立資安文化，消內部威脅

內部威脅通常難以察覺，解決起來成本高昂，還可能造成難以想像的損失和聲譽損害，IT人員和資安主管往往也因此而輾轉難眠。儘管努力減輕威脅，但當前的全球風險和經濟壓力卻更在火上澆油。然而，出乎意料地，大多數內部威脅是由員工犯下不經意的錯或走了捷徑所造成。根據CyberArk最新身分安全威脅情勢報告指出，63%的資安人員表示，員工使用未經批准的AI工具導致風險升高。然而，即便是合法使用AI，也可能帶來相當大的風險，許多研究顯示，員工經常使用個人設備存取公司資源，這違反了公司政策。但這也只是員工無意間成為內部威脅的眾多方式之一。

不只如此，合法存取敏感公司資源的第三方合作夥伴、顧問和服務提供者，也可能成為不知情或惡意的內部威脅，並在大型、緊密互連的數位生態系統中引發深遠的連鎖反應。因此，建立強大的網路安全文化已勢在必行。管理階層負責設定正確的基調（並建立安全行為準則）、定義流程以識別和處理危險行為，並推動跨部門合作。同時，還必須透過持續教育訓練和正向激勵協助員工建立信任度，改變態度和習慣，最終形成更具韌性的組織。 員工和第三方用戶也必須理解資安保健的重要性，並一起努力成為解決方案的一環。首先要嚴格檢視平常的習慣如何導致組織風險，例如使用未授權的網路應用、允許家庭成員使用公司設備或未確實保護好帳密憑據等等。

緩解內部威脅有時也意味著要勇敢出聲。如果員工發現某些異常情況，他們有責任報告。另一方面，主管更有責任透過以下方式鼓勵員工積極參與和保持警覺：

˙制訂資安通報方法，確保匿名通報造成內部威脅問題的人員免受可能的報復。

˙將資安教育視為首要工作，讓員工充分了解不斷變化的攻擊情勢和和常見的社交工程技巧，並透過定期培訓和參與，讓員工可以更有效地應對潛在威脅。

˙重點提示潛在內部威脅的特定跡象和行為，包括異常資料傳輸、使用未經批准的應用程式或硬體，以及提權以存取非工作相關的資訊和系統。

˙向員工和第三方使用者傳達透明且明確定義的規則，以強化個人責任感，並強調公司政策、作業程序和資安最佳措施的重要性。

˙制定合規的政策和典範實務，包括職責分離（SoD）以及要求多人完成一項關鍵任務。

˙設立SOC並提供專責資源，用於處理和分析內部威脅資訊和活動。

自上而下地識別威脅並採取行動可以更有效地激勵具有潛在風險員工的配合。當解決安全漏洞的系統被正確建立後，適當的技術工具也可以達到更好的成果。

＜本文作者：謝文駿現為CyberArk北亞區總監＞