内部安全威胁真实揭露--不只是无间道

　　企业中多达80%的恶意攻击是由内部员工引起的——至少根据我在互联网上见过的统计数据是这样。然而，这个数字似乎比我在过去二十年的工作(IT管理和顾问)经历中见过的高出很多。保守估计，在100个安全事件中，我发现只有少数事件是由内部员工引起的。

　　由于这些统计数据的出现，我想知道到底内部威胁问题是真的那么严重，还是我的经验是错误的。也许公司在出现内部问题之后，都不愿意雇佣公司外部的安全顾问。在我研究内部威胁的时候(我要写一篇关于这方面的文章)，我才发现内部威胁的情况是多么严重。当你把各种能够损害企业的内部员工因素(不管是故意的损害还是无意的损害)都包括在内的话，那么80%这一数字就说得通了。

　　在内部威胁方面，2009年CSI计算机犯罪调查也许是最权威的报告之一，该报告指出内部人员占到了恶意攻击的43% ;25%的受访人员表示超过60%的损失是由内部人员非恶意的活动所引起的。我阅读过许多损失评估报告，这些报告指出，尽管内部人员引起的事件比外部人员少，但是内部人员所引起的安全事件通常会导致更大的损失。因此，CSI的数据似乎是可信的。

　　2009年Verizon的数据泄漏报告(另外一个正变得越来越权威的统计渠道)把与内部人员有关的数据泄漏所占比例限定在20%。这个数据只是来自Verizon团队所调查的事件，但其样本数量跟CSI的调查差不多。

　　很明显，这两个报告的样本数量都相对较小，只有几百个。为了达到一千万条记录99%的统计信任度，你需要一个数量为1849的样本。但是这两个调查已经是我们能够拥有的关于内部威胁事件最好的消息来源了。

　　Verizon的那个20%令我惊奇，但是这个调查补充说，另外32%的攻击可以归咎于受信的合作伙伴，我认为这与内部人员几乎一个意思。这使得Verizon的数据范围在20%到52%之间，如果数据是真的，那么在这个范围内的每个数据都很令人吃惊。该报告还指出，到目前为止，最终用户和IT管理员都可能是内部数据泄漏事件的罪魁祸首，而且两者的数量势均力敌。

　　老实说，我曾经认为那些心怀不满或者被炒鱿鱼的管理员威胁更大，但是事实证明，普通员工也很乐意进行数字犯罪。该报告还指出，三分之二的数据泄漏事件是由于内部员工故意造成的。

　　如果我们把没有恶意企图的用户加进来的话，包含内部人员(故意的或者无意的)的恶意攻击百分比可能至少是80%。现在，大多数恶意攻击都会使用社交工程木马，欺骗人们安装恶意软件。如果把这种不知情的同谋活动也算在内的话，那么内部人员要对每次使用垃圾邮件或钓鱼软件成功破坏外部防护的事件负责。

　　根据微软安全情况报告8(Microsoft Security Intelligence Report 8)，在2009年第四季度中80%被监测并清除的恶意软件要想成功进行攻击都需要一定程度的人为行动作为同谋，比如安装木马、间谍软件，或者下载器等。计算机病毒(即能够自我复制的代码)需要有人进行最初的运行。如果那些利用代码以及蠕虫病毒的攻击是由于缺乏补丁之类的东西而成功的话，那么我认为用户并不应该受到指责。微软公司的这份报告甚至没有讨论那些由垃圾邮件、鱼叉式网络钓鱼(spear phishing)、故意使坏以及配置错误等引发的攻击。

　　就个人而言，我想我在职业生涯中可能花太多的时间去关注外部攻击了。无赖员工时不时的就会成为新闻头条，虽然其数目不像外部攻击那么多。也许，黑客或者病毒攻击听上去要比不诚实的员工更耸人听闻。

　　现在，我重新认识到了来自内部的威胁也不能忽视。即便是最低的20%，也意味着需要我们一直付出至少五分之一的精力去防范我们的同事和朋友。

　　如果你对内部攻击的检测和预防感兴趣的话，我不久还将发表一篇这方面的文章，而且我会把那篇文章的链接放在我的博客里。