我們時刻防備高級外部威脅對網(wǎng)絡的侵襲，但有時候卻忽略了潛伏在內(nèi)部的更大威脅。這種威脅可以進入公司辦公大樓，還有登錄公司網(wǎng)絡的口令。它就在我們中間，設置我們的服務器，配置軟件，甚至設定本應保護我們的防護規(guī)則。安全界似乎并未給予內(nèi)部威脅足夠的重視，我們的網(wǎng)絡經(jīng)常對自家雇員敞開大門，尤其是那些有訪問特權的雇員。

識別：內(nèi)部威脅面面觀
內(nèi)部威脅不是什么新鮮概念。重大網(wǎng)絡安全事件中不少都是源于內(nèi)部人起了壞心思。但我們對內(nèi)部威脅問題并沒有采取太多應對措施。事實上，大多數(shù)安全團隊都只會事后補救而已。難道這是因為內(nèi)部威脅極其難以檢測?或者說，我們僅應付惱人的外部威脅就已經(jīng)疲于奔命了?
內(nèi)部威脅有很多種。最典型的心懷不滿的員工、勒索事件受害者和疏忽大意的用戶都很容易識別出來，但有一小撮可能對公司危害更大的用戶卻經(jīng)常得以逃過審查。那就是特權用戶，或者說對公司網(wǎng)絡上大多數(shù)敏感數(shù)據(jù)和系統(tǒng)擁有無限訪問權的用戶。系統(tǒng)管理員、網(wǎng)絡工程師，甚至CISO都會對公司造成最大威脅。我們對他們有任何監(jiān)管嗎?該怎樣防止來自內(nèi)部的損害呢?
此類威脅有時候真的很難檢測，因為特權用戶是披著合法的外衣在操作。他們通常都知道怎樣避開檢測，也往往直到證據(jù)確鑿才會被懷疑。雖然可能令人意外，但幾乎每周都會發(fā)生涉及特權用戶的安全事件。
比如說，系統(tǒng)管理員把日志文件發(fā)送到家中電腦加個班，或者數(shù)據(jù)中心管理員利用職務之便修改設置，讓無數(shù)服務器幫他挖礦加密貨幣。CISO違反公司策略使用商業(yè)VPN瀏覽不恰當?shù)木W(wǎng)上內(nèi)容也是其中一例。大多數(shù)內(nèi)部人安全事件都是非惡意內(nèi)部威脅：用戶走個捷徑想讓自己的工作輕松點兒，但最終給公司的安全防護開了個口子。
檢測：找不同
無論動機如何，所有內(nèi)部威脅都有一個共同特征：用戶設備開始表現(xiàn)出異常行為模式。而人工智能(AI)技術可以立即發(fā)現(xiàn)并將之標記為威脅。有時候這些偏離設備正常“生活軌跡”的模式會特別明顯。但更多情況下這些攻擊指標太過細微，僅捕捉已知威脅的傳統(tǒng)工具無法覺察。但無論指標有多細微，這些設備與網(wǎng)絡上其他類似設備之間總是切實存在差異的。
當今數(shù)字時代，在不斷膨脹的數(shù)據(jù)海洋里尋找刻意逃避的微小數(shù)據(jù)可謂是真正意義上的大海撈針，幾近不可能。我們的網(wǎng)絡日漸復雜，網(wǎng)絡安全和IT人才缺口卻越來越大，找到新興高效的方法來對抗老問題是唯一的出路。機器學習和AI就長于此道——只要用得恰當。
采用以實時數(shù)據(jù)訓練的真正機器學習技術，可以大幅增強并改進當前日志分析平臺。正如業(yè)內(nèi)大多數(shù)人都知道的，精明的攻擊者知道怎么避免留下痕跡，很多時候他們會修改日志以掩蓋他們的行蹤。日志分析是很強大的工具，但其有效性和準確性取決于所饋送的數(shù)據(jù)。網(wǎng)絡級工具可確保日志分析的準確度，快速檢測日志分析與實時網(wǎng)絡行為之間的不一致之處。
響應：忠實踐諾
如果沒有正確實施所制定的策略，那無論事件檢測有多么快速高效都沒用。必須對特權用戶高標準嚴要求，因為他們可能會對公司造成巨大的傷害。若沒做到這一點，公司遭遇重大內(nèi)部人安全事件的風險會大幅增加。實踐你所承諾的。當然，如果你宣揚的本就是不怎么樣的安全，那數(shù)據(jù)泄露和攻擊也就指日可待了。
但即便擁有了最先進的安全策略和實施機制，人為失誤依然不可避免，而無論惡意還是無意，內(nèi)部威脅永遠不會完全根除。AI網(wǎng)絡防御技術提供了捕獲微小行為差異的絕佳機會，可以在造成災難性后果之前及時阻止正在進行中的攻擊。