平均需85天才能控制住内部人安全事件（2020年为77天）

　　1月25日，企业安全公司Proofpoint发布针对1000名信息技术和安全专业人员的调查报告。报告显示，2021年企业在处理内部人威胁方面平均花费1540万美元，比2020年增加34%，并且平均需要85天才能控制住安全事件。

　　波耐蒙研究所受Proofpoint委托进行了这项调查，录得6803起内部人安全事件，其中包括由员工疏忽、恶意内部人和外部黑客盗取凭证引发的那些。由于疫情期间公司加速向云服务迁移，凭证盗窃也成为了更常见、代价更高的内部人威胁，其发生频率几乎比上一年翻了一倍。

　　Proofpoint网络安全战略执行副总裁Ryan Kalember表示，转向远程办公和云服务已经改变了公司警惕内部人攻击的方式。

　　“员工和雇主的关系不同，你用来识别这些事件的技术控制措施也不一样。都不到同一间办公室上班，自然也就用不到经典的内部人风险计划要素了。大家整天通过Zoom在线开会的时候，你可没法说出‘那人的表现好奇怪’这种话。”

　　基于278家公司的样本，调查发现，内部人攻击给北美企业造成的损失最大，该地区企业平均每年因此付出1750万美元；而就行业而言，金融服务行业的内部人威胁成本最高，每家公司平均花费2130万美元。

　　总体而言，内部人威胁成本中43%是员工疏忽造成的，27%源自恶意内部人员，30%出自凭证盗窃。最常见的内部人安全事件，即员工疏忽造成的事件，占所有内部人事件的56%，但平均修复成本最低（约48.5万美元）；而最不常见的内部人安全事件类型，即凭证盗窃引发的事件，占事件总数的18%，但造成的损失最多（80.5万美元）。

　　波耐蒙研究所总裁兼创始人Larry Ponemon在一份声明中表示，内部人威胁事件的频率和平均成本均随时间流逝而增加。

　　“我们可以看到，随着越来越多的用户从办公室范围之外访问业务数据，恶意内部人威胁的风险也在不断增加。远程办公环境下，安全团队可能不太容易识别和区分善意员工和试图窃取敏感业务数据的恶意内部人员。”

用户凭证窃取

　　员工凭证盗窃依然是最主要的威胁，这一点或许并不令人惊讶。

　　受访安全专业人员中，超过一半（55%）认为员工有效凭证遭窃取是最主要的问题，大约四分之一（24%）担忧恶意内部人员，五分之一（21%）忧虑粗心大意的员工。

　　Kalember表示：“如果哪个员工的凭证脱离了掌控，尤其是VPN登录凭证之类的东西，那简直就是一场噩梦。这不算是传统的内部人威胁，但由于VPN在全球化劳动力时代的重要位置，被黑内部人造成的事件才让人更加痛苦。我们很难靠这些合法凭证弄清楚用户都拿它做了什么，也就很难确保数据没有丢失。”

　　恶意内部人威胁的常见程度仅次于凭证窃取，其所需缓解成本也是第二高的。恶意内部人一般会利用电子邮件来盗取敏感信息。大约三分之二的受访者表示，电子邮件含有最敏感的数据，比如个人可识别信息（PII）和知识产权。电子邮件也被用于渗漏数据：大约四分之三（74%）的受访者认为，恶意内部人使用电子邮件向第三方发送敏感数据。

　　报告显示，事件平均缓解时间为85天，超过半数的公司需要一到三个月的时间来解决内部人攻击。只有12%的公司能够在一个月之内缓解内部人事件。

　　调查数据表明，大部分公司主要采用数据防泄露（DLP）工具、特权访问管理（PAM）软件和用户及实体行为分析（UEBA）系统来缓解内部人风险。大约三分之二（64%）的受访者使用DLP系统防止访问和渗漏敏感数据，60%的受访者则使用PAM软件严格管理特权账户。

　　业务中断占事件成本的近四分之一（23%），而技术占21%。

　　ProofPoint内部人威胁信息图：点击查看

参考阅读

[调研]员工疏忽已成内部安全事件的主要原因

十年：内部威胁导致的十大损失事件

数据泄露不要怪罪员工 非恶意泄露才是常态

网络犯罪团伙竟然邀请内部员工帮忙植入勒索软件