對(duì)于無(wú)休無(wú)止的威脅，我們往往將過多的精力放在了外部威脅上，對(duì)內(nèi)部人員可能造成的威脅卻重視不足。

這可能是一種戰(zhàn)略性的錯(cuò)誤，因?yàn)閮?nèi)部人員的威脅正在上升，而且與高級(jí)的外部攻擊有許多相同之處。安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)能夠以一種統(tǒng)一的方式同時(shí)解決外部人員和內(nèi)部人員威脅，從而在最大程度上減少企業(yè)的總體風(fēng)險(xiǎn)。

　　安全專家普遍感到，內(nèi)部人員威脅比外部威脅更難以檢測(cè)。

內(nèi)部人員擁有網(wǎng)絡(luò)和資源的特權(quán)訪問。內(nèi)部人員不像外部的攻擊者，惡意的內(nèi)部人員不必找到漏洞、開發(fā)漏洞利用和惡意軟件，或者創(chuàng)建隱蔽的通道來(lái)管理攻擊。

其實(shí)，無(wú)論是惡意的內(nèi)部人員還是高級(jí)的外部攻擊者，都可以繞過防御控制。

外部的攻擊者可能針對(duì)的是零日漏洞，并使用可以感知沙箱的惡意軟件來(lái)滲透到網(wǎng)絡(luò)，而惡意的內(nèi)部人員只需用合法的憑據(jù)就可以登錄。

不管攻擊者是否獲得了特權(quán)，內(nèi)部和外部的威脅必須尋找并獲得有價(jià)值的數(shù)據(jù)。無(wú)論是因?yàn)楦腥緪阂廛浖虮撑眩@些活動(dòng)很容易被觀察并與正常行為區(qū)分開。

因而，安全模型必須對(duì)威脅如何進(jìn)入網(wǎng)絡(luò)和進(jìn)入網(wǎng)絡(luò)后的動(dòng)作保持高度警惕。通過監(jiān)視網(wǎng)絡(luò)內(nèi)部主機(jī)的行為，安全團(tuán)隊(duì)可以快速地確定正在收集數(shù)據(jù)或在非正常時(shí)間訪問資源的主機(jī)。

例如，主機(jī)是否正在訪問平常并不到達(dá)的區(qū)域?有沒有跡象表明數(shù)據(jù)被遷移到其它位置?當(dāng)然，也許是有管理員在內(nèi)部傳輸數(shù)據(jù)，或者將數(shù)據(jù)復(fù)制到一個(gè)外部位置(如Dropbox)。

最聰明的安全團(tuán)隊(duì)都知道，威脅事件往往與網(wǎng)絡(luò)中的關(guān)鍵資產(chǎn)緊密相連。除了要理解威脅，安全團(tuán)隊(duì)需要知道威脅對(duì)企業(yè)的影響。在檢測(cè)到威脅時(shí)，受到損害的設(shè)備會(huì)給哪些資產(chǎn)帶來(lái)風(fēng)險(xiǎn)?可疑設(shè)備可以直接訪問關(guān)鍵資產(chǎn)嗎?這是安全團(tuán)隊(duì)必須重視的問題。

專注于網(wǎng)絡(luò)中的關(guān)鍵資產(chǎn)可以使安全團(tuán)隊(duì)更容易地看出，異常行為什么時(shí)候在其最關(guān)心的資產(chǎn)上發(fā)生。

這些方法可以有效地檢測(cè)內(nèi)部和外部威脅。更為重要的是，由于明確了內(nèi)部的關(guān)鍵資產(chǎn)，安全團(tuán)隊(duì)就不僅可以追蹤威脅，還可以真正地減少威脅。

資產(chǎn)被竊或破壞會(huì)使企業(yè)遭受真正的破壞。幾乎所有的威脅都集中于企業(yè)最寶貴的內(nèi)部資產(chǎn)，所以安全模式也應(yīng)這樣。