Nick Lewis(CISSP，GCWN))是一名信息安全分析師。他主要負責風險管理項目，并支持該項目的技術PCI法規(guī)遵從計劃。2002年，Nick獲得密歇根州立大學的電信理學碩士學位;2005年，又獲得Norwich大學的信息安全保障理學碩士學位。在他09年加入目前的組織之前，Nick曾在波士頓兒童醫(yī)院、哈佛醫(yī)學院初級兒科教學醫(yī)院，以及Internet2和密歇根州立大學工作。

怎樣區(qū)分內部人員和非內部人員編寫的惡意軟件?是否有軟件產品可以將由企業(yè)內部人員編寫的惡意軟件檢測出來?

[[128902]]

Nick Lewis：可信內部人員發(fā)起的攻擊是最常見和最古老的威脅之一。這些人可能已經擁有訪問權限來發(fā)起惡意攻擊，或者他們可以通過本地權限提升攻擊來容易地訪問敏感數據。

雖然區(qū)分內部人員和非內部人員攻擊很困難，但更困難的是檢測內部人員編寫的惡意軟件。外部惡意軟件編程者編寫的有針對性攻擊可能會偽裝成來自內部的攻擊，因為這個攻擊中可能利用了內部賬戶。

另外，數據泄露也可能是內部人員攻擊。

與內部惡意軟件相比，非內部人員和非定制化惡意軟件更容易檢測，因為來自其他網絡的其他系統(tǒng)可能會向反惡意軟件供應商提交相同的可疑文件;供應商的安全情報也有助于對這種威脅的檢測。

然而，現在沒有軟件產品可以發(fā)現企業(yè)內部人員編寫的惡意軟件。你可以確定惡意軟件是否使用了內部命令和控制系統(tǒng)，或者文件是否是從合法系統(tǒng)下載。在發(fā)現惡意軟件文件后，應該檢查其共享庫或編碼風格，并與企業(yè)內部風格進行對比，查看是否有任何共同之處。

企業(yè)可以通過監(jiān)控系統(tǒng)和審查日志中的可疑活動來檢查內部攻擊(無論是否使用自定義開發(fā)的惡意軟件)，例如檢查身份驗證在何時何地發(fā)生，以及在這些系統(tǒng)哪些文件被訪問。CERT也在專注于內部威脅，并提供了內部威脅最佳做法列表來幫助防止和檢測內部威脅。