员工风险评估（中）：如何应对增长的内部威胁风险

作者：Ernie Hayden   译者：Odeyssey   来源：TechTarget中国

在《员工风险评估（上）：发现高风险员工从而提高安全》中，我们介绍了内部威胁的类别以及如何识别高风险的员工。本文将介绍数据如何被窃取以及如何应对增长的内部威胁风险。
　　数据是如何被窃取并被带走的？
　　一旦数据、源代码或是知识产权被窃取，必须被转移到一个能够实施员工计划的地方。以下是途径列表，用于提取将被恶意使用的信息：
　　• 电子邮件——对于小于10GB的数据来说，电子邮件是最简单的传输方法。员工可能使用公司的邮件将信息发送到个人或是同伙的邮箱账户。此外，web邮箱（网页邮箱）可以被用来访问个人的邮箱账户并且邮寄数据给别的账户。当然，数据可能需要发送给别的目标如某个国家，所以邮件服务能再次用于直接给目标发送数据，或是通过个人邮箱账户发送给目标的国家或有组织的罪犯。
　　• 文件传输协议（FTP）——窃取的数据可以上传到由员工、或是目标罪犯建立的某个FTP站点。对于更大的文件这是最佳的方法。
　　• 可移动媒介——随着可移动媒体设备的普及，这是从雇主的系统中带走数据最容易的方法。USB驱动器、CD/DVD烧录器、移动硬盘、内存卡、便携式音乐播放器甚至于手机都能用来拷贝信息并带出办公室。偷偷摸摸地使用物理存储意味着信息可能被邮寄给员工或是坏人。
　　• 移动设备——下载信息到公司配备的便携电脑或是员工自己的智能手机、平板电脑、或是其它移动设备上，是另外一种拷贝数据并且带走的手段。
　　• 远程访问——远程访问公司的网络是另一种访问网络以便窃取信息的方式。在CISO分配给我的某个任务中，一名员工在他的家里搭建自己的SSH服务器，并且能够远程地连接到公司网络、或是反向连接到他的服务器来带走数据。他是公司的“技术发烧友”之一，所以技术上他是精湛的，并且知道为了他的目标如何打开端口、建立服务等等。
　　• 纸张——打印数据和复印知识产权是一种快速、简单的收集数据并带走数据的方法。
　　• 拍摄和截屏——在办公室手机照相机已经泛滥。除非系统规定阻拦，员工能够进行简单的屏幕拍摄并且随后离线邮寄或是下载。
　　诸如即时信息、或是短消息服务（SMS）的方法也可能包括在上述列表中。不要忘记加密是很容易实施的方式。免费工具诸如TrueCryt能够使用AES、Serpent、Twofish或是组合的算法加密数据，因此防止员工看到窃取的信息。
　　如何应对增长的内部威胁风险
　　公司需要持续关注内部威胁。即使是在最好的公司，也存在员工的人力资源问题。然而当宣布人员解雇或是解聘时，管理层应该特别警惕内部偷窃行为。同样，如果好几个员工打算跳槽到正在积极地招聘、或是打算进入公司业务领域的竞争对手那里怎么办？如果一组承包商完成了他们的工作并且打算离开该怎么办？那些怀有怒气并且感觉他们的权利被侵犯的不满员工怎么应对？这些情形都应该引起对内部威胁的警惕立场。
　　记得提早建立一个管理内部威胁问题的计划。早在威胁发生前应该采取下面这些步骤：
　　1. 确保组织遵守联邦和各州的法律和规章关于隐私权、个人权利等。在欧盟的读者要确保组织遵守欧盟的隐私要求。
　　2. 让董事会管理层包括CEO，以及其他团队包括IT、信息安全、隐私、物理安全、法律和人力资源的管理层参与进来。使他们意识到任何隐约出现或是可能的威胁（可能的话让他们阅读本文！）。
　　3. 决定恰当的时间来让外部顾问、法律执行机构、FBI、秘密服务等介入。无论这些团体是否迟早晚要参与进来，或者如果是正在执行任何联邦的敏感工作永远不会取决于公司的合同。
　　据CERT内部威胁中心进行的研究，IT系统最可能发生内部偷窃/恶意破坏的时间是在员工离职的30天内。因此可能需要额外的关注包括使用技术上的监控手段（例如日志）以及行为监控，它们在这个期间内是恰当的。

不错，详细