内部威胁(insider threat)是担当恶意黑客(hacker)的
企业、
机构或
组织的员工或官员,他们也叫
破解者(cracker)或
黑帽(black hat)。
恶意活动通常分四个步骤或阶段进行。首先,破解者进入系统或网络。然后,破解者为了了解易攻击处和可以花最小力气造成最大伤害的位置而调查系统或网络的本质。接着,破解者建立工作区,恶意活动可以在其中进行。最后,实在的毁灭性活动发生。
由内部威胁(insider threat)引起的伤害可能采用多种形式,包括采用病毒(
virus)、蠕虫(worm)或木马(
Trojan horse),偷盗信息或企业秘密,偷盗钱款,毁坏或删除数据,变更数据来产生不便捷或错误的犯罪证据,并且盗窃企业内部的个人身份。防止内部威胁涉及到类似于针对互联网用户的保护措施,如运用多种间谍软件(spyware)浏览程序、反病毒程序、防火墙(
firewall)和严格的数据备份(backup)和归档(archiving)惯例。
现在计算机中两个最具潜在危害的应用是Web浏览器和电子邮件客户端;它们通常是恶意软件最常见的切入点。企业可以采取步骤来限制这些应用的功能,但这样做也会影响合法功能,从而也会影响关键业务流程。
因此,一种解决方案是在独立的虚拟机中运行危险的应用。每次启动应用时,它会在独立的VM中运行。如果它是恶意的,任何感染只会发生在VM中,不会对主机操作系统造成破坏。当该应用关闭时,VM也会被关闭,任何有害活动都会受到控制。在这种情况下,系统只会在短时间内在受控环境中受到感染,并没有任何长期影响。此外,这种解决方案对用户没有影响,并会显著影响攻击者造成破坏的能力。
在很多情况下,用于感染内部人员的活动通常围绕可执行附件、Office文档中的宏以及HTML嵌入式内容。大多数企业并不需要这种允许来自互联网的活动。因此,秉着最小特权的精神,如果企业不需要这种活动,就应该阻止。战略性地阻止一小部分有害活动可以积极地控制攻击者带来的破坏。
阻止某种类型的所有文件,虽然有效,但并不总是可行,因为用户可能需要使用文件。因此,另一种方法是沙箱或过滤某些活动,同时允许合法活动。现在存在有效技术可以对附件内容进行分析,甚至将其在沙箱运行以检查其行为;如果它是恶意的,就会被阻止,而如果是合法的,就会允许通过。这让企业可以更灵活地过滤内容,但限制了阻止运行业务所需的正常活动的影响。
攻击者通常是诱骗用户运行看似合法的可执行文件,但实际包含恶意内容,从而执行攻击。企业可以通过应用白名单等技术来控制和验证可执行文件,从而最大限度地减少有害内容进入系统。