Quest：影响端点安全的内部威胁

内部威胁有多种形式。在经典方案中，享有特权的承包商会安装间谍软件，这些间谍软件会在项目完成后很长时间内将敏感数据泄露给他们。在另一种情况下，一个心怀不满、地位良好的IT管理员积极地对你的系统进行破坏，然后辞职。即使是没有特权网络访问权限的人也可能构成内部威胁，无论是故意（收集商业机密以备将来使用）还是无意中（陷入鱼叉式网络钓鱼电子邮件）。

无论内部威胁可能来自何处，它们都会影响端点安全，因为它们破坏了端点（计算机、平板电脑、智能手机、物联网设备）与网络其余部分之间的信任关系。通过检查下面概述的不同类型的内部威胁，您可以发现共同特征并强化您自己的网络以抵御它们。

1.员工互联网使用

传统观点认为，在公司防火墙内可以转化为更高的安全性。当然，在威胁进入您的网络之前，情况确实如此;然后，您的安全性就会受到损害。数字生活中的一个事实是，授予员工互联网访问权限可能会将外部人员带入您的网络，在那里他们可以做任何他们想做的事情。与此同时，将隔离墙建得尽可能高以将所有人拒之门外的安全模式是没有意义的。

2.配置错误

在每个组织中，端点的数量都超过服务器和服务，比例为数百或数千比一。这就是为什么内部威胁的更大危险在于配置错误的终结点，而不是配置错误的Web 应用程序和SharePoint 文件夹。

3.无意中的内部威胁/用户行为

在授予权限时，IT必须执行微妙的平衡行为。你降低的门槛越多，就越容易穿透你的网络防御。但是，如果您将其提高得太高并且没有授予用户足够的访问权限，他们将找到共享文件和完成工作的替代途径。这是一种由用户行为驱动的无意内部威胁。

4.未修补的端点/软件

整理好访问、连接和共享后，您可以确保所有端点都已打补丁且安全。其中很大一部分是知道它们上运行了什么。当零日威胁来袭时，您需要知道的第一件事是它是否会影响您。例如，当在Apache Log4j日志记录库中发现该漏洞时，您能多快确定您的网络是否受到内部影响以及在哪里受到影响？您的任何服务器都运行Log4j 吗？当您的大部分用户远程或在家工作时，回答这些问题变得更加困难。

5.过时的软件

与未修补的软件相同，也有过时的软件。如果您的组织（和您的安全性）依赖于不再更新的软件，那么您就会自找麻烦。

当然，操作系统是最臭名昭著的目标，因为数量不多，因此它们是吸引不良行为者的目标。例如，如果您仍在网络上的某个地方运行WindowsServer 2008，那么您很容易受到攻击。你唯一的希望是加强你的防火墙，但无论如何你都应该这样做。

6.不受监控的软件安装

在现代安全立场中，有两种类型的行为监控。首先，您的身份和单点登录（SSO）提供程序监视登录模式;其次，端点检测和响应（EDR）系统监视安装恶意软件或未经授权的软件的尝试

7.禁用服务器上的防火墙

要保护本地占用空间，您可以做的最重要的一件事就是在服务器上激活防火墙（甚至是Windows 防火墙），并仅打开所需的端口。许多IT 人员忽略了此步骤，并在禁用防火墙的情况下运行服务器。

8.过时的密码思维和政策

不幸的是，使用广泛使用的黑客工具的人知道这一点。因此，当他们想要暴力猜测哈希时，他们会加载字典攻击，但他们甚至不需要遍历完整的字典。他们修改工具以自动大写、小写和附加数字。反常的是，当您实施轮换策略时，您实际上使不良行为者更容易破解用户的密码并发起内部威胁。

事实上，即使是微软也说过，没有理由更改一个完美的密码。改变它的摩擦使网络面临的风险比保留一个强大的网络要大。这就是为什么关于密码的不同想法正在发展并在企业中扎根的原因。

9.密码喷射攻击

虽然过时的密码思维和策略是内部威胁，但它们与密码喷射攻击的重大外部威胁有关。威胁参与者提交完整的密码列表，试图让系统至少接受一个密码。像Hydra这样的工具可以通过发送大量密码来自动化猜测密码的过程。

大多数系统没有设置为监视这种行为，并且永远不会标记它。这就是千层面方法有价值的时候，因为其中一个回退层是您的身份验证引擎。如果它可以检测到失败的登录尝试一直来自同一来源，那么它可以阻止IP 地址。

审核编辑 ：李倩