我们从CERT的内部威胁定义中,可以分析、提取出内部威胁的关键特征,而这些特征也是内部威胁与外部威胁区别的最主要因素。通常来说,内部威胁具有以下特征:
1、透明性:攻击者来自安全边界内部,因此攻击者可以躲避防火墙等外部安全设备的检测,导致多数内部攻击对于外部安全设备具有透明性。
2、隐蔽性:内部攻击者的恶意行为往往发生在正常工作的间隙,导致恶意行为嵌入在大量的正常行为数据中,提高了数据挖掘分析的难度;同时内部攻击者具有组织安全防御的相关知识,因此可以采取措施逃避安全检测。所以内部攻击者对于内部安全检测具有一定的隐蔽性。
3、高危性:内部威胁往往比外部威胁造成更严重的后果,主要原因是攻击者自身具有组织的相关知识,可以接触到组织的核心资产(如知识产权等),从而对组织的经济资产、业务运行以及组织信誉进行破坏,对组织造成巨大损失。
CERT内部威胁定义以及四大原因
1、内外勾结:越来越多的内部威胁动机与外部对手关联,并且得到外部的资金等帮助;
2、合伙人:商业合作伙伴引发的内部威胁事件日益增多,监控对象群体扩大;
3、企业兼并:当企业发生兼并、重组时最容易发生内部威胁,而此时内部检测难度较大;
4、文化差异:不同行为人的文化背景会影响其同类威胁时的行为特征;