内部威胁指的是公司内部员工，但入侵者却不再仅仅局限于身处公司大楼内部的人。甚至本地咖啡馆这种公共场所，都能连上公司网络。

由于企业系统的边界正在模糊，网络安全的难度加大，企业需要调整策略和规程。虽然很多技术都在改变，但限制依然留存，公司必须在阻止恶意攻击上继续保持积极主动。他们必须了解自己的威胁，并调整自己的技术以适应威胁。更重要的是，招募合适的团队，打造正确的技术。

对内部威胁的遏阻，应与期望缓解的风险类型相匹配，要基于环境因素制定计划，比如公司文化、公司状态(健康度、弱点、裁员情况等)，还有公司看待/监测/合法管理承包商的方式。

公司应提供“按需知密”的访问控制，审计所有行为，且审计应由具备足够能力的人来实施，比如管理员。企业能做的最重要的一件事，是减小内部人对敏感数据拥有的权限。这是安全厂商之间的共识，别向员工开放整个网络，让访问成为特权而非权利。

最小化访问授权，最大化对授权异常模式的监测。

除了减小雇员权限级别，企业还应实行良好的监管，权限审查与验证的责任，应直接赋予该管理数据资源的生产线经理。

“企业应监测敏感或有价值数据的访问活动，查找可能揭示内部人不恰当访问该数据的异常行为，或者，更常见的：外部人盗取凭证后成功冒充特权用户的情况。就像所有良好安全一样，遏阻内部威胁需要多层次方法。好消息是，最基础的步骤往往提供最大的价值，做到系统且深入，可以为敏感数据保护带来巨大好处。”

此外，企业还应推行常规安全意识和信息监管培训。此类培训可确保员工领会事件响应规则，积极报告可疑活动。

意识培训

安全专家的另一个共识是，安全意识培训是员工辅助发现内部威胁的关键。

全体员工的安全意识教育和培训应普及且成为常态。这包括反复提醒哪些是或不是可接受的行为，风险是什么，以及怎样报告可疑的攻击或数据泄露。

建立内部风险团队，可在辅助识别和阻止内部威胁的安全软件工具评估上，充当领导角色，为敏感信息提供安全防护，尤其是与外部共享的信息，例如被发送给外部董事的董事会文档。

创建并维护风险登记簿，登记并量化需修复的风险，并采取后续缓解措施，十分关键。为演示进展，内部风险团队应建立关键业绩指标(KPI)，然后审计并报告风险等级，展现每年的状态和改进。

风险管理团队还可以帮助确保公司“检举”策略和规程是简单易用且可行的，而且能在内部威胁被发现时快速确定。最重要的是，该团队应与公司领导层协作建立一种透明且负责的文化，确保策略被严格执行，任何报告了潜在威胁信息的人都会受到奖励，而不是被惩罚或放逐。

实现风险缓解和安全软件，对发现、遏阻和报告安全事件至关重要。但是，仅靠软件解决不了这个问题。建立起负责且透明的文化，并严格实施策略，可以有效防止潜在威胁演变为真正的危机。

传递“遏制内部威胁，人人有责”的概念是关键。虽然在技术解决方案上的投入也很重要，但没有任何一个技术解决方案能够替代警醒的终端用户。

让员工知道内部威胁计划，告诉他们计划的意图、恰当的数据处理是什么样的，确保他们理解自己在公司保护中的作用，可以帮助抑制疏漏行为，发现故意犯错的人。技术控制，例如用户或终端行为分析，便可随之提供必要的监视，通报IT安全团队异常行为的出现，并同时收集必要的鉴证证据。

弄清自身资产

如果自己都不知道自家网络里有些什么，要确定是否有人在访问不该访问的东西就特别难了。

企业应识别出自身关键资产及其拥有者，对数据进行分类。公司内部资产和云基础设施上的资产都要了解。想要识别出有组织犯罪团伙和个别恶棍的行为模式，必须依靠值得信赖的威胁情报予以强化。

想有效减小内部人风险，公司应搞清有哪些资产是一旦被侵入就会导致最严重破坏的，这些资产位于何处，谁负责管理和操作这些资产。公司还应限制对这些资产的访问，只有真正需要的雇员和承包商才可以访问，并实施持续的行为监测，让业务应用拥有者参与进警报是否误报的判定中来。

这种面向业务的警报评定可以大幅减少噪声和误报，凸显出最重要和紧急的警报。非恶意策略违反者应被列入不可接受行为通告，送去进行相关针对性安全意识培训，并在培训后跟踪观察，确保不再犯同样的错。