人類史上影響力***的泄密者應(yīng)該非愛德華·斯諾登莫屬，其憑一人之力撬動(dòng)了全球各國政府以及公眾對(duì)信息網(wǎng)絡(luò)安全的關(guān)注。另一位稍稍遜色的泄密者是切爾西·曼寧，由于他向維基解密網(wǎng)站泄露大量的秘密文件，被判入獄35年。在這兩起案件里，他們都利用內(nèi)部人員的身份規(guī)避了某些美國政府最安全的電腦系統(tǒng)。

[[129274]]

威瑞森(Verizon)的2014數(shù)據(jù)泄露調(diào)查報(bào)告顯示，經(jīng)濟(jì)收益或商業(yè)欺詐是去年11698起內(nèi)部權(quán)限濫用案例的主要驅(qū)動(dòng)力。而網(wǎng)絡(luò)監(jiān)控軟件公司SpectorSoft則聲稱，內(nèi)鬼作案僅2013年一年就造成美國公司400億美元的損失。

內(nèi)鬼可以通過多種途徑識(shí)別出來，技術(shù)性和非技術(shù)性的指標(biāo)都有。這里列舉一些非技術(shù)性的指標(biāo)：

· 非模范員工 —— 這種人一貫是***個(gè)到辦公室又***一個(gè)走。他總是有很多事情要做而不得不加班。如果實(shí)際上并沒有什么項(xiàng)目是急著結(jié)案的，那他這種天天加班的行為就諭示著此人在從事什么可疑的撈外快的工作了。

· 鋼鐵俠 —— 一個(gè)長(zhǎng)期不休假的人可能沒什么機(jī)會(huì)與他人分享工作上的事。如果有人不與他人合作也不參考他人意見，總是對(duì)自己手頭的工作保密，那他正在做的事就極有可能帶有內(nèi)鬼性質(zhì)了。

追根溯源，這兩個(gè)指標(biāo)其實(shí)同宗。行為鬼祟的員工試圖隱藏自己的惡意，并利用他在組織中取得的信任為其惡意目的服務(wù)。

技術(shù)上的指標(biāo)更加清晰。可以在安全信息和事件管理(SIEM)、數(shù)據(jù)泄露防護(hù)中設(shè)置一些規(guī)則以檢測(cè)到這些指標(biāo)。以下是幾條技術(shù)性指標(biāo)：

· 遠(yuǎn)程和本地不同接入點(diǎn)的登錄記錄數(shù)增加

· 在奇怪的時(shí)間點(diǎn)出現(xiàn)網(wǎng)絡(luò)登錄

· 從工作到個(gè)人訪問的站點(diǎn)不同

· 從內(nèi)部系統(tǒng)中導(dǎo)出報(bào)告和下載的次數(shù)增加

· 經(jīng)常訪問未經(jīng)授權(quán)的云存儲(chǔ)站點(diǎn)是什么導(dǎo)致員工成為內(nèi)鬼?

很遺憾，這個(gè)問題的答案，不是那么簡(jiǎn)單。很多因素都能促成員工琵琶別抱或情緒引爆，有時(shí)內(nèi)部人員由好變壞也就需要一個(gè)引爆點(diǎn)而已：

· 外來誘惑 —— 外部人士，比如競(jìng)爭(zhēng)對(duì)手，會(huì)對(duì)愿意為其所用的內(nèi)部人士許以經(jīng)濟(jì)上的激勵(lì)。作為偷取信息的獎(jiǎng)勵(lì)，競(jìng)爭(zhēng)對(duì)手會(huì)承諾讓內(nèi)鬼到自己的公司來上班。

· 重大事件 —— 如果一個(gè)人習(xí)慣什么都自己承受，別人也就不太可能知曉他身上發(fā)生的大事。這也許不會(huì)直接導(dǎo)致員工叛變，但與外部誘惑一結(jié)合，他們就會(huì)覺得自己可以不計(jì)后果地干了。

· 兩周交接期 —— 即將離開公司的員工有可能想帶走某些資源。比如客戶信息、交易內(nèi)幕，或者任何可能對(duì)未來角色有用的東西。這是不道德的行為，而且通常違反公司規(guī)定(即使目前沒有明文規(guī)定，也應(yīng)該制訂這樣的準(zhǔn)則)。(關(guān)注“安全牛”，回復(fù)“離職員工”可查看《別讓離職員工帶走你的數(shù)據(jù)》)

· 升遷無望 —— 剛被訓(xùn)誡過，或者錯(cuò)過了晉升的員工也許會(huì)心生不滿想要報(bào)復(fù)。這種人到達(dá)引爆點(diǎn)而怒變內(nèi)鬼的可能性是存在的。

你聽過這句話嗎?“員工不辭職，他們只是炒了老板。”或者“感受到認(rèn)可的人往往做得比期望的還好。”在降低員工變內(nèi)鬼的風(fēng)險(xiǎn)方面，這兩句話堪稱真理。如果員工感受到認(rèn)可并且喜歡他們所做的事，他們會(huì)確保自己好好干下去。如果員工喜歡為公司工作，關(guān)注公司發(fā)展，那他們會(huì)自覺保護(hù)公司機(jī)密。不只員工個(gè)人的成功會(huì)凝聚成公司的成功，公司的成功也能夠成就員工的輝煌。

從非技術(shù)的角度出發(fā)，可以采取幾個(gè)預(yù)警措施檢測(cè)并預(yù)防內(nèi)鬼威脅：

· 風(fēng)險(xiǎn)評(píng)估時(shí)將內(nèi)部威脅一并考慮進(jìn)去

· 確保新進(jìn)人員都通過了背景調(diào)查

· 制訂并實(shí)施清晰明確的策略和控制

· 對(duì)所有員工進(jìn)行安全意識(shí)培訓(xùn)

· 對(duì)可疑行為進(jìn)行監(jiān)控和響應(yīng)

· 預(yù)測(cè)并管理負(fù)面工作情緒

· 在人力資源、法務(wù)部門和IT團(tuán)隊(duì)間設(shè)立清晰的溝通界限和規(guī)程從技術(shù)的角度出發(fā)，可以考慮以下幾種控制：

· 實(shí)現(xiàn)嚴(yán)格的密碼和賬號(hào)策略

· 實(shí)施職責(zé)分離、最小訪問權(quán)限和數(shù)據(jù)分級(jí)

· 跟蹤特權(quán)賬號(hào)的使用

· 實(shí)現(xiàn)系統(tǒng)修改管控和審批流程

· 離職即停用賬號(hào)，或角色發(fā)生改變時(shí)修改相應(yīng)訪問權(quán)限

· 記錄、監(jiān)視和審計(jì)員工網(wǎng)絡(luò)活動(dòng)

· 內(nèi)鬼絕對(duì)是能影響到任何組織的威脅