Herdomain/insider-threat-detection-response-playbook

# 🕵️ 内部威胁检测与事件响应 Playbook 内部威胁是最难检测的风险之一，且一旦漏报往往造成最具破坏性的后果。与外部攻击不同，内部威胁源自已经拥有合法访问权限的人员。 本 Playbook 定义了组织如何在内部威胁演变为数据泄露、运营故障或违规行为之前，对其进行识别、上报和遏制。 ## 威胁概览 一名员工在离职前下载了大量客户记录。一名承包商访问了其职责之外的财务系统。一个被盗用的账户开始在内部基础设施中进行横向移动。 这些场景都有一个共同的挑战：标准的边界防御无法捕获它们。检测内部威胁需要行为基线、访问监控以及清晰的响应工作流。 ## 本 Playbook 涵盖的内容 本 Playbook 围绕 NIST 四步事件响应生命周期（准备、检测、遏制和事件后审查）构建，提供了一个结构化、可重复的框架，用于跨三种威胁画像管理内部风险： **恶意内部人员** - 故意窃取数据或破坏系统的员工或承包商 **疏忽内部人员** - 因疏忽大意或安全习惯不良而暴露敏感数据的用户 **被盗用内部人员** - 被外部威胁行为者劫持的合法账户 ## 检测策略 有效的内部威胁检测将技术监控与行为分析相结合。追踪的关键指标包括反复的身份验证失败、大规模或异常的数据传输、访问超出用户正常职责范围的系统，以及非工作时间内的活动。 检测依赖于跨三个来源的分层方法： **日志分析** - 保留身份验证日志、文件访问记录和网络活动，并根据既定基线进行监控以发现异常。 **行为分析** - 将用户活动与基于角色的规范进行比较。偏差（例如，财务人员访问工程代码库）会触发自动警报供审查。 **失陷指标** - 已知的威胁模式，如凭证共享、未经授权的 USB 使用和批量数据下载，会被实时标记。 ## 响应工作流 当检测到潜在的内部威胁时，响应遵循以下顺序： **1. 验证** - 根据基线行为确认警报；在上报前排除误报 **2. 调查** - 识别受影响的系统，分析日志和访问模式，确定范围和意图 **3. 上报** - 评估严重程度（低 → 严重）并通知相关的利益相关者——SOC、法务、HR 或管理层，具体取决于分类结果 **4. 遏制** - 禁用被盗用的账户，撤销提升的权限，隔离受影响的系统 **5. 根除与恢复** - 移除未经授权的访问，重置凭证，修补漏洞，从干净的备份中恢复 **6. 审查** - 开展经验教训总结会议，更新检测规则，并根据发现优化访问策略 ## 🛡️ 控制措施与合规性 | 控制措施 | 用途 | |----------------|-------------------------------------------| | **DLP** | 阻止未经授权的数据外发 | | **MFA** | 降低凭证被盗用的风险 | | **RBAC** | 根据角色需求限制访问权限 | | **日志保留** | 支持调查和审计 | ## 合规性对齐 本 Playbook 涵盖了主要框架中关于内部威胁的要求： 符合 NIST SP 800-61, ISO/IEC 27001, GDPR/HIPAA 和 SOC 2 Type II。 ## 产出物与输出 事件响应工作流图 基于严重程度的上报协议 内部威胁事件报告示例 访问控制与日志保留策略定义 📌 工作流图与示例事件报告即将推出。

标签：JSONLines, meg, NIST, 信息安全, 内部威胁检测, 内部风险管理, 协议分析, 失陷账号, 子域名变形, 子域枚举, 安全基线, 安全策略, 安全运营, 安全运营中心(SOC), 应急响应预案, 恶意内部人员, 扫描框架, 提示词设计, 教学环境, 数据防泄漏(DLP), 权限提升, 横向移动, 用户行为分析(UBA), 编程规范, 网络安全审计, 零信任