什么是内部威胁？

内部威胁是指数据遭到泄露或滥用（无论是意外还是故意泄出）被恶意使用，或是被不应该拥有合法访问权限的个人查看。 

内部威胁是最常见的组织安全威胁之一，它通常是因为普通人的普通错误所导致的。

文章太长不想读？这里有一段关于内部威胁的短视频。

风险有时不大，有时则会非常巨大。之所以有这个模棱两可的答案，因为一个商业机密的潜在破坏性，或许多不起眼的小错误重复出现所带来的危害性，都是可大可小。

有些内部威胁可能会使整个公司倒闭、给人带来难堪和麻烦、威胁客户或业务合作伙伴的安全、耗费资金，甚至让整个国家的安全或关键基础设施面临风险。只需在任何搜索引擎中搜索“内部威胁”，即可看到有十几个美国政府机构在大谈内部威胁的风险：

• 网络安全和基础设施安全局（CISA）
• 国土安全局（DHS）
• 美国国家科学与技术研究院（NIST）计算机安全资源中心（CSRC）
• 联邦调查局（FBI）

即使像我们这样一个相信一切都因开放而蓬勃发展的领先企业开源公司，也对内部威胁胆战心惊。我们的红帽® 企业 Linux®开源开发模型会通过 CentOS Stream 开源社区公开发布，但此前也必须经过多次审查、测试和质量控制流程。

原因在于：出乎许多人的意料，大多数内部威胁并不是因为前雇员怀恨在心而故意制造的。它们通常是由普通人造成的错误，就像您一样的普通用户。

您可能并没有想成为一名威胁制造者。您甚至可能不认为自己会算得上内部涉密人。但是，您每天可以合法访问许多宝贵的信息：知识产权、软件工程流程、企业网络凭证以及公司业绩资料。

正因为此，我们在企业道德培训结束时要特别关注这一问题。尽量不要轻易略过这些问题。要好好想一下，认真地想想。只有这样，才能帮助您在以后更好地发现内部威胁。

• 潜在内部威胁会有哪些迹象？
• 什么情况可能表明存在需要报告的内部威胁？
• 您能发现多少潜在内部威胁迹象？

造成内部威胁的人通常有 3 种：

• 有恶意企图的内部人员 : 主动试图通过窃取或破坏数据或服务来造成伤害或从中受益的人。
• 告密者：认为公司行为有错的人。
• 用户错误：单纯犯错误的人。

此外，还有网络钓鱼。网络钓鱼也是一种社会工程形式，攻击者试图通过欺骗性请求（例如伪造的电子邮件或录用骗局）诱使用户提供敏感信息或个人数据。如果内部涉密人员煽动进行网络钓鱼攻击，那么这就是一种内部威胁。如果煽动者是外部人员（也许在运行恶意软件），则被认为是另一种安全威胁。

安全防护是每个人的责任。安全团队确实可以维护安全策略并帮助每个人更加注意安全协议，但想仅依靠专家来面面俱到地把守是徒劳的。

无论您的公司是否有安全控制机制、计算机应急响应小组（CERT）或内部威胁防范方案，防护系统始终都是到位的。想一想所有地方、州/省、联邦和国际机构所作的网络安全和反垄断指控，这一点就不难看出。

尽管防范内部威胁最显而易见的方法，是设置适合的权限和防火墙以防数据丢失，但一个高效的安全团队包含三部分工作：

• 培训：安全团队可以提供培训，告诉人们如何正确行事或强调日常员工拥有多少权力，以此来减少外部威胁和内部攻击的机会。告诉内部人员许多被标记的报告并不会构成威胁，可以建立一种社区意识，即安全团队是合作伙伴，而不是法官和陪审团。
• 预设安全：这是最简单的安全防护方法 — 全部锁定，将访问设成规则的例外。如果最简单的路线也是安全的路线，一般情况下人们就会更容易做正确的事情。“预设安全”既像是基于角色的访问控制（RBAC），也像最小权限原则，仅授予用户最小权限，供其访问需要的内容。
• 良好沟通：试着让人们与您交谈时感到舒适放松。这样将会鼓动更多的人告诉您实话、事实全情以及（理想情况下）能先发制人的真相。将自己树立成合作伙伴的形象，也就是一个与大家并肩携手，只希望验证工作是否兼顾安全防护的人。
• 谦逊：请记住，犯错是难免的。您不是法官和陪审团，而更像是一个灭火队。您的目标是解决问题，尽量不要在意是否犯了错误。逢错必惩会形成一种恐惧和勉强行事的企业文化，人们往往会等到最后一刻才指出问题所在。

红帽始终携手上游开源社区，不断打造经过强化、测试和可安全分发的企业就绪型软件。通过红帽的企业开源产品，您可以跨混合云、供应链、应用和人员来放心地构建、管理和自动化安全防护。