如何识别内鬼?

人类史上影响力***的泄密者应该非爱德华·斯诺登莫属，其凭一人之力撬动了全球各国政府以及公众对信息网络安全的关注。另一位稍稍逊色的泄密者是切尔西·曼宁，由于他向维基解密网站泄露大量的秘密文件，被判入狱35年。在这两起案件里，他们都利用内部人员的身份规避了某些美国政府最安全的电脑系统。

[[129274]]

威瑞森(Verizon)的2014数据泄露调查报告显示，经济收益或商业欺诈是去年11698起内部权限滥用案例的主要驱动力。而网络监控软件公司SpectorSoft则声称，内鬼作案仅2013年一年就造成美国公司400亿美元的损失。

内鬼可以通过多种途径识别出来，技术性和非技术性的指标都有。这里列举一些非技术性的指标：

· 非模范员工 —— 这种人一贯是***个到办公室又***一个走。他总是有很多事情要做而不得不加班。如果实际上并没有什么项目是急着结案的，那他这种天天加班的行为就谕示着此人在从事什么可疑的捞外快的工作了。

· 钢铁侠 —— 一个长期不休假的人可能没什么机会与他人分享工作上的事。如果有人不与他人合作也不参考他人意见，总是对自己手头的工作保密，那他正在做的事就极有可能带有内鬼性质了。

追根溯源，这两个指标其实同宗。行为鬼祟的员工试图隐藏自己的恶意，并利用他在组织中取得的信任为其恶意目的服务。

技术上的指标更加清晰。可以在安全信息和事件管理(SIEM)、数据泄露防护中设置一些规则以检测到这些指标。以下是几条技术性指标：

· 远程和本地不同接入点的登录记录数增加

· 在奇怪的时间点出现网络登录

· 从工作到个人访问的站点不同

· 从内部系统中导出报告和下载的次数增加

· 经常访问未经授权的云存储站点是什么导致员工成为内鬼?

很遗憾，这个问题的答案，不是那么简单。很多因素都能促成员工琵琶别抱或情绪引爆，有时内部人员由好变坏也就需要一个引爆点而已：

· 外来诱惑 —— 外部人士，比如竞争对手，会对愿意为其所用的内部人士许以经济上的激励。作为偷取信息的奖励，竞争对手会承诺让内鬼到自己的公司来上班。

· 重大事件 —— 如果一个人习惯什么都自己承受，别人也就不太可能知晓他身上发生的大事。这也许不会直接导致员工叛变，但与外部诱惑一结合，他们就会觉得自己可以不计后果地干了。

· 两周交接期 —— 即将离开公司的员工有可能想带走某些资源。比如客户信息、交易内幕，或者任何可能对未来角色有用的东西。这是不道德的行为，而且通常违反公司规定(即使目前没有明文规定，也应该制订这样的准则)。(关注“安全牛”，回复“离职员工”可查看《别让离职员工带走你的数据》)

· 升迁无望 —— 刚被训诫过，或者错过了晋升的员工也许会心生不满想要报复。这种人到达引爆点而怒变内鬼的可能性是存在的。

你听过这句话吗?“员工不辞职，他们只是炒了老板。”或者“感受到认可的人往往做得比期望的还好。”在降低员工变内鬼的风险方面，这两句话堪称真理。如果员工感受到认可并且喜欢他们所做的事，他们会确保自己好好干下去。如果员工喜欢为公司工作，关注公司发展，那他们会自觉保护公司机密。不只员工个人的成功会凝聚成公司的成功，公司的成功也能够成就员工的辉煌。

从非技术的角度出发，可以采取几个预警措施检测并预防内鬼威胁：

· 风险评估时将内部威胁一并考虑进去

· 确保新进人员都通过了背景调查

· 制订并实施清晰明确的策略和控制

· 对所有员工进行安全意识培训

· 对可疑行为进行监控和响应

· 预测并管理负面工作情绪

· 在人力资源、法务部门和IT团队间设立清晰的沟通界限和规程从技术的角度出发，可以考虑以下几种控制：

· 实现严格的密码和账号策略

· 实施职责分离、最小访问权限和数据分级

· 跟踪特权账号的使用

· 实现系统修改管控和审批流程

· 离职即停用账号，或角色发生改变时修改相应访问权限

· 记录、监视和审计员工网络活动

· 内鬼绝对是能影响到任何组织的威胁