文章

惡意內部人員

什麼是惡意內部人員?

惡意內部人員是指擁有組織網路與系統授權存取權限,並濫用該權限的個人。惡意內部人員通常是員工,但有時也可能是承包商、合作夥伴或供應商,他們已獲得存取權限,並且瞭解組織的安全政策、流程與系統。

這些人之所以被區分為惡意內部人員,是因為他們利用存取權限從事不法行為。在某些情況下,惡意內部人員會利用其進入實體位置的能力,竊取或破壞設備或紙本資料。

惡意內部人員的動機各不相同,但其犯罪行為的幾個常見驅動因素包括:

  • 因遭受勒索而被迫從事不當行為
  • 渴望名聲
  • 利用敏感資訊進行詐欺以達成欺騙目的(例如,身分竊取)
  • 心懷不滿的員工因報復而採取行動
  • 蓄意破壞,對系統及其他財產造成損害
  • 竊取金錢
  • 竊取、分享或洩漏敏感資訊以獲取金錢利益或從事間諜活動(例如:取得競爭優勢)

偵測惡意內部人員

透過留意異常行為或活動以偵測惡意內部人員。偵測惡意內部人員的方法包括以下:

存取超出使用者職務範疇的資訊

如果有人存取與其職務無關的資訊,這可能是惡意內部人員的跡象。範例包括:行銷人員嘗試存取人力資源檔案,或財務人員嘗試存取工程檔案。

部署員工和承包商

無論員工或承包商(即擁有存取權限者)是自願離開組織,或因組織要求而離開,他們都有可能成為惡意內部人員。這些惡意內部人員會在離職前利用其存取權限。

異常的資料傳輸

  • 使用檔案傳輸工具將檔案移出組織
  • 大量資料被傳輸至組織外部
  • 資料下載量的異常激增

檔案名稱與副檔名被重新命名

惡意內部人員經常會重新命名檔案或變更副檔名,以規避為防止資料外洩而部署的監控系統。

要求提升權限或許可

在某些情況下,提升權限與許可是合理的。然而,當出現大量的權限提升請求,或個別使用者提出的提升要求似乎與其實際需求不符時,這可能是惡意內部人員的跡象。

使用未經授權的系統與工具

  • 安裝電子郵件擴充功能以加密檔案並將其傳送至個人電子郵件
  • 簡化資料外洩
  • 追蹤內部專案的進度

惡意內部人員範例

  • 部署勒索軟體(Ransomware)
  • 編輯或刪除文件、記錄、檔案或帳戶
  • 暴露大量機密資訊
  • 安裝並散佈惡意軟體(Malware)
  • 破壞關鍵系統(例如,剪斷電線、關閉冷卻系統或引發火災)
  • 出售資訊以獲取金錢利益
  • 竊取和出售商業機密
  • 將資金轉入授權賬戶

惡意內部人員的技術手法

惡意內部人員採用多種技術手法來從事其非法活動,包括:

  • 在非工作時間存取系統與資訊,尤其是針對實體資料
  • 將檔案附加至加密電子郵件
  • 在既定流程與管控之外建立使用者帳戶
  • 下載大量資料並使用檔案傳輸工具將其外洩
  • 使用各種駭客工具
  • 提升自己帳戶或毫不知情同事帳戶的存取權限
  • 假借不實理由存取敏感系統或資料
  • 假借不實理由請求豁免特定網路安全(Cybersecurity)原則
  • 使用外部儲存裝置

因應惡意內部人員威脅

為減輕惡意內部人員事件造成的損失,可採取以下三個關鍵步驟:

向執法部門報告惡意內部人員的活動與造成的損害。

掃描所有系統以檢查惡意軟體與偵測到的未知裝置。

對事件進行全面調查,並修訂安全協定以解決漏洞。

從惡意內部人員攻擊中復原

若惡意內部人員要成功實施犯罪,必須存在安全系統的漏洞。雖然不可能識別並處理所有可能的攻擊向量(Attack Vector),但仍可透過流程與工具來阻止許多惡意內部人員事件。

定期執行風險評估

  • 識別目前資產清單中的關鍵資產
  • 瞭解任何漏洞和威脅
  • 優先考慮補救措施以盡量減少風險和威脅

記錄並執行存取原則和控制

  • 帳戶管理原則
  • 資料保護原則
  • 事件應變原則
  • 所有系統(即硬體與軟體,包括雲端服務)的管理原則與設定文件
  • 密碼管理原則
  • 針對員工及經授權之第三方(如:委外廠商)存取與使用資訊資源之管理政策,例如:
    • 第三方存取原則
    • 使用者監控原則

在所有工作區域實施實體安全管控措施

  • 警報系統
  • 進入限制區域的生物特徵掃描(例如指紋、聲音、臉部、虹膜或筆跡驗證)
  • 門鎖,尤其是伺服器機房與敏感檔案儲存區域
  • 進入時需出示照片身分證明
  • 保全人員
  • 監控攝影機

利用安全軟體和設備

  • Active Directory
  • 反惡意軟體
  • 資料外洩防護 (DLP) 系統
  • 敏感資訊加密
  • 端點防護系統 (EPS)
  • 入侵偵測系統 (IDS)
  • 入侵防禦系統 (IPS)
  • 啟用電子蒐證 (e-discovery) 的 Exchange Server 郵件日誌功能
  • 密碼管理原則與系統(例如強密碼和多因子驗證(Multi-Factor Authentication , MFA))
  • 特權存取管理(Privileged access management , PAM)
  • 角色型存取控制(Role-based Access Control , RBAC)
  • 垃圾郵件過濾器
  • 流量監控軟體
  • 使用者行為分析 (UBA) 技術
  • 網頁過濾解決方案

強制執行密碼與帳戶管理通訊協定

  • 確保當員工或第三方與組織的關係終止時,撤銷其所有存取權限
  • 遵循密碼最佳實務(例如,強密碼、多因子驗證)
  • 監控並管制所有端點的遠端存取(例如桌面系統、筆記型電腦及所有行動裝置)
  • 要求使用者以其唯一的使用者 ID 與密碼進行存取
  • 檢視使用者的存取權限(包括行動與遠端存取),並維持在最低必要層級

強化網路邊界安全

  • 避免使用 VPN 或 FTP
  • 將所有主機和連接埠列入黑名單,然後僅將所需的主機和連接埠列入白名單。
  • 檢查防火牆設定
  • 設定 DMZ
  • 採用微分段、將業務單位分隔並為敏感資訊建立受限區域
  • 建立正常行為的基準

制定並強制執行管控措施

  • 管理員角色需要擁有用於其管理和非管理活動的獨立帳戶
  • 刪除關鍵資料或變更設定需經核准
  • 將敏感資料複製至可移除式媒體需經授權
  • 最小權限(principle of least privilege , PoLP)
  • 淘汰的硬體與文件需回收或銷毀
  • 防止權限蔓延
  • 職能分工(Segregation of Duties,SoD)

監控並記錄所有活動

  • 記錄、監控和稽核使用者動作
  • 保存記錄數年,以支援事件調查
  • 使用日誌管理與變更稽核系統

建立安全的備份、封存與復原流程

  • 導入與設定:
    • 檔案與郵件信箱封存
    • 備份系統與原則
    • 災難復原計畫

惡意內部人員偵測需要團隊合作

做為最難以捉摸的網路攻擊(Cyber Attack)類型之一,惡意內部人員攻擊需要長期警戒,以偵測並防止資料外洩或其他風險。由於惡意內部人員活動在傳統 IT 安全系統(如防火牆與入侵偵測系統)下幾乎不可見,因此需要採取不同的方法。

結合使用 IT 工具,尤其是那些利用人工智慧 (AI) 與機器學習(ML) 的工具,可以透過識別異常行為來協助偵測潛在的惡意內部人員。包含人為因素的安全計畫能夠透過辨識行為中細微的差異,並與以 IT 為核心的洞察相結合,在問題發生前加以阻止,從而降低惡意內部人員的風險。

日期: 2026年2月26日閱讀時間:2 分鐘
網路安全

立即開始

瞭解 SailPoint 身分安全能為貴組織帶來哪些改變

要在不影響生產力或創新能力的前提下保障資源存取安全,可謂一大挑戰,瞭解我們的解決方案如何支援當今現代企業因應這項挑戰。

申請產品示範聯絡我們