內部人威脅可能是最難以檢測和控制的安全風險了，而對內部人威脅的關注也上升到了出臺新法案的地步——2017年1月美國國會通過《2017國土安全部內部人員威脅及緩解法案》。

該法令要求國土安全部(DHS)建立內部人員威脅計劃，包括培訓和教育，以及執行內部威脅風險緩解行動。不過，條文里倒是沒解釋這些“緩解行動”到底由什么組成。

其中一個難點在于，內部人員的概念并不統一。包括通過被盜合法憑證成為“內部人員”的遠程攻擊者，天真不設防的雇員，機會主義雇員，以及惡意內部人士。所有這些當中，惡意內部人士是最難以攻克的問題。

傳統安全控制，比如訪問控制和數據丟失防護(DLP)，有一點點微小的作用。最近幾年，這些方法有了用戶行為分析(UBA)的增強，使用機器學習來檢測網絡中的異常用戶行為。

Exabeam首席執行官尼爾·頗拉克解釋稱：“行為分析是得到內部人威脅真正洞見的唯一途徑。UBA能基于個人與同類的對比，告訴你什么時候有人在做不尋常且危險的事，它可以穿透噪音，給出真正有用的見解——任何想處理內部人威脅的機構都應該密切關注UBA。”

漢弗萊·克里斯蒂安，Bay Dynamics 產品管理副總裁，倡導UBA與風險管理的組合。他說：“如果對低價值資產下手，那就不成其為威脅了。異常行為如果在業務上說得通，那也同樣不應該歸入威脅行列，比如被經理批準了的雇員行為。一旦識別出異常行為，管理受威脅應用的人，必須確定自己是否給了該雇員對受影響資產的訪問權。如果答案是‘否’，就應觸發警報加以調查了。”

本周，情報與國家安全聯盟(INSA)發布了一篇新論文，提出物理用戶行為分析應更進一步，將依據常規行為模式設置的心理分析納入進來。這不僅僅是網絡上可接受行為的基線，還結合了工作場所內外生活事件的心理影響。目的不單單是響應已發生的異常行為，而是要未雨綢繆，能夠在事發前預測到惡意行為。

INSA的論文源于雇員不會突然決定變壞的觀察結果。惡意行為一直都是逐漸積累的不滿的大爆發。這種不滿既可以是工作上的，也可以是工作之外的。INSA的理論是，這種漸進式不滿的線索，能夠，也應該，被技術檢測出來。機器學習和人工智能就可以做到。

該早期檢測可使經理們干預，乃至幫助掙扎中的雇員，預防重大安全事件發生。

工作場所中的不開心跡象如果以“反生產行為(CWB)”表現出來，倒是相對容易檢測。INSA稱，檢測并緩和有惡意內部人傾向的雇員，有3個關鍵認知：CWB不會孤立發生；CWB往往會升級；CWB甚少是自發的。

如果早期無害CWB可以在升級之前被檢測到，那么內部人威脅緩解也就成功可期了。

在現有研究的基礎上，比如《精神疾病診斷與統計手冊》第五卷(DSM-5)，INSA給出了壓力源與CWB的關聯表。舉個例子，低水平的情緒壓力可能引發反復拖延；更嚴重一點兒，就會導致欺負同事和不安全(危險)行為。

INSA的觀點是，雖然單個CWB可能會被經理和HR忽視，但模式和壓力指征的任何升級，都是可以被機器學習算法檢測到的。這種類型的用戶行為分析，已經不僅僅針對異常網絡活動，而是尋求在事發前識別出可能導致異常網絡活動的受壓用戶行為。

不過，這種方法也有局限：影響用戶工作的壓力源完全處于工作場所之外的情況。比如離婚、經濟損失、家人生病。對此，INSA提出了更激進，但在工作場所內外都適用的方法。

特別的，復雜的心理語言工具和文本分析，可以監測雇員的通信，發現生活壓力源和情緒，幫助在轉化過程早期檢測出潛在問題。

該方法的理念就是，監視并分析用戶的通信，包括推特和博客，積極和消極的詞匯都是查找對象。論文中給出了一個例子。“我喜歡食物……和……一起……我們……在……非常……高興……”這詞匯序列在推特、微博、微信上很常見，但‘和’、‘一起’、‘在’這幾個詞的使用，表現出了包容宜人的性情。

公平地說，INSA對第二個例子的誤用，給了懷疑者質疑的理由。這第二個例子，是將美國政府秘密泄露給維基解密的上等兵切爾西·曼寧。INSA稱：“第二篇博客文章，證實該生活事件，并確認了另外一個。‘關系終結/離婚’在每個生活事件中都被提到2次。”其含意是，對這篇博文的心理語言分析，本可以勾出曼寧生活中的壓力源，警示其雇主他可能會采取的惡意行為。

然而問題是，這被引用的章節并非出自事發前的曼寧博客帖子，而是來自2010年5月維基解密已經開始公布機密文檔后，曼寧與拉莫的聊天記錄。這個案例中的語言學分析可能有助于解釋曼寧的行為，但卻對預警美國政府毫無幫助。

但是，重點在于，心理語言學分析是具備勾勒情緒狀態的潛力的，隨時間進程，凸顯出正從最初的小CWB升級到最終重大CWB過程中的個人，也不是不可能。問題就是，這真的有點令人毛骨悚然。這種詭異性也被INSA所承認。

這些工具的使用需要特別特別小心，要保證個人公民權和隱私權不被侵犯。只有被授權的信息才可以在符合預定義策略和法律監管的情況下被收集，且只能用于定義清晰明確的對象。絕不可以在缺乏斷言的情況下，使用隨機查詢和“如果”場景來審查具體個人，然后期望發現異常的不良行為。

用戶逐漸降低的隱私期待或許預示著，或早或晚，出于早期發現潛在惡意內部人目的的心理語言學分析，將為人所接受。但同時，該分析的使用應十分謹慎，且要征得用戶清晰明確的知情同意。不過，INSA倡議的，其實是司法機構多年來一直尋求的東西：不是僅僅響應不良行為，而是能夠預測之。