無論企業(yè)是剛剛開始制定計(jì)劃來緩解內(nèi)部威脅風(fēng)險(xiǎn)，還是已經(jīng)部署了這樣的計(jì)劃，如果沒有可靠的內(nèi)部威脅檢測工具，企業(yè)的內(nèi)部威脅緩解計(jì)劃將很難取得成功。

這是Raytheon Oakley Systems公司防御計(jì)劃主管Daniel Velez傳達(dá)的主要信息，他在RSA 2014大會(huì)上談到了成功的內(nèi)部威脅管理計(jì)劃的基礎(chǔ)。

Velez表示，內(nèi)部威脅檢測工具通常屬于數(shù)據(jù)丟失防護(hù)或端點(diǎn)監(jiān)控產(chǎn)品的類別，這是部署在端點(diǎn)監(jiān)控用戶如何與數(shù)據(jù)進(jìn)行交互的工具;它們采用基于政策的技術(shù)控制來防止用戶的某些行為，例如轉(zhuǎn)發(fā)敏感電子郵件到個(gè)人賬戶或者復(fù)制專有數(shù)據(jù)到U盤。

Velez談到，在通常情況下，企業(yè)會(huì)被具有強(qiáng)大端點(diǎn)檢測代理的華而不實(shí)的工具所吸引，但他警告企業(yè)不要僅依據(jù)工具在端點(diǎn)可以檢測的內(nèi)容來選擇工具。他建議，根據(jù)企業(yè)特有的情況來選擇產(chǎn)品，包括企業(yè)運(yùn)行著什么端點(diǎn)平臺(tái)、端點(diǎn)平臺(tái)是否易于部署和管理、它提供怎樣的政策靈活性，以及事件響應(yīng)和管理功能是否能順利整合到企業(yè)現(xiàn)有流程。

在產(chǎn)品選擇過程中，還有一些常常被忽視的標(biāo)準(zhǔn)。例如，Velez表示，很多大型企業(yè)或者具有成熟管理結(jié)構(gòu)的企業(yè)在內(nèi)部威脅管理過程中通常會(huì)牽扯很多利益相關(guān)者，包括審計(jì)委員會(huì)成員、合規(guī)利益相關(guān)者，以及人力資源和法律代表，所有這些利益相關(guān)者可能需要訪問內(nèi)部威脅產(chǎn)品。

“我選擇的工具是否允許我有多個(gè)利益相關(guān)者?”Velez問道，“如果總法律顧問想要一個(gè)賬戶，或者人力資源想要一個(gè)賬戶，我能否滿足他們的要求?”

Velez表示，良好的內(nèi)部威脅檢測工具還將幫助管理員正確地判斷事件，提供足夠的信息來幫助判斷員工是惡意試圖感染網(wǎng)絡(luò)或者只是簡單地插入他或她的U盤到電腦而不知道其中包含病毒。

“我從事反間諜威脅調(diào)查者工作長達(dá)8年，98%出現(xiàn)在我辦公桌上的事件是別人的問題，通常只是員工為了完成工作而違反規(guī)則，”Velez表示，“我們需要內(nèi)容來幫助我們對(duì)員工進(jìn)行培訓(xùn)。”

他指出，一個(gè)產(chǎn)品應(yīng)該要能夠?qū)?nèi)部威脅檢測計(jì)劃中的變更迅速調(diào)整政策，特別是用戶和利益相關(guān)者如何反應(yīng)。

“相信我，如果你隱蔽地進(jìn)行部署，消息肯定會(huì)不脛而走，”Velez說道，“當(dāng)你推出這個(gè)工具時(shí)，你會(huì)因?yàn)楹芏嗍虑槭艿胶芏嘭?zé)備，請(qǐng)做好準(zhǔn)備，并不斷審核你的政策。”

Velez還強(qiáng)調(diào)了必須確保內(nèi)部威脅檢測工具可以提供讓人易懂的輸出結(jié)果。他表示，雖然對(duì)于某些人來說，關(guān)于單個(gè)事件的20頁紙的報(bào)告很有用，但好的工具應(yīng)該能夠總結(jié)事件的關(guān)鍵點(diǎn)，讓***信息官或者其他高管及非技術(shù)型利益相關(guān)者可以快速輕松地了解發(fā)生了什么，并做出正確的決策來響應(yīng)。

選擇合適內(nèi)部威脅檢測工具的挑戰(zhàn)還包括，商業(yè)產(chǎn)品的成熟度千差萬別。Velez表示，企業(yè)不能根據(jù)研究公司推薦的一組產(chǎn)品列表來開始產(chǎn)品選擇過程，而是應(yīng)該根據(jù)企業(yè)的審計(jì)需求。

“從提出基本問題開始，‘我想要這個(gè)工具做什么?’，然后再深入一點(diǎn)，”Velez表示，“與其他正在選擇產(chǎn)品的企業(yè)溝通，并探討他們的能力是什么。并且，你需要找已經(jīng)從事這個(gè)行業(yè)一段時(shí)間而且不擔(dān)心你與現(xiàn)有客戶聯(lián)系的供應(yīng)商。”

即使考慮了所有的因素，在實(shí)際部署工具前，我們不可能完全知道一個(gè)工具可以和不可以做什么，這也是Velez強(qiáng)烈建議在購買產(chǎn)品前進(jìn)行試點(diǎn)部署的原因。他補(bǔ)充說，企業(yè)必須確保供應(yīng)商不僅有堅(jiān)實(shí)的部署計(jì)劃，而且還能夠支持企業(yè)的特定業(yè)務(wù)需求。

CareerBuilder.com信息安全和合規(guī)團(tuán)隊(duì)位于亞特蘭大的成員Jim Butler表示，他的企業(yè)正在評(píng)估內(nèi)部威脅檢測工具。

Butler表示，其企業(yè)在審計(jì)過程涉及廣泛的利益相關(guān)者群體，他們需要一個(gè)產(chǎn)品能夠幫助已經(jīng)很忙碌的工作人員持續(xù)審計(jì)潛在內(nèi)部威脅，而不是成為一個(gè)巨大的負(fù)擔(dān)。

他還指出，為高度協(xié)作網(wǎng)絡(luò)環(huán)境選擇合適的工具是很艱巨的挑戰(zhàn)，因?yàn)檫@些環(huán)境不斷會(huì)推出新產(chǎn)品和程序。

“我們很難說什么工具適合在什么環(huán)境運(yùn)作，”Butler表示，“我們選擇產(chǎn)品的重點(diǎn)是，所選產(chǎn)品不能打擾或者減緩員工的工作，同時(shí)還為我們提供一定的可視性。”