根据Forrester于2021年12月发布的内幕风险报告以及2022年RSA大会公布的相关数据，59%的组织关注外部威胁大于内部威胁， 58%的组织没有专门针对内部风险管理的团队，39%的组织相关预算匮乏且38%的组织缺乏相关内部威胁管理的技术能力。于此同时，70%的企业组织完全没有应对内幕风险的管理策略，而且29%的组织根本不认为内部人员威胁更大，可是现实是过去12个月内59%的安全事件均由企业内部人员引发。

以资产为核心的威胁发现在数据泄露事件不断、员工泄愤报复频发的背景下变的捉襟见肘，而对于只关注恶意员工与恶意行为的传统内部威胁管理模式，也无法应对当前诸如非恶意误操作高发、离职员工转移数据的新型风险场景。安全已经不再像早年的网络安全充满了激烈的形式化攻击对抗，当前企业组织网络与数据安全防护的态势趋于静默环境下的资源和信息争夺的实质性对抗，其核心在于既定安全预算下如何保持合理的风险敞口以获得管理效率，既不能置安全于不顾，但又不能过度防护。当前很多企业的安全团队对组织的综合风险，尤其是全体内部员工的风险依然缺乏准确的把握，甚至很低的认知。组织内人力资源、法务、公共关系团队也往往无法从总体安全的角度把握员工在职期间、离职后的连续合规性，所以传统依赖围绕信息资产防护的思路，俨然难以应对围绕员工行为的各类风险。

内幕风险管理的理念应运而生，其包容评价了不同主观意识状态下员工的行为风险，整合了管理流程，并通过持续安全意识教育保证闭环，引导并修正人员的行为，提出了围绕自然人主体威胁发现与风险管理更加普适的模型。基于风险管理进行的安全活动，持续性监控、分析、处置相关风险，其综合了资产与安全，以保护相关业务与资产的价值处于受控状态。

而内幕风险管理正是在风险管理框架内，纳入安全领域涉及的威胁监测、漏洞发现、基线维护、应急响应，从内部人员这一关键角色出发，在包容传统资产威胁管理的基础上，将技术和管理于内幕风险的场景下进行了深度融合，其进一步整合人力资源管理、关公关系管理、安全意识培训等要素，闭合风险管理流程，解决资源与风险错配的问题，以提升安全管理效率。

一、内幕风险的定义

传统的内部威胁监控的思维是以资产为中心，通过叠加安全技术，不断搜集数据，进而分析安全问题。其客体上关注软、硬件以及应用等资产的脆弱性、异常参数，主体上聚焦发现特定的恶意人员及其恶意行为。在内部威胁方面，其关键功能在于发现我们经常提到的“内鬼”，即具有内部权限和优势信息，但尝试非法利用的合法员工。

而内幕风险管理的思维是以人为中心，在传统威胁监控的基础上，纳入监察的能力，通过融合安全技术与人员行为，关联人的背后动机，进而进行全体员工的行为分析和风险发现。所以其不但分析发现主观恶意的人员，还会分析主观无恶意但是客观已攻陷、以及主观缺乏安全意识但客观误操作诱发风险的人员。从员工主体上，内幕风险拓展了对员工主观意识的分析和管理范围，合理的综合考虑了最广泛的合法员工的不安全、违规行为。而从逻辑上，正如Gartner和Forrester对内幕风险与内部威胁的定义一样，并非所有的内幕风险最终演变成内部威胁，但是所有的内部威胁绝对源于内幕风险，两者的对比如图1所示。

值得注意的是，Insider一词于两类场景下，绿盟科技采用了不同的翻译，既考虑了其本身“内线、内鬼”的含义，也考虑了需要同国内既往翻译习惯加以区分，即安全领域一直将“内鬼”归为内部威胁，Insider Risk不能等同于Internal Risk。

图1 内幕风险与内部威胁对比

二、内幕风险动机与威胁分类

Gartner以及Forrester两家机构针对内幕风险的威胁源，以用户为基准参数，整体划分成粗心用户、恶意用户以及失陷用户三类。相关用户类型以及用户动机如图2所示。其中失陷用户是指在其主观未知的情况下，账户被窃权、控制，从而被攻击者利用，其定义与拒绝服务攻击（DOS攻击）中的Bot即“肉鸡”较为类似，但不同之处是纳入了用户作为“自然人”的主观因素，而超越Bot一般只针对受控终端的客观“物”的范围。值得注意的是，根据Gartner的数据，粗心用户因为缺乏安全意识以及偶然的误操作带来的安全事件概率高达61%，远高于我们一般关注的外部攻击的失陷用户风险发生概率14%，这也成为内幕风险管理必要性的关键，也是区分内幕风险与内部威胁的基础。

图2 内幕风险用户动机与威胁分类

我们若单独以离职员工为例，其离职前可能带来的威胁包括数据破坏、泄露、越权复制和使用，甚至于系统植入逻辑炸弹，在离职后于条件满足时触发，其主观既可以基于恶意，也可能源于公司缺乏明确管理制度下的思维惯性。传统的内部威胁管理并不关注后者，尤其是针对数据复制的场景，很多员工主观虽然无恶意，但习惯性离职前拷贝既有数据，用以支持自己到新公司履职后工作开展。匹配至员工角色，销售人员可能带走详细的公司客户名单以及合同，而软件开发人员会大批量复制代码和产品信息。所以公司应当明确管理规定，而且需要以可以明确获知、理解的方式事先约定相关行为的授权范围、合规性等问题。

此外，传统的内部威胁管理更不跟踪员工离职后的行为，但是公司于此处存在两类非常高发的风险，一类为离职员工权限未及时全面解除，该离职员工还可以访问部分系统、数据，进行违规操作；另一类为员工故意规避保密、竞业履约责任，引发公司商业秘密泄露或技术竞争力与先进性，从而造成损失。后一类风险往往依赖公司人力资源管理和法务团队，但很多公司组织对于离职员工的履约行为跟踪能力和资源配备有限，更缺乏与安全部门技术团队的密切合作，成为内幕风险爆发的高危节点。

三、内幕风险治理框架

   在定义内幕风险的基础上，Gartner于内幕风险管理方面提出了C.A.R.E模型，即Contain（遏制）、Access（评估）、Resolve（处置）、Educate（教育）四步。

其中于遏制阶段，需要实现用户、设备、网络实体高危行为的监测，并于相关行为出现时，触发安全策略，可以通过限制准入、限制网络、禁用USB接口、锁定设备、停止应用与数据同步的方式防止过度风险暴露；于评估阶段，持续监测评估，关注数据泄露事件的指征，于此环节完成行为分析、风险评估、既往分析、基线建立；于处置阶段，启动数据泄露事件进行响应，并解决问题，实际涉及违规用户的关键必要操作，管理层和人类资源管理部门、法务部门的事件升级流程；而于教育环节，主要落实并培养员工安全意识，降低未来的暴露风险，所以实际工作包括指定用户定制化培训、政策与协议下发确认流程。内幕风险管理框架下的安全意识培训具有及时性和针对性，异于传统的安全意识培训，因为内幕风险管理基于人的行为，也目的在于修正人的行为。

绿盟科技在C.A.R.E的基础上，纳入了ISO 31000风险管理框架，融合了风险监测于评审、风险沟通与协商的流程，保证风险管理流程的闭环。而鉴于内幕风险管理关注组织核心价值，既囊库了传统资产为核心的理念，也纳入了“人”的新的要素，所以在风险管理的基础上，我们进一步融合GRC框架，联合了治理、合规要素，在考虑企业组织风险顶层战略要求下，关联组织愿景、文化、影响的要素，形成内幕风险治理框架，如图3所示。

图3 内幕风险治理框架

此外，企业组织于内幕风险管理落地的过程中，鉴于员工主观的恶意与否，既会于技术层面影响实际用户画像的逻辑和效果呈现，又会于后续风险处置层面影响责任划分，所以为了保持公司组织对外举证司法流程衔接的效率，我们进一步将本文第二章节中涉及的粗心用户、恶意用户、失陷用户进行了主观罪过和关联责任的映射，以弥补Gartner于此方面的分析不足，如图4所示。其中直接故意的主观罪过程度最高，而意外事件往往不涉及主观恶意。对应在经过客观方面评价后，确定承担责任或是满足客观有罪要件的情况下，在主观罪过的评价过程中，主观罪过越高对应的责任承担也会越高，而其往往企业组织要求证明相关员工的责任也会越重。

图4中，直接故意是指明知自己的行为会造成危害结果，积极采取行动，希望和追求该危害结果的发生的心理状态，如直接攻击、植入逻辑炸弹；间接故意是指明知自己的行为可能会造成危害结果，但放任结果的发生，有可能涉及不作为的状态，如明知自己的账户口令被盗用，但离职不报任由情况恶化。粗心用户的责任介于中间，主要源于其职责潜在包含了保护、通报等义务，虽然其外在形式上往往较恶意用户的行为更不具有攻击特性，但并不意味着行为结果影响小，而且往往会被惩罚。此外，从责任层面，需要注意失陷用户有转化为粗心用户的通路，其主要源于该用户的工作职责涉及对应资产、数据的保护义务，虽然其在未知情况下被利用或被攻击，并不必然免责。

图4 主观罪过与用户分类映射

四、内幕风险检测处置与跨组织联动

   根据内幕风险监测主体的特性，技术方面于基础需要建立对于员工行为的数据搜集和分析能力，完成风险分析并关联后续联动处置，相关内容如图5所示。依据数据流转结构，在靠近用户侧能够收集用户数据、建立行为基线，并不断训练形成行为风险模型。在此基础上，于中间层关联用户的行为，实现各类风险、威胁的元数据库匹配，全面分析本地、云端各类资产与此员工行为的风险关系。在风险管理的框架下，对于超越安全基线和阈值的行为进行告警，联动SOAR（安全编排自动化响应）进行阻断，防止风险蔓延的事件影响扩大。

图5 内幕风险检测处置流程

同样以离职员工为例，为保持内幕风险管理的有效性，除常规解除各类权限操作，员工离职流程发起后，组织需要启动回溯离职前一段时间（数周或数月）内指定员工行为的审计流程，通过UEBA（用户和实体行为分析）关联身份、权限、操作，发现越权操作、数据外发、非公司业务必要的大规模拷贝、“蚂蚁搬家”式分批次全库复制等违规和异常行为。组织同时应该在员工离职后至少几周内继续监控其活动，在不侵犯离职员工隐私的情况下维持有效的风险管理，建立取证审计追踪的管理流程，并在合适的情况下，引入专业外部第三方资源，落实回溯审计的职能。

图6 内幕风险管理联动

内幕风险管理除于技术层面建立完善的闭环检测响应系统，而管理层面需要设立职责分离、最小权限等流程，并在技术与管理结合的基础上，进一步纳入电子取证、证据链保全、法务支持等相关职能，确保有效的联动处置内幕风险引发的安全事件，如图6所示。

依然以离职员工为例，离职过程中，人力资源管理部门应尽力倡导维持透明、互信的沟通，离职面谈确保清晰沟通的同时评估员工的态度，降低因为分歧引发的不满甚至报复的概率。于此同时，员工离职后，需要持续针对员工履约行为进行监控，一般包括保密与竞业协议履约行为的跟踪，在合法取证的基础上，维护相关证据的完整性。所以一般依赖法务团队，或是选择专业外包团队，对于离职员工违约行为能够采取及时的沟通、警告，甚至发起司法救济流程，以维护企业自身合法权益。而针对可能引发仲裁、诉讼的员工，维持有效的公共关系和监管机构信息交换和互通，防止因为诸如“员工爆料”、“实名举报”类似的负面事件或是不实信息等影响公司对外形象，造成股价、商誉的贬损。

绿盟科技集团 张睿

参考文献：

[1] Paul Furtado, A New Look at Insider Risk, Gartner,2022.

[2] Paul Furtado, Protection From the Risk Within—Managing Insider Risk, Gartner,2022.

[3] Randy Trzeciak Stop Chasing Insider Threats Start Managing Insider Risk, RSA Conference,2022.