內(nèi)鬼你如何識別

■宋懷生

內(nèi)鬼你如何識別

■宋懷生

人類史上影響力最大的泄密者應該非愛德華·斯諾登莫屬，其憑一人之力撬動了全球各國政府以及公眾對信息網(wǎng)絡安全的關注。另一位稍稍遜色的泄密者是切爾西·曼寧，由于他向維基解密網(wǎng)站泄露大量的秘密文件，被判入獄35年。在這兩起案件里，他們都利用內(nèi)部人員的身份規(guī)避了某些美國政府最安全的電腦系統(tǒng)。

威瑞森(Verizon)的2014數(shù)據(jù)泄露調查報告顯示，經(jīng)濟收益或商業(yè)欺詐是去年11698起內(nèi)部權限濫用案例的主要驅動力。而網(wǎng)絡監(jiān)控軟件公司SpectorSoft則聲稱，內(nèi)鬼作案僅2013年一年就造成美國公司400億美元的損失。

內(nèi)鬼可以通過多種途徑識別出來，技術性和非技術性的指標都有。這里列舉一些非技術性的指標：

·非模范員工——這種人一貫是第一個到辦公室又最后一個走。他總是有很多事情要做而不得不加班。如果實際上并沒有什么項目是急著結案的，那他這種天天加班的行為就諭示著此人在從事什么可疑的撈外快的工作了。

·鋼鐵俠——一個長期不休假的人可能沒什么機會與他人分享工作上的事。如果有人不與他人合作也不參考他人意見，總是對自己手頭的工作保密，那他正在做的事就極有可能帶有內(nèi)鬼性質了。

追根溯源，這兩個指標其實同宗。行為鬼祟的員工試圖隱藏自己的惡意，并利用他在組織中取得的信任為其惡意目的服務。

技術上的指標更加清晰?？梢栽诎踩畔⒑褪录芾?SIEM)、數(shù)據(jù)泄露防護中設置一些規(guī)則以檢測到這些指標。

以下是幾條技術性指標：

·遠程和本地不同接入點的登錄記錄數(shù)增加

·在奇怪的時間點出現(xiàn)網(wǎng)絡登錄

·從工作到個人訪問的站點不同

·從內(nèi)部系統(tǒng)中導出報告和下載的次數(shù)增加

綜上所述，雖然Logistic模型是針對于二值變量的回歸，但不論是從現(xiàn)實意義，還是統(tǒng)計檢驗甚至整體預測擬合，逐步回歸模型明顯更貼近實際生活．

·經(jīng)常訪問未經(jīng)授權的云存儲站點是什么導致員工成為內(nèi)鬼?

很遺憾，這個問題的答案，不是那么簡單。很多因素都能促成員工琵琶別抱或情緒引爆，有時內(nèi)部人員由好變壞也就需要一個引爆點而已：

·外來誘惑——外部人士，比如競爭對手，會對愿意為其所用的內(nèi)部人士許以經(jīng)濟上的激勵。作為偷取信息的獎勵，競爭對手會承諾讓內(nèi)鬼到自己的公司來上班。

·重大事件——如果一個人習慣什么都自己承受，別人也就不太可能知曉他身上發(fā)生的大事。這也許不會直接導致員工叛變，但與外部誘惑一結合，他們就會覺得自己可以不計后果地干了。

·兩周交接期——即將離開公司的員工有可能想帶走某些資源。比如客戶信息、交易內(nèi)幕，或者任何可能對未來角色有用的東西。這是不道德的行為，而且通常違反公司規(guī)定(即使目前沒有明文規(guī)定，也應該制訂這樣的準則)。

·升遷無望——剛被訓誡過，或者錯過了晉升的員工也許會心生不滿想要報復。這種人到達引爆點而怒變內(nèi)鬼的可能性是存在的。

你聽過這句話嗎?“員工不辭職，他們只是炒了老板?！被蛘摺案惺艿秸J可的人往往做得比期望的還好。”在降低員工變內(nèi)鬼的風險方面，這兩句話堪稱真理。如果員工感受到認可并且喜歡他們所做的事，他們會確保自己好好干下去。如果員工喜歡為公司工作，關注公司發(fā)展，那他們會自覺保護公司機密。不只員工個人的成功會凝聚成公司的成功，公司的成功也能夠成就員工的輝煌。

·風險評估時將內(nèi)部威脅一并考慮進去

·確保新進人員都通過了背景調查

·制訂并實施清晰明確的策略和控制

·對所有員工進行安全意識培訓

·對可疑行為進行監(jiān)控和響應

·預測并管理負面工作情緒

在人力資源、法務部門和IT團隊間設立清晰的溝通界限和規(guī)程從技術的角度出發(fā)，可以考慮以下幾種控制：

·實現(xiàn)嚴格的密碼和賬號策略

·實施職責分離、最小訪問權限和數(shù)據(jù)分級

·跟蹤特權賬號的使用

·實現(xiàn)系統(tǒng)修改管控和審批流程

·離職即停用賬號，或角色發(fā)生改變時修改相應訪問權限

·記錄、監(jiān)視和審計員工網(wǎng)絡活動

內(nèi)鬼絕對是能影響到任何組織的威脅。