理解内部安全威胁的重要性

关键要点

• 内部威胁在金融服务行业和其他行业都是个挑战，攻击面在近年来有所增加。
• 需要密切监控有特权访问权限的系统管理员及第三方供应商，以降低风险。
• 由于远程工作的增长，金融机构必须更好地量化员工、第三方及应用程序的潜在风险。
• 内部威胁造成的损失远高于不涉及员工的网络安全事件，处理时间也有所延长。
• 需要建立一致的网络风险报告标准，以帮助机构理解风险容忍度并制定相应的管理措施。

随着在摩根士丹利和高盛等美国大型蓝筹金融公司的二十多年技术与信息安全团队领导经验，David Reilly对金融机构内部安全威胁的评估与减轻非常重视。“内部威胁是各行业面临的挑战，不仅仅是金融服务行业。过去几年，内部威胁的攻击面有所增加，”他表示。Reilly这月加入了 和在线银行先驱 Ally Bank 的董事会。

他指出，具有特权系统访问权限的系统管理员和数据库管理员日常开展的活动需要被仔细监控，这也包括能够访问关键网络的第三方供应商。所有这些因素都在增加
。

Reilly最近在美国银行担任全球银行与市场首席技术官和首席信息官大约十年，并于2021年10月离开了该职位。他意识到，过去两年金融行业迅速变化的工作环境极大地影响了
。他说：“远程工作使威胁状况发生了更进一步的变化，促使安全与风险从业者必须量化每位员工、第三方和应用程序访问所带来的风险，以确保数据安全。”

目前普遍认为，内部驱动的网络安全事件造成的损害通常远比员工不参与的事件更为严重和昂贵。根据2022年Ponemon的
“”，通过恶意、疏忽和被攻击的企业员工引发的网络事件在过去两年内增加了44%。由于内部人员造成的泄露成本也升高了三分之一，达到了1538万美元。内部泄露的处理时间也从77天增加到85天，导致组织在控制上花费更多。

事实上，即使在内部恶性行为与错误广为人知之前，美国银行就是最先报导的顶级金融机构之一，早在11年前就因员工通过一种欺诈方案造成至少1000万美元的亏损而引发了媒体关注。

Reilly表示，当实施“综合风险评估”时，金融机构可以获取“可操作的见解，以帮助安全团队优先考虑修复措施，并为公司量身定制网络安全教育。”

他说，“在全球范围内，正在出现一种推动，以便在网络风险报告上带来一致性，这将进一步有助于设定和理解组织内的风险容忍度。评估、优先考虑和降低网络风险，包括内部威胁，一致的量化和测量是关键。”

虽然大多数大型、成熟的企业，尤其是金融机构，已经能够展示一套评估风险容忍度的指标和做法，但许多企业尚未就“跨公司和市场领域一致的标准”达成共识。Reilly比较了跟踪潜在内部威胁的过程，称其类似于“财务风险的标准语言”，而这种标准在网络风险中则明显欠缺。

他表示：“这就是适合的网络风险量化和管理平台所能提供帮助的地方，使用一致的指标来跟踪和报告这些风险，能够帮助安全和业务领导者更有效地优先考虑和沟通网络风险。”