器或資料、授權使用者存取或要求存取與角色及職權無關的資訊，以及盜取授權使用者憑證，都是警訊。」Attivo Networks首席詐欺長Carolyn Crandall解釋道。
「無論授權員工只是到處翻找他們不該太好奇的地方、還是授權員工懷有惡意存取伺服器或資料導致傷害或偷取資訊，或者外部攻擊者得到授權使用者的合法憑證，以上任一活動被偵測到都是警報的理由。」Crandall說道。

六、授權但異常的內部人員存取伺服器與資料
其他線索可能還包括存取的網路或檔案範疇，他們擁有需要的特權但絕非日常作業中一般會存取的、或短時間修改大量檔案、或比之前上班待更晚更早到或在周末遠端存取系統，或者重複嘗試(而且失敗)存取他們不被允許存取的領域。建立正規行為模式並標記異常，對這種狀況而言非常重要。

七、試圖移出資料
最後一步就是實際竊取資料。這裡指的包括所有大量下載至USB碟這類外部儲存裝置的動作、大量上傳至Dropbox這種個人雲端app但公司並沒有使用這類服務，或是大量的大型附加檔案電子郵件寄到公司外面。
USB依然是移動大量資料集並留下最少數位足跡不可或缺的選項，因為遠端半夜下載的行為很不尋常。Cisco雲端資料外洩研究發現，有62%可疑下載發生在正常工作時間之外，有40%在周末執行。雖然數GB或TB的資料已屬於可疑活動的確切罪證，但要切記，機敏資訊也可以存在少量資料裡。
「信用卡是0到9的12位數字，6位元組就能輕鬆儲存。」Contrast Security 的技術長暨共同創辦人 Jeff Williams 說道。「這代表十萬張信用卡只要60KB就放得下、一百萬也只需要.6MB。你可以將資料輕鬆藏在照片或文件裡，永遠不會有人發現。」

維持員工信任
然而，一定要切記企業與員工之間必須存在信任。一個異常動作不代表那個人有罪，例如某個員工可能只需要一個月甚至一季存取一次某個檔案或資料夾，繁頻指控員工惡意行動會影響士氣。專案期限要到了，也可能導致員工工作時數拉長或周末也在工作。
「單一個這樣的警訊，或許不是惡意內部人員的微兆。」Gillware Digital Forensics領導調查與合作夥伴Nathan Little表示。「但你同時勤於監控這些警訊，模式與行為會更明顯。」

能見度與監控是關鍵
雖然沒有單一技術可能完全保護免於內部威脅，但結合資料外洩防護專案(DLP)、加密其他資料、靜止資料加密(encryption at rest)、身份識別與存取管理(IAM)、行為分析、特製事件記錄與事件管理，或許再加上蜂密罐檔案這類技術，可以降低資料被帶出網路之外的機會。「企業組織有必要實施強健、眾所周知的潛在內部威脅回報處理程序，並且讓人為與技術防禦並行。」美國智庫 New America 的網路安全政策研究員 Justin Sherman 表示。「員工應存取為了有效執行職務所需的內容，這樣就夠了。」
預防勝於治療，防止資料逃脫網路之外的最佳方式之一，就是建立人員風險剖析，針對企業組織裡那些可能有風險的人。部門間合作、協調與溝通，是有效內部威脅管理專案的關鍵。
「人資部門對個人的瞭解與識別總存在著一種錯位。」Varonis的銷售工程主管Matt Lock說道。「你要讓人資開始思考，如何在一個人離開，或進行一輪裁員時，辯別安全性。若有這樣的問題，就要把這些特定的人與群組放上觀察名單，提升額外風險等級。」
「SOC分析回報給經理人，並寄發電子郵件給公司員工，告知有些事情他們不應該做，或者由於他們可能想要竊取資訊所以被列入密切觀察名單，也是重要的一環。」Lock補充說明。