近日，SANS最新发布的2022年安全意识报告显示，人为错误仍然是网络攻击和数据泄露最主要的媒介。

SANS研究所安全中心年度安全意识研究报告，对1000名信息安全专业人员的调查数据，结果发现缺乏安全意识培训的员工仍然是数据泄露和网络攻击的最常见问题。

研究报告还对企业面临的最大威胁进行了排名。排名第一的是网络钓鱼攻击；位居第二是商业电子邮件泄露(BEC)攻击；第三是勒索软件攻击。

前三名中有两个依赖于社会工程策略，攻击者经常会利用社会工程策略或勾结内部人员完成。该报告还指出，绝大多数勒索软件攻击是从网络钓鱼电子邮件或利用弱密码开始的。

内部威胁分为四类

内部威胁不一定是恶意为之，实际在造成威胁的过程中，内部人员的动机、意识、访问权限等存在很大的差异，一般会分为四种不同类型。

1、粗心型

粗心型内部人员一般不具有完备的安全意识和知识，极容易被利用。通常来说，攻击者会通过鱼叉式网络钓鱼或社会工程（电子邮件），诱导企业内部人员下载恶意软件，或引诱其向伪造的第三方平台发送特定凭证。整个过程中，内部员工基本没有意识到安全问题的存在。因此，这类攻击方式的投入产出比非常高。

尤其是新冠疫情发生后，很多企业采取远程办公，员工网络环境缺乏相对有效的防护，导致被成功钓鱼的情况屡屡发生。

2、故意型

此类内部人员并非恶意为之，他们大多是由于不想受到安全政策约束或是寻求方便，而采取了对企业有害的行为。比如，虽然知道会违反安全策略，但为了方便，这类员工可能会将未加密的数据存储在U盘、云账户或邮件中，从而能够轻松访问。大约90%的内部威胁都是因为此类行为所引起。

3、合作型

这类人员虽然较少但危害极大。主要是内部员工与竞争对手或者其他国家人员合作，利用自身的访问权限，故意对国家机构或企业造成伤害。此类人以合作作为最终目的，获取金钱或利益。他们通常利用访问权限，窃取目标知识产权、机密文件、客户信息等，危害国家安全，破坏企业的正常运营。

4、恶意型

这类内部人员，个性独立就是恶意泄露。此类人员通常具有系统管理员、数据库管理员等比较高的权限，造成的危害巨大。比较典型案例：斯诺登事件，他利用对机密系统的访问权限，泄露了NSA网络间谍活动有关的信息。暂且不考虑事件本身对错。

从技术维度来看，可以划分为三类：敏感信息的访问、敏感信息下载、利用邮件或其他向外部发送敏感信息。

如何应对内部威胁

1、企业应对新入职的员工进行系统的网络安全和法律知识培训。让员工对泄露用户信息等违规甚至违法行为牢记于心。定期对所有员工进行网络安全知识普及，适当的进行安全知识测验。加强涉及用户数据的部门监督与检查，严查“内鬼”员工的监守自盗。

2、不断提升安全技术和管理水平。企业应当不断加强安全技术的应用，必要时可以和专业安全机构进行合作，定期检查并修补系统漏洞。加强对数据访问权限，特权行为的管控，才是解决数据安全问题最快最有效的方式。

3、监督用户的安全意识。为提高安全系数，企业可建议或强制要求用户密码定义为更复杂的数字 、字母和符号相结合的方式，并提醒用户避免将姓名生日等设为密码。

4、对存储和传输的敏感数据必须进行高强度加密处理，并且对重要数据进行加密备份。重点单位机构应建立数据安全防护体系，加强数据规范使用，部署数据保护、数据防泄漏等安全策略，实现制度加技术的有效管控。

商务密邮是国内专业的邮件安全服务提供商，采用高强度国密算法，对邮件数据进行先加密后发送，密文储存的形式，源头上堵住邮件数据在传输过程中，各环节可能存在的泄露，已解密的邮件还可进行二次加密复锁，即使服务器数据被窃取、账号、密码被盗，设备丢失，不法分子和黑客组织也无权看到真实数据，确保数据安全。

其实，人为事故是最容易被忽视的一环。商务密邮拥有邮件安全管理体现，从邮件建立到收取，全周期邮件安全解决方案，如离职管控、邮件溯源跟踪、邮件归档备份、强制加密、邮件防泄漏等“内外兼防”的管理策略，全面保障企业级用户的邮件安全。