内部威胁正在以一种重要的方式卷土重来。

根据Mimecast发布的《人类风险状态报告》，42%的组织在过去一年中经历了恶意内部事件的增加，同时42%的组织首次报告了疏忽事件的上升。

报告进一步指出，组织每月平均经历六起内部驱动事件，预计每起事件的成本为1310万美元。此外，66%的2500名受访的IT安全和IT决策者预计，未来12个月内与内部相关的数据丢失将增加。

Mimecast首席信息安全官Leslie Nielsen在宣布公司研究结果时表示：“内部风险已成为当今组织面临的最重要和被低估的威胁之一，这不仅是因为它造成的数据丢失，还因为攻击者越来越多地利用内部人员作为绕过周边防御的故意切入点。”

他补充道：“数据显示，造成事件的原因既有粗心的错误，也有故意的行为。组织需要的是适应性控制，这些控制能够识别高风险行为并实时调整保护措施，在有人访问不该访问的数据时制造摩擦，无论他们是否拥有有效的凭证。随着人工智能使内部人员更容易大规模外泄数据，安全措施必须在风险点与用户相遇。”

内部威胁继续分为两大类。一类是恶意内部人员，他们明知故犯，意图造成伤害。另一类是组织中的成员，他们的影响行为可能是意外或疏忽，或在某些情况下被恶意外部人员操控。

根据Forrester Research的《2025安全调查》，在过去12个月内，22%的数据泄露是由于内部事件造成的。其中，47%是由于滥用或恶意意图，32%是由于无意的误用或事故，21%则涉及两者。

这些类别涵盖了广泛的活动，Forrester的副总裁兼研究主任Joseph Blankenship表示。例如，非恶意的内部人员可能会不小心将受保护的数据发送给未授权的人，或错误地允许数据库公开访问。一个不满的员工可能会主动绕过安全控制，盗取敏感信息以羞辱组织。

尽管这些场景已经存在多年，但安全领导者表示，新的技术、战术和动机正在不断演变，以推动、操控和使内部人员能够实施威胁。

“我的背景来自情报界，我们通过一个成熟的视角研究内部威胁：自我、意识形态和经济。这些动机没有改变。改变的是操作环境以及谁/什么被视为内部人员，”SANS Institute的现场首席信息安全官兼AI安全副总裁Chris Cochran说。

“现在不再只是员工。还有承包商、通过身份欺诈获得访问权限的虚假雇员，以及现在拥有持续特权访问的AI代理，”他说。“一个配置错误的代理是一个永不休息的超级用户。一个被攻陷的代理是一个拥有合法凭证、以机器速度行动的对手。如果它拥有受信任的访问权限并能够操作数据，它就是一个内部人员，无论是有意还是无意。”

Cochran补充道，远程工作的转变也消除了内部风险的物理和心理障碍。“将数据下载到个人设备上并不感觉像间谍行为，而这种轻视正是风险所在，”他说。“再加上经济压力：当公司冻结招聘和压制加薪时，你就有了大规模的有意内部威胁的配方。”

Octave Digital的执行教练兼战略顾问Niel Harper指出，社交媒体的增长也是今天内部威胁增加的另一个因素。

他说，社交媒体平台为外部威胁行为者提供了信息，他们可以利用这些信息贿赂、欺骗或诱使内部人员为其服务。“它们为威胁行为者提供了丰富的信息宝库，威胁集体可以轻松进行开源情报收集，以帮助他们了解谁容易受到敲诈或成为雇佣兵，”他解释道。

在这种情况下，Blankenship表示，恶意行为者通常会指导内部人员如何绕过安全控制并逃避检测。

如今的员工技术更为精通，能够获得强大的数字工具，包括人工智能，因此他们更有能力找到绕过安全控制的方法，专家表示。

“普通员工现在可以成为一个真正高风险的威胁行为者，”Harper说，他还是Hugo的首席信任官，曾担任国际警察组织Interpol的首席信息安全官。

此外，Harper补充道，人工智能本身也可能成为内部威胁，解释说，代理可能失控或被编程为失控。“因此，人工智能改变了内部威胁的范式，”他补充道。

与此同时，现代工作环境创造了新的场景，增加了内部威胁风险，Harper表示。

例如，他说，承包商和外包提供者的使用增加以及人们同时从事多份工作的现象，可能增加恶意和非恶意事件的机会，尤其是由于这些工人数字访问的分散性。

针对公司的黑客行动、极化、意识形态分歧、经济压力和失业恐惧也在推动今天的内部风险增加。

一些这些动态使得恶意行为者能够在公司内部找到工作，从而成为内部威胁，Health-ISAC的首席安全官Errol Weiss表示。这些恶意行为者通常来自朝鲜，他们掩盖自己的身份和位置，以便被雇用为合法角色，通常是在IT领域。常见的手法是工作尽可能长的时间以赚取钱款寄回朝鲜，同时也为在雇主发现他们真实身份时发动某种攻击奠定基础。“他们通过窃取数据或在离职时敲诈雇主来实现盈利，”Weiss解释道。

此外，威胁行为者在尝试让内部人员为他们的肮脏工作服务时变得更加激进，Optiv Canada CISO办公室的执行董事Lina Dabit表示。他们支付奖励给愿意骚扰目标个人或提供个人信息（如个人电子邮件或家庭成员姓名）的人。他们还设置诱饵，比如恋爱骗局，以获取对内部人员的控制。

  “我们一直有恶意内部人员，但现在我们有被胁迫的内部人员，”Dabit说。“我认为，威胁行为者在某个时刻会出现在某人的家中，或某人的孩子的学校。”

与此同时，技术使得促进此类非法活动变得更加容易，她和其他人表示。除了威胁行为者利用社交媒体和其他在线来源收集数据以诱使或胁迫内部人员外，他们还利用暗网与愿意提供帮助的内部人员联系。2026年Accenture网络情报执行摘要《上升的暗网驱动的内部风险》强调，2025年愿意向黑客提供访问权限的内部人员增加了69%，而黑客招募内部人员的数量比2022年激增了127%。

“这个世界比以往任何时候都更加危险，”Dabit警告说，她曾是皇家加拿大骑警网络犯罪调查小组的指挥官。“不要假设威胁行为者群体会整齐地归入国家、组织犯罪、黑客行动等类别。国家和组织威胁群体之间的合作，无论是有意还是仅仅是机会主义，正在发生，组织犯罪、国家和黑客行动之间的界限正在模糊。新兴群体不再遵循声誉规范，威胁环境已变得不再有任何限制，任何事情都不再是禁忌。”

Dabit和其他人建议，组织必须警惕内部威胁。

“你需要有机制来寻找它，”Blankenship说，强调各种安全技术可以检测到异常或未经授权的数据和系统访问尝试，这可能表明存在内部威胁。当然，这些技术还包括所有被认为是标准的安全和数据保护控制。

Dabit还建议安全领导者制定计划，以应对如果怀疑或发现内部人员无意或恶意造成伤害时的反应。

他建议首席信息安全官与首席法律官和人力资源负责人合作，识别可能成为内部威胁的员工，例如那些即将被解雇或不满的员工。

Harper建议定期进行员工背景调查，对高管和有敏感信息或系统访问权限的员工进行更严格的调查。

Cochran表示，大多数安全团队在应对今天的内部威胁方面还有很多工作要做。

“我与许多首席信息安全官交谈时，他们并不觉得自己能在严重损害发生之前检测到内部威胁，”他说。“需要改变的是，从被动、技术导向的程序转向集成程序，这些程序将行为信号与技术遥测结合起来，关键是组织需要将内部风险框架扩展到非人类/代理身份，采用与人类员工相同的严格标准。”