根据美国国家标准与技术研究院（NIST）的定义，内部威胁防护计划是一种检测组织内部安全威胁早期指标的有效方法，通过集中管理下多种安全能力协同，旨在提前检测和防止违规敏感信息泄露的发生。内部威胁防护计划也经常被称为内部威胁管理框架，主要包括异常行为监控、威胁事件检测、安全事件响应以及内部威胁防护意识培养等措施。

对于现代企业组织而言，创建并应用一个高效的内部威胁防护计划具有以下诸多好处： 

• 减少内部攻击的损失。内部威胁防护计划可以最大限度地提高组织快速检测和阻止安全攻击的成功率，减少内部人员可能造成的威胁和损害。
• 标准、法律和法规遵从性。随着网络安全成为国家安全的重要组成部分，各国监管机构都已制定较完善的法律和行业性IT标准、法规，明确要求企业组织加强内部威胁管理，防止相关事件发生；
• 提前发现内部威胁。检测内部威胁比检测外部攻击更具挑战性，内部威胁防护计划有助于组织在威胁隐患演变为真正攻击并造成实际伤害之前发现威胁；
• 快速有效地应对内部攻击。内部威胁防护计划应该准确描述缓解内部威胁的具体流程、工具和人员。通过这些制度和知识，所有员工都可以更有效地处理各种可能发生的网络安全事件。

为了帮助企业组织更好地制定和应用内部威胁防护计划，安全研究人员梳理总结了在构建内部威胁防护计划时的重点任务清单：

01制定计划前的准备 

是否充分做好准备工作，在内部威胁防护计划能否获得成功的关键，它可以为组织节省大量的时间和精力。在进行计划准备时，组织需要全面收集并梳理当前的网络安全措施、需求和涉及人员等信息，并明确定义希望通过该计划实现的任务目标。

以下是组织在计划准备时应该做的主要工作：

• 评估组织当前的网络安全措施；
• 研究组织需要遵守的法律、法规要求；
• 定义内部威胁计划的预期目标；
• 列出所有和防护计划有关系的利益相关者。 

02开展内部风险评估

在制定内部威胁防护计划时，组织首先需要定义出哪些是需要重点保护的敏感资产。这些资产可以是物理方式存在的，也可以是虚拟形式的，比如客户信息、员工数据、技术秘密、知识产权等。开展内部威胁风险评估是检测此类资产及其可能面临的威胁的最有效方法之一。它可以帮助组织形成网络安全态势的全景地图。在开展内部风险评估时，通常会包括以下步骤：

1. 明确潜在的内部威胁来源；
2. 发现网络系统中已经存在的安全隐患和漏洞；
3. 创建有关高危风险和高价值资产的列表；
4. 确定风险，并评估内部威胁的可能性和优先级 ；
5. 将结果传达给所有利益相关者，并帮助员工提高风险意识。

03评估创建计划所需的资源

要制定一个高效的内部威胁防护计划会面临很多挑战，因此在开始之前，要充分认识到实施这种类型的计划不能仅靠网络安全部门，还需要多种公司资源的支撑保障： 

• 管理资源：需要获得组织各部门的认同与支持，并通过管理手段让其配合、参与制定内部威胁防护计划；
• 技术资源：计划要靠先进的工具来保障落地，因此需要部署专用的内部威胁管理软件，同时重新调整现有的网络安全解决方案和基础设施；
• 财务资源：组织需要为购买网络安全软件和雇佣专职专家预留充分的资金预算。

通过准备一份必要的资源清单，这样有助于更好地向公司管理层汇报这个计划，并且得到其认可。

04获得高级管理层的支持

在完成以上计划准备和制定工作后，就应该通过目前所收集到的各种信息，来获得公司管理层对实施计划的支持。计划关键利益相关者的名单通常包括首席执行官（CEO）、首席财务官（CFO）、首席信息安全官（CISO）和首席人力资源官（CHRO）。

为了获得他们的认可和支持，计划制定者应该准备一个清晰的案例，清楚地表明实施内部威胁防护计划的必要性和价值，让其充分了解内部威胁防护计划如何有效帮助公司各部门实现他们的发展目标。

05创建内部威胁响应团队 

内部威胁响应团队主要由负责内部威胁管理各个阶段的员工组成。与通常的看法相反，这个团队不应该只由IT或安全专家组成。它应该是跨职能的，并拥有迅速果断行动的权力和工具。

在创建内部威胁响应团队时，需要明确以下工作任务： 

• 内部威胁响应小组的任务；
• 团队的领导者和团队内部的管理汇报制度；
• 每个团队成员的职责范围；
• 团队用于对抗内部威胁的策略、流程和工具。 

06确定内部威胁检测措施

内部威胁的早期检测是最重要的保护手段，因为它可以实现快速响应并降低补救成本。为了有效地检测内部威胁，组织需要： 

• 监视每个用户的活动并收集其系统操作的详细日志，安全监控有助于安全人员实时审查可疑会话、调查事件，并评估整体网络安全态势；
• 管控用户对敏感资源的访问。这样可以帮助组织防止未经授权的访问并检测可疑的访问尝试；
• 分析用户行为，发现威胁的早期迹象。用户和实体行为分析（UEBA）是一款有效的工具，通常使用人工智能算法来分析正常的用户活动，为每个用户创建行为基线，并在发现异常行为时通知内部威胁响应团队。

07优化事件响应策略

为了对检测到的内部威胁快速采取行动，应急响应团队必须找出常见的内部威胁攻击场景。关于内部威胁响应计划，最重要的是它应该是现实的，并且易于执行。不要试图用一个单独的计划来涵盖所有可能的情况，而是应该制定几个具体的计划，涵盖最可能发生的事件。一个内部威胁事件的响应过程应该包括：

• 威胁事件分析和描述；
• 技术性和非技术性的威胁指标分析；
• 威胁行为者分析；
• 事件缓解策略和流程；
• 事件分析文档和说明。

08事故调查和补救措施

为了有效地管理内部威胁，计划中需要明确规定好调查内部安全威胁事件的程序以及可能的补救活动。事故调查通常包括以下行动： 

• 全面收集和事件相关的各种数据，比如审阅由UAM记录的用户会话，以及采访证人等； 
• 评估事故造成的伤害；
• 为相关的溯源和取证活动充分收集相关证据；
• 在必要的时候，尽快向上级官员和监管机构报告事件，并获得更多帮助。 

09员工安全意识培养 

要让内部威胁防护计划真正落地，必须确保组织的所有员工都能充分了解该计划的关键规则，并提高其整体网络安全意识。尽管安全意识培训课程的内容取决于不同组织中使用的安全风险、工具和方法，但是在任何培训期间都应该确保： 

• 清楚解释实施内部威胁计划的原因，并涵盖最近的内部攻击案例及其后果； 
• 分享常见的员工内部威胁活动，提请大家注意可能的疏忽和恶意行为，并了解社会工程攻击的示例；
• 要让员工知道，如果他们发现内部威胁线索或遇到内部威胁损害时，应该首先联系谁？ 

需要强调的是，企业要充分了解内部威胁意识培训的有效性。为此，组织可以采访员工、准备测试或模拟内部攻击，以了解员工在培训中学到了什么，以及在未来的培训课程中应该注意和改进什么。

10定期检查并更新计划 

创建一个高效的内部威胁防护计划并不是一劳永逸的活动。内部威胁是在不断变化，其复杂性和危害性也会不断增加，因此，内部威胁防护计划也应该不断优化以保持效率。确保至少在下述情况下检查您的计划： 

• 当发生内部威胁事件时；
• 出现新的合规性要求或网络安全技术；
• 内部威胁响应团队发生变动；
• 计划中明确要求的时间点。

参考链接：

https://www.ekransystem.com/en/blog/insider-threat-program/