我們時刻防備高級外部威脅對網絡的侵襲，但有時候卻忽略了潛伏在內部的更大威脅。這種威脅可以進入公司辦公大樓，還有登錄公司網絡的口令。它就在我們中間，設置我們的服務器，配置軟件，甚至設定本應保護我們的防護規則。安全界似乎并未給予內部威脅足夠的重視，我們的網絡經常對自家雇員敞開大門，尤其是那些有訪問特權的雇員。

識別：內部威脅面面觀
內部威脅不是什么新鮮概念。重大網絡安全事件中不少都是源于內部人起了壞心思。但我們對內部威脅問題并沒有采取太多應對措施。事實上，大多數安全團隊都只會事后補救而已。難道這是因為內部威脅極其難以檢測?或者說，我們僅應付惱人的外部威脅就已經疲于奔命了?
內部威脅有很多種。最典型的心懷不滿的員工、勒索事件受害者和疏忽大意的用戶都很容易識別出來，但有一小撮可能對公司危害更大的用戶卻經常得以逃過審查。那就是特權用戶，或者說對公司網絡上大多數敏感數據和系統擁有無限訪問權的用戶。系統管理員、網絡工程師，甚至CISO都會對公司造成最大威脅。我們對他們有任何監管嗎?該怎樣防止來自內部的損害呢?
此類威脅有時候真的很難檢測，因為特權用戶是披著合法的外衣在操作。他們通常都知道怎樣避開檢測，也往往直到證據確鑿才會被懷疑。雖然可能令人意外，但幾乎每周都會發生涉及特權用戶的安全事件。
比如說，系統管理員把日志文件發送到家中電腦加個班，或者數據中心管理員利用職務之便修改設置，讓無數服務器幫他挖礦加密貨幣。CISO違反公司策略使用商業VPN瀏覽不恰當的網上內容也是其中一例。大多數內部人安全事件都是非惡意內部威脅：用戶走個捷徑想讓自己的工作輕松點兒，但最終給公司的安全防護開了個口子。
檢測：找不同
無論動機如何，所有內部威脅都有一個共同特征：用戶設備開始表現出異常行為模式。而人工智能(AI)技術可以立即發現并將之標記為威脅。有時候這些偏離設備正常“生活軌跡”的模式會特別明顯。但更多情況下這些攻擊指標太過細微，僅捕捉已知威脅的傳統工具無法覺察。但無論指標有多細微，這些設備與網絡上其他類似設備之間總是切實存在差異的。
當今數字時代，在不斷膨脹的數據海洋里尋找刻意逃避的微小數據可謂是真正意義上的大海撈針，幾近不可能。我們的網絡日漸復雜，網絡安全和IT人才缺口卻越來越大，找到新興高效的方法來對抗老問題是唯一的出路。機器學習和AI就長于此道——只要用得恰當。
采用以實時數據訓練的真正機器學習技術，可以大幅增強并改進當前日志分析平臺。正如業內大多數人都知道的，精明的攻擊者知道怎么避免留下痕跡，很多時候他們會修改日志以掩蓋他們的行蹤。日志分析是很強大的工具，但其有效性和準確性取決于所饋送的數據。網絡級工具可確保日志分析的準確度，快速檢測日志分析與實時網絡行為之間的不一致之處。
響應：忠實踐諾
如果沒有正確實施所制定的策略，那無論事件檢測有多么快速高效都沒用。必須對特權用戶高標準嚴要求，因為他們可能會對公司造成巨大的傷害。若沒做到這一點，公司遭遇重大內部人安全事件的風險會大幅增加。實踐你所承諾的。當然，如果你宣揚的本就是不怎么樣的安全，那數據泄露和攻擊也就指日可待了。
但即便擁有了最先進的安全策略和實施機制，人為失誤依然不可避免，而無論惡意還是無意，內部威脅永遠不會完全根除。AI網絡防御技術提供了捕獲微小行為差異的絕佳機會，可以在造成災難性后果之前及時阻止正在進行中的攻擊。