識別並預防內部人員威脅需要做好這三樣工作

即將離職的員工是否要打包並帶走數據？如何更好地保護企業網路和敏感資料受到內部人員的威脅？

6月，荷蘭一家Web託管提供商Verelox不得不完全關停所有服務，防止客戶訪問其數據和虛擬伺服器。

這是勒索軟體的另一個案例嗎？外部黑客的又一次惡作劇？非也。該公司的棘手局面，完全是被心懷怨恨的前僱員造成的。《國際商務時報》引用Verelox消息稱，該前僱員「刪除了所有客戶數據，清空了絕大部分伺服器。」

幸運的是，Verelox幾天後便恢復了，沒有遺失任何重要數據。但很多同類事件沒有這麼走運。專家稱，企業數據面臨的內部人員威脅正在上升。關於怎樣最小化內部人員威脅，你應該知道下面這些內容。

了解內部人員威脅背景

員工流動性，承包商的全球分布，對雲服務和BYOD日益嚴重的依賴，開創了內部人員威脅相關安全風險新時代。

遠程員工引入的威脅尤其大。某公司高管就曾透露，位於印度的1000名開發人員手握公司源代碼，更別提還有在中國的500家承包商，太難準確知道風險是什麼了。相比在公司辦公室里同事環繞的氛圍，在家辦公的員工，更容易售賣或利用公司專有資料。

同時，公司企業越來越傾向於將數據存放在雲端，而越多數據存放雲端，數據被盜的風險就越大。存儲的邊際成本在今天基本為零，因而公司企業沒什麼動力去刪除數據，只是把所有東西都一股腦存在那兒，也就意味著可偷取的潛在數據比想像中更多。

加之暗網上用戶名和口令售賣生意的巨大利潤，還有源代碼和其他知識產權日益增加的價值，有足夠的理由擔心在職員工或前員工盜竊公司數據。PCWorld就曾報道過，安全公司Flashpoint發現一名軟體公司員工試圖以1.5萬美元的價格售賣源代碼。

當然，並非所有內部人員威脅都是惡意的。BYOD也會成為非故意內部人員數據泄露的主因。比如新入職的員工在其個人設備上仍然保留有上一任僱主的電子郵件系統等等。

內部人員威脅十分現實

研究顯示，離職或在職員工數據盜竊案，是個日益嚴重的問題（可能還是會造成巨大損失的問題）。

Haystax Technology公司的安全專家在2017年做的一份調查揭示，56%的受訪者稱內部人員威脅在過去1年中更為頻繁了。75%的受訪者認為，內部人員數據泄露修復成本可達50萬美元。

IBM在2016年做的研究顯示，60%的數據泄露都是內部人員所為。這些數據泄露中，75%是惡意的，25%是無意的。威瑞森2017調查報告將內部人員導致的數據泄露比例定得更高，在77%。

埃森哲諮詢公司「2016網路安全和數字信譽狀態」調查發現，內部人員數據盜竊和惡意軟體攻擊，是企業安全高管最首要的擔憂。大多數受訪者(69%)稱，自己的公司在過去1年中經歷過內部人員數據盜竊或數據破壞（有成功的也有不成功的）。

安全文件共享服務提供商Biscom在2015年的調查中，1/4的受訪者承認自己在離職時帶走了數據。其中，85%稱拿走的是自己創建的資料，並不覺得這有什麼不對。而帶走資料的人中，95%認為這是完全可能的——因為僱主沒有工具或策略來阻止他們，而即便公司確實有策略不允許拿走，他們也會無視這些策略。

預防內部人員威脅，你可以做以下3件事：

1. 自動化設備清除

很多企業使用微軟的活動目錄(AD)服務集中管理用戶賬戶。員工離職時，人力資源(HR)部通常會撤銷該員工的AD記錄。該撤銷動作應起到觸發自動清除該員工設備數據的作用。但出於各種各樣的複雜原因，離職員工設備數據清除過程往往是手動處理的。

如果可以的話，公司企業可採用自動同步AD的移動設備管理、身份管理系統和其他安全工具，來觸發自動數據清除過程。這有助於防止離職用戶繼續訪問公司數據，尤其是不需要用戶定期登出的雲服務。比如說，一旦未進行盡職審查，員工就有可能在離職後數天或數周內，繼續使用其公司電郵賬戶。

自動化，是最小化前員工威脅的關鍵。身份管理解決方案可自動化撤權過程，確保用戶離職即刪除系統中的賬戶。

此類解決方案必須配合強有力的內部監管，比如內部審查，以核實賬戶確實被清除，以及對系統中錯漏的發現與糾正有問責。比如未及時跟進離職過程的經理。雙因子身份驗證也有助於增加重新黑進系統的難度。

2. HR、法務、安全和業務管理聯動

理想狀態下，企業內部各團隊應協作識別內部人員威脅，並阻止此類事件發生。

第一步，是知道都有哪些用戶？各用戶的角色是什麼？他們應該做些什麼？知道用戶及其應有的許可權，用戶正常行為模式，是保護自身可採取的最重要步驟之一。

接下來，弄清你的數據。數據都存放在哪兒？誰有權訪問數據？數據價值幾何？如果能知道數據的價值，就能更好地識別風險，應用更恰當的防護措施。

最後，與HR、法務和業務管理部門協作，更好地連接起安全監視工具與公司內所發生事件呈現的視點。

安全團隊未必掌握用戶應有行為的上下文，業務經理未必理解安全團隊試圖抵禦的風險。這就是為什麼團隊間協作對於獲取全面視圖非常重要的原因。

3. 別忘了人的因素

IT安全落腳在機器、IP地址和網路上的太多太多，卻極少關注人的因素。別忘了，每一起數據泄露中都肯定會有人參與，理解這個人在數據泄露前後的所作所為非常關鍵，這樣你才能預測和主動防禦，而不僅僅是事後反應。

各級經理緊跟直接報告是非常重要的。經理更容易知道員工什麼時候心懷不滿，或者承受著財務壓力，或者準備離職，而所有這些，都是內部人員威脅的預報器。經理應成為公司預警此類威脅的第一道防線。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！