传统网络安全内部威胁比外部威胁有哪些特点

传统网络安全内部威胁比外部威胁有以下特点：

• 危害和损失更严重：由于内部人对组织结构、业务系统和相关知识更加了解，更容易获取系统权限，更容易接触到核心资产，更容易摆脱安全体系的防护，因此使得内部威胁造成的损失和危害更严重。美国CSI（Computer Security Institute，计算机安全协会）与美国FBI（Federal Bureau of Investigation，联邦调查局）早在2008年，就在《计算机犯罪和安全调查》中对信息安全事件的来源进行了统计，发现内部安全事件所造成的损失明显要高于外部事件。

• 缺乏可见性：内部威胁来自组织内部，与外部威胁需要面对网络安全边界的层层防护不同，由于内部防护手段薄弱，内部威胁攻击者对于传统边界安全设备具有天然的透明性，相当于进入一个自由的世界随意发挥自己的破坏能力。由于不便部署传统检测手段，业务向云的迁移使内部攻击的检测更加困难。大数据和数据集中使获取敏感信息的成本大幅降低。数据共享应用的增多使数据更容易离开传统安全边界。

• 检测难度大：内部威胁攻击者（包括在职/离职员工、供应商和商业伙伴等）拥有内部信息系统的访问权限，恶意行为往往隐藏于正常业务行为中。恶意行为的发现变得更加困难，只能在事件发生后，进行有限的审计溯源工作。

• 容易受组织壁垒干扰：安全培训和人员管理是内部威胁管理的重要一环。由于安全管理是跨部门甚至跨组织的活动，安全管理者缺乏有效的手段促进不同部门、不同组织间的协同协作。内部威胁的管控力度容易被削弱。

• 防御更困难：相比外部威胁内部威胁大多由内部人员造成，内部人员相比外部的攻击者权限更高，造成的危害更为严重，而且外部威胁可以通过安全设备进行初级防护，而普通的安全设备很难对内部进行防护，所以内部威胁的防御更加困难。