內部威脅

破解者獲取企業電腦系統或網絡的訪問，接着展開一些意欲危害企業的活動。

內部威脅（insider threat）常常是認為企業、機構或組織對其錯誤對待並且覺得報復合情全理的不滿員工或前員工。

惡意活動通常分四個步驟或階段進行。首先，破解者進入系統或網絡。然後，破解者為了瞭解易攻擊處和可以花最小力氣造成最大傷害的位置而調查系統或網絡的本質。接着，破解者建立工作區，惡意活動可以在其中進行。最後，實在的毀滅性活動發生。

由內部威脅（insider threat）引起的傷害可能採用多種形式，包括採用病毒（virus）、蠕蟲（worm）或木馬（Trojan horse），偷盜信息或企業秘密，偷盜錢款，毀壞或刪除數據，變更數據來產生不便捷或錯誤的犯罪證據，並且盜竊企業內部的個人身份。防止內部威脅涉及到類似於針對互聯網用户的保護措施，如運用多種間諜軟件（spyware）瀏覽程序、反病毒程序、防火牆（firewall）和嚴格的數據備份（backup）和歸檔（archiving）慣例。 ^[1] 

現在計算機中兩個最具潛在危害的應用是Web瀏覽器和電子郵件客户端；它們通常是惡意軟件最常見的切入點。企業可以採取步驟來限制這些應用的功能，但這樣做也會影響合法功能，從而也會影響關鍵業務流程。

因此，一種解決方案是在獨立的虛擬機中運行危險的應用。每次啓動應用時，它會在獨立的VM中運行。如果它是惡意的，任何感染只會發生在VM中，不會對主機操作系統造成破壞。當該應用關閉時，VM也會被關閉，任何有害活動都會受到控制。在這種情況下，系統只會在短時間內在受控環境中受到感染，並沒有任何長期影響。此外，這種解決方案對用户沒有影響，並會顯著影響攻擊者造成破壞的能力。

在很多情況下，用於感染內部人員的活動通常圍繞可執行附件、Office文檔中的宏以及HTML嵌入式內容。大多數企業並不需要這種允許來自互聯網的活動。因此，秉着最小特權的精神，如果企業不需要這種活動，就應該阻止。戰略性地阻止一小部分有害活動可以積極地控制攻擊者帶來的破壞。

阻止某種類型的所有文件，雖然有效，但並不總是可行，因為用户可能需要使用文件。因此，另一種方法是沙箱或過濾某些活動，同時允許合法活動。現在存在有效技術可以對附件內容進行分析，甚至將其在沙箱運行以檢查其行為；如果它是惡意的，就會被阻止，而如果是合法的，就會允許通過。這讓企業可以更靈活地過濾內容，但限制了阻止運行業務所需的正常活動的影響。

攻擊者通常是誘騙用户運行看似合法的可執行文件，但實際包含惡意內容，從而執行攻擊。企業可以通過應用白名單等技術來控制和驗證可執行文件，從而最大限度地減少有害內容進入系統。 ^[2]