媒體将大部分注意力集中在源自組織外部的信息安全威脅上。無論是發現新的高級持續威脅 (APT) 還是公司違規，通常人們都認爲這是來自公司外部人員的威脅，即局外人。確實，在任何安全環境中都存在許多外部威脅——自然災害、黑客、黑客活動分子等。但是，内部威脅發揮的作用比大多數人意識到的要大得多。
安全專家認爲内部威脅是一種衆所周知的現象，許多人認爲這是對任何安全環境的最大威脅。Edward Snowden、維基解密和 Vault7 是内部威脅的主要例子。員工有意或無意地占組織中信息資産威脅的很大一部分。
分析内部威脅對手並不容易。他們可能有也可能沒有經濟動機。他們可能出於憤怒、沮喪或心血來潮而進行惡意活動。雇主可以使用測謊儀檢查和許多數學建模技術來檢測内部威脅，並取得不同程度的成功。
三種工業控制系統 (ICS) 環境和網絡安全趨勢
最近的一些趨勢正在爲内部威脅火上澆油。
數字化轉型和普渡模型：工業控制系統環境包括操作技術（OT）和信息技術（IT）。曾經的模拟設備的數字化以及将這些設備集成到現有的 OT 框架中已經在自動化和效率方面取得瞭進步。智能對象的爆炸式增長及其對無線通信技術的依賴增加瞭網絡攻擊的脆弱性。通過多層 OT 和 IT 技術将物理設備（ICS 的一部分）與業務功能（IT 的一部分）集成，經常使用 Purdue 模型進行描述。Purdue 模型描述瞭物理劃分和集成的 IT 和 OT 網絡的邏輯部分。該分析特别感興趣的是那些瞭解普渡模型 0-3 級複雜性的内部人員（員工）。
在家 工作模式：自 2020 年 3 月 COVID-19 爆發以來，在家工作安排成爲主要的就業模式之前，員工報告工作並從工廠内部監控和管理流程和控制。在家工作模式使許多員工能夠通過 Purdue 模型級别 4 和 5 的 IT 部分連接到最低控制層（級别 0-3）。
數據洩露日益普遍： 過去 10 年的數據洩露已成爲美國情報機構面臨的主要問題。來自 WikiLeaks 和 Vault7 洩密的啓示隻是其中的幾個例子。即使在今天，所謂的黑暗網站也對任何組織的安全構成嚴重威脅。最近，作爲勒索軟件活動的一部分，個人身份信息 (PII) 和其他機密公司數據已被轉儲到黑暗網站。
爲什麽軟件和供應鏈依賴性是潛在威脅
軟件和供應鏈依賴性構成瞭另一種威脅。軟件的設計、營銷、銷售和信任是爲瞭執行諸如安全網絡或跟蹤安全資産之類的事情。在某些情況下，安裝在系統上的軟件會成爲“内部人員”。關鍵組織功能中的軟件或構成關鍵基礎設施控制系統某些組件的供應鏈中的軟件——例如可編程邏輯控制器 (PLC)、二極管或 IED（獨立電子設備）——是否可以被視爲“内部威脅。” 這種供應鏈軟件可能是一種尚未充分考慮的有害内部威脅。SolarWinds 事件就是一個典型的例子。
據 Business Insider稱，SolarWinds 漏洞是通過軟件更新實施的。這種類型的供應鏈攻擊是有害的，它通過損害“内部人員”（在這種情況下是軟件和供應商）來感染公司，從而利用最佳實踐。
制造供應鏈威脅可以獲得對工廠運營技術的廣泛、深入的瞭解，瞭解流程的外觀，並瞭解組織中的資産。這種類型的威脅是獨一無二的，因爲它代表瞭從外部角度難以獲得的詳細知識水平。
供應鏈間諜活動要複雜得多，有時由不同的制造設施和運營管理，有時跨越全球，以及多個地緣政治邊界。此外，惡意軟件可能沒有可識别的異常行爲模式。然而，它在組織深處的存在對其運營構成瞭嚴重威脅。
網絡威脅情報和内部威脅檢測
網絡威脅情報 (CTI) 機制檢測内部威脅或在組織内進行欺詐的意圖非常複雜。爲此，最好考慮 Caltagirone、Pendergast 和 Betz  （2013 年）在入侵分析的鑽石模型背景下關於内部威脅的工作，以及 Wolfe 和 Hermanson（2004 年）的工作。該模型還可以幫助理解動機和各種隐藏元素，例如攻擊的受害者，這對於理解意圖和攻擊如何演變的預測性質非常有用。
結論
ICS 環境爲内部攻擊提供瞭沃土。與 IT 環境不同，OT 環境具有特定的硬件和軟件，並且可能遭受内生或外生、内部啓用的攻擊媒介的災難性破壞。對工業控制系統環境的攻擊需要在研究、時間和訪問方面付出專門的努力；因此，内部人員在一系列間諜威脅中發揮著獨特的作用。
内部人員瞭解流程、設定點、控制器和監督控制和數據採集 (SCADA) 軟件，以及物理資産所在的位置以及它們在 OT 環境中所扮演的角色。這使它們成爲瞭極好的剝削目标。