[[430813]]

對眾多企業(yè)而言，來自外部的黑客始終是一個威脅，但有時候，更為嚴(yán)重的風(fēng)險(xiǎn)來自企業(yè)內(nèi)部。根據(jù)波耐蒙研究所(Ponemon Institute)的數(shù)據(jù)，內(nèi)部威脅平均每年使大型企業(yè)和組織損失1792萬美元，涉及個人、企業(yè)敏感數(shù)據(jù)等信息。這些威脅的源頭往往來自一些員工和合作伙伴。通過以下這些案例，生動展現(xiàn)了這些威脅所帶來的巨大危害。

事件一

• 行業(yè)：醫(yī)療保健
• 公司：某醫(yī)療包裝公司
• 事件類型：數(shù)據(jù)破壞
• 事件日期：2020
• 公開披露事件：2020

去年，美國聯(lián)邦檢察官判定，該公司一位名叫克里斯托弗·多賓斯的前員工犯有利用計(jì)算機(jī)輔助進(jìn)行的犯罪破壞行為，他在被公司解雇后，以之前擁有的管理權(quán)限創(chuàng)建虛假賬戶訪問了公司的運(yùn)輸系統(tǒng)，在新冠疫情爆發(fā)的高峰期干擾和延遲了了公司對個人防護(hù)設(shè)備(PPE)的正常發(fā)貨?？死锼雇懈ミ€創(chuàng)建第二個賬戶編輯或刪除了近12萬條公司記錄，為公司帶來超20萬美元的損失。

事件二

• 行業(yè)：制造
• 公司：通用電氣公司(GE)
• 事件類型：知識產(chǎn)權(quán)盜竊、欺詐
• 事件日期：2011-2012
• 公開披露事件：2019

經(jīng)過長期的調(diào)查和繁雜的法庭訴訟，F(xiàn)BI揭露了兩位前GE員工米格爾·塞爾納斯和讓·帕特里斯·德利亞公然竊取公司知識產(chǎn)權(quán)和商業(yè)機(jī)密的行為。最初，參與高度復(fù)雜渦輪機(jī)制造的性能工程師德利亞通過自身權(quán)限下載了涉及該器械的機(jī)密性文件，并說服IT部門某員工幫助他獲取了成本模型、提案和合同等文件。利用這些信息，他和塞爾納斯成立了一家競品公司，不僅在同產(chǎn)品上削弱了GE，也在FBI進(jìn)行調(diào)查的同時正常運(yùn)行了多年。

事件三

• 行業(yè)：制造
• 公司：豐田
• 事件類型：商業(yè)欺詐郵件
• 事件日期：2011-2012
• 公開披露事件：2019

一位從事商業(yè)欺詐郵件(BEC)的詐騙者，通過冒充該公司的商業(yè)合作伙伴，成功欺騙了歐洲子公司的一名財(cái)務(wù)人員，將3700萬美元匯入了一個外國賬戶。

這些BEC騙局通常會針對一些目標(biāo)公司內(nèi)平時會粗心大意的人員，攻擊者會先通過獲得公司的網(wǎng)絡(luò)訪問權(quán)限進(jìn)行深入偵察，觀察內(nèi)部員工或員工與合作伙伴間的通信模式，以便進(jìn)行模仿并篩選出能夠被欺騙的潛在目標(biāo)，并適時發(fā)出他們精心準(zhǔn)備的郵件陷阱。

事件四

• 行業(yè)：電信
• 公司：AT&T
• 事件類型：
• 事件日期：2012-2017
• 公開披露事件：2019

因賄賂可以進(jìn)入公司系統(tǒng)的公司員工，解鎖大量價格昂貴的iPhone手機(jī)在AT&T網(wǎng)絡(luò)之外使用，美國電信供應(yīng)商AT&T公司為此蒙受了長期的巨額損失。罪犯的主要策略是賄賂呼叫中心員工在AT&T系統(tǒng)上安裝惡意軟件，使他們能夠按要求自動解鎖AT&T手機(jī)。該計(jì)劃使AT&T損失了價值2億美元的用戶，涉及200萬部解鎖手機(jī)。巴基斯坦居民穆罕默德-法赫德(Muhammad Fahd)于2018年因該罪行被捕，并在9月初被美國地區(qū)法院判處12年監(jiān)禁。

事件五

• 行業(yè)：金融
• 公司：第一資本
• 事件類型：1億個信用卡申請和賬戶被入侵
• 事件日期：2019
• 公開披露事件：2019

亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)的一名前軟件工程師通過在職時掌握的有關(guān)客戶云部署弱點(diǎn)，利用AWS的客戶第一資本(Capital One)錯誤配置的防火墻漏洞，獲取了特權(quán)賬戶憑證，并竊取和傳播了1億名信用卡申請人和賬戶持有人的信息。美國司法部已在今年對這起事件提出了七項(xiàng)計(jì)算機(jī)欺詐和濫用以及訪問設(shè)備欺詐的指控。

事件六

• 行業(yè)：金融
• 公司：紐約某信用社
• 事件類型：惡意刪除文件
• 事件日期：2021
• 公開披露事件：2021

紐約一家信用社在解雇一名叫朱莉安娜巴里爾的員工后，IT部門沒有按照規(guī)定停用其賬戶。她在40分鐘的時間內(nèi)瘋狂刪除了21.3GB的公司數(shù)據(jù)， 包括2萬個文件和3500個目錄，以及公司的抵押貸款申請和反勒索軟件。她還訪問了一些如董事會記錄在內(nèi)的敏感文件。

事件七

• 行業(yè)：技術(shù)
• 公司：薇塔芙(Vertafore)公司
• 事件類型：泄露用戶敏感信息
• 事件日期：2020

公開披露事件：2020保險(xiǎn)軟件開發(fā)商Vertafore的某員工在存儲數(shù)據(jù)時，將數(shù)據(jù)文件存儲在一個不安全的外部存儲服務(wù)中，導(dǎo)致2770萬德克薩斯州司機(jī)的敏感信息被泄露，包括該公司用來為其軟件創(chuàng)建保險(xiǎn)評級功能的數(shù)百萬份駕駛執(zhí)照的信息。這是云存儲時代因人為原因造成數(shù)據(jù)泄露的典型案例。Vertafore因此正面臨集體訴訟。

事件八

• 行業(yè)：技術(shù)
• 公司：亞馬遜
• 事件類型：通過訪問機(jī)密信息進(jìn)行內(nèi)幕交易
• 事件日期：2016-2018
• 公開披露事件：2020

亞馬遜稅務(wù)部門的高級經(jīng)理拉克沙-博拉利用她掌握的財(cái)務(wù)信息，編制季度報(bào)表，以幫助她的家人通過內(nèi)幕交易獲利。根據(jù)美國檢察官辦公室的說法，拉克沙-博拉向她的丈夫提供了公司未公開的收入和利潤信息，他利用這些信息在亞馬遜連續(xù)11次公布收益之前進(jìn)行非法股票和期權(quán)交易，使這個家庭在過程中獲利140萬美元。在今年夏天簽署的認(rèn)罪協(xié)議中，她丈夫被判處26個月監(jiān)禁，并被罰款260多萬美元。

事件九

• 行業(yè)：零售
• 公司：加內(nèi)特爆米花
• 事件類型：盜竊商業(yè)機(jī)密
• 事件日期：2019
• 公開披露事件：2019

根據(jù)2019年提交給美國伊利諾伊州北區(qū)地方法院的訴訟，芝加哥爆米花零售業(yè)的代表——加內(nèi)特爆米花指控前研發(fā)總監(jiān)艾莎-普特南通過將公司數(shù)據(jù)復(fù)制到U盤，并向自己的個人郵箱發(fā)送電子郵件，從公司竊取了5000多份文件，包括產(chǎn)品的成分、配方、公式和方法。 普特南則在去年反訴該公司，聲稱被解雇和最初的訴訟是對她向上司提出的健康和安全投訴的報(bào)復(fù)。無論真相如何，該事件為訪問和處理敏感知識產(chǎn)權(quán)的內(nèi)在風(fēng)險(xiǎn)提供了一個典型例子。

事件十

• 行業(yè)：政府
• 公司：美國達(dá)拉斯市
• 事件類型：敏感數(shù)據(jù)被意外刪除
• 事件日期：2018-2021
• 公開披露事件：2021

有時，內(nèi)部人員的疏忽對技術(shù)基礎(chǔ)設(shè)施的破壞程度不亞于那些意圖報(bào)復(fù)的惡意人員。據(jù)《達(dá)拉斯晨報(bào)》報(bào)道，在一次內(nèi)部審查中，發(fā)現(xiàn)一名IT人員因?yàn)閯h除了超過22TB大小的警察局文件而被解雇。據(jù)稱，自2018年以來，該IT人員因?yàn)闊o視了相關(guān)數(shù)據(jù)遷移傳輸?shù)南嚓P(guān)規(guī)定，致使大量文件被錯誤刪除。

通過以上案例不難發(fā)現(xiàn)，來自企業(yè)的內(nèi)部威脅主要有如下幾類：

• 內(nèi)部人員為獲私利獲取機(jī)密數(shù)據(jù)
• 涉密離職人員的賬號或權(quán)限未能及時收回
• 因工作疏忽導(dǎo)致的數(shù)據(jù)損失或泄露

這些潛在的數(shù)據(jù)安全“漏洞”，讓企業(yè)不得不從多角度思考、建立數(shù)據(jù)安全機(jī)制，除了建立防火墻、數(shù)據(jù)加密存儲、完善賬號使用制度等提高數(shù)據(jù)防護(hù)的“硬指標(biāo)”，更要防范諸如社會工程學(xué)等方面的隱形滲透，做好人員思想工作，提高人員的安全意識。