内鬼难防？企业内部威胁防护的七条建议

根据Ponemon发布的一项调查报告显示，内部恶意事件会对企业造成更大的损失——平均每起事件损失755,760美元，每年损失408万美元。Code42公司CISO兼CIO Jadee Hanson表示：“如今的数据多是数字化和便携式的，因此想要获取它易如反掌。员工和承包商有无数种方法可以将专有文档转储到可移动U盘、个人Dropbox或G-Drive上，并随身携带，以便可以在下一份工作中受益或为竞争对手提供战略优势。其中，源代码、专利申请以及客户名单都是极受恶意内部人员青睐的数据。”

以下是防止恶意内部人员攻击的一些建议，其中部分建议同样适用于非恶意内部事件。

1. 建立专业的内部风险防护团队

内部风险防护负责人员需要具备对员工和面试者的行为分析技能，能够高效识别潜在的恶意内部风险。而且内部风险分析涉及到每个并肩工作的同事，所以负责内部风险的分析师要格外谨慎且不宜过多，因为太多人访问他人的敏感信息，本身也是一种风险。

企业需要一支致力于内部风险的完整团队。然后，该团队可以向法律和人力资源部门报告他们在公司和行业内观察到的情况，以便确定应对内部威胁最合适的解决方案。

2. 准确识别和界定恶意内部风险类别

虽然企业遭遇的恶意内部事件各有不同，但最典型的莫过于以下两种基本类型：

一种是，外部威胁组织以丰厚的报酬引诱内部员工交出敏感的公司数据。这种情况非常明确，也更容易起诉;另一种情况则不容易界定，即员工离职时，安全团队在其私人iCloud或Google drive发现存有企业隐私数据。此类情况不好界定的原因是，该员工都会借口推脱称只是无意行为。这也是上述要建立内部风险防护团队的重要原因之一，他们此时必须能够判断这个人是否在撒谎。

3. 尽早发现企业的风险因素

内部风险防护团队需要确定企业中风险最大的人员。当涉及到恶意案例时，企业内中级网络和数据库管理人员通常是需要特别注意，因为他们有权访问域管理路由、对服务器的路由访问以及对公司防火墙的访问权限。他们清楚地知道自己的行为会产生什么后果，一旦发生异常情况，则更有可能并非意外。

通过审视风险，能够建立起更有效的防御机制。此外，安全团队还需要了解企业的高风险数据。例如，开发人员创建的源代码文件，知识产权以及客户名单等等。

4. 让安全团队尽早参与事件处置

如果公司不给安全分析师参与初步事件调查的机会，那么之后的人力资源和法务部门可能会忙成一锅粥。安全分析师必须有能力对嫌疑人员进行初步调查。在安全分析师掌握更多事实之前，进一步推进案件是没有意义的。

举个例子，一位高管将敏感的公司信息下载到个人U盘上，这件事看起来很可疑，但经过调查后发现，这位高管正在住院，拷贝资料只是为了让妻子帮忙打印出来，以便可以在医院办公。

在初步调查过程中，安全分析师必须考虑以下问题：我对嫌疑人员了解多少?他们为什么要离开组织?他们在过去60天内做了什么?他们是否存在前科，或做出了有违职业操守的行为等等。

5. 建立完整的内部威胁处置流程

在恶意内部人员案件中，企业最终可能会指控员工犯罪。因此，企业需要制定此类案件的完整处理流程。如果缺少安全团队、人力资源和法律部门的合作，就无法实现这一点。安全分析师进行初步调查只是充当了侦探的角色，他们还需要将证据提交给充当法官、陪审团和审判长的上级领导。

设立内部风险计划的安全分析师也应该与执法部门保持联系。例如，如果分析师看到可能导致实际工作场所暴力(危及生命)的虚拟指标，则可能会直接求助于执法部门。但是对于数字案例，安全团队应该与HR和法律部门密切合作。

内部威胁计划旨在减轻有权访问组织资产的个人造成的风险，而该人不仅仅存在于虚拟世界中。公司需要从整体的角度来看待并了解现实生活中可能发生的会造成损失的事情。将两者结合是减轻威胁最有效的方法。

6. 制定完善的员工行为管理制度

员工应该了解公司已经制定的旨在保护公司数据并概述违规流程和处罚的内部风险计划。

大多数公司都制定了相当标准的政策，规定了可接受的使用政策以及员工应该如何处理公司数据。围绕惩罚制定政策是最常见的方式。大多数公司都根据自身能够承受的风险水平制定了政策，例如，如果有人第二次落入钓鱼邮件陷阱以及第二次导致公司丢失敏感数据，将受到相应惩罚。

“事不过三”的原则说起来容易，实践起来却并不简单。如果某位员工在此类事件上“屡禁不止”，这可能就是搜寻恶意事件源头的重要信号。

7. 采用最新的安全技术

除了上述安全建议外，企业组织还可以利用最新的安全技术来防止内部攻击。例如，通过使用像Google G Suite这样的工具，公司可以知道他们的员工正在访问哪些文档，阻止他们下载某些类型的文档，并制定相关政策以贯彻落实这一目标。

以Code42公司为例，他们已经将每个员工都转移至云端，公司现在要做的就是管理远程访问。每个人在云端都有一个特定于工作角色的分区，唯一的危险因素就是管理员。

【本文是51CTO专栏作者“安全牛”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文