在当今的信息安全环境中,咱们常常听到来自外部***者(例若有组织的犯罪和国家)的高级持续威胁(advanced persistent threats,APT)。然而,信息安全从业人员还须要担忧内部威胁。这种威胁关系到那些能访问组织数据、文件和IT系统的员工、承包商或是分包商,他们可能心怀不满或是感受“有责任”来偷取有价值的知识产权信息。他们的动机可能有所不一样,从政治缘由到我的忿怒、或是单纯的贪婪。程序员
本文提供了普遍的总结,涉及内部威胁及内部威胁检测最佳方法的关键问题。企业可能须要更新一些公司策略和实践来更好地保护IT系统及知识产权资产。安全
内部威胁的类别:网络
据卡耐基梅隆大学的CERT内部威胁中心(该中心提供关于内部威胁的全面和权威的研究结果)以及个人我的经验来讲,内部威胁的关键类别包括下述内容:ide
蓄意破坏IT系统——破坏公司的IT系统或是偷取IT资产(例如偷取源代码、私有程序等等)来进行报复。对象
业务优点驱动——员工或是承包商偷窃公司的数据以便在他们新的雇主那里拥有优点,后者一般是公司的竞争对象、或是计划在他们开始的新业务上得到优点的雇主。开发
经济利益驱动——这种类型犯罪一般涉及到欺诈,例如窃取社会保险号、信用卡和CVV编号等信息,挣钱是首要目标。部署
商业间谍活动——主要的动机是为别的公司或国家作间谍,而且为了政治上的利益直接将偷取的资产给“敌人”;在此类案例中也常常涉及到金钱,这把咱们又带回到了经济利益驱动类型。产品
如何识别高风险的员工it
为何公司的内部人员想窃取数据、程序、源代码、销售策略等信息呢?动机一般是主要由两个本能的问题所驱使:自我和贪婪。class
识别高风险员工的最佳作法是观察他们的行为。他们敌视他们的上司和同事吗?他们在职权方面有冲突吗?他们的工做表现有下滑、或他们迟到或缺席比平时多吗?在正常的工做时间以外,是否有他们任何过分的工做、或是网络上活动的证据?
一样对于经济利益驱动类型来讲,员工是否欠债累累?他们是否在滥用×××?他们是否开新的、昂贵的汽车,或是经过穿戴珠宝、昂贵的服装,甚至是昂贵的小玩意来炫耀?这些多是暴露真相的迹象,他们多是潜在的窃取数据的内部威胁人员。
谁形成最大的风险 内部威胁心理学
如下类型的员工、承包商和分包商应引发企业的关注。寻找如下特征,将其做为你进行员工风险评估的一部分:
心怀不满的员工——这些一般是感受本身不被尊重的员工,多是因为错过时望的薪水提高机会,或是在我的利益、休息时间、降职、职位调动或是其它相似的问题上与管理者发生负面冲突。在这种状况下,报复是员工的动机。
寻求利益的员工——对于许多人来讲这是简单的动机。他们为了薪水工做,然而经过窃取信息他们能售卖偷到的信息给有组织的罪犯、或是修改数据来窃取别人的身份从而得到更多的钱。对员工来讲,这些信息很容易访问并窃取,再加上偷窃行为可能被合理化,由于恶意的内部人员可能对本身说“公司也不会觉察到”。这种状况下,我的动机可能包括大型的金融,或是与×××相关的债务。
员工打算跳到竞争对手那里或是本身创业——对于打算在同一领域本身创业的人来讲,窃取客户名单、商业计划、甚至是简单的表格或是模版都颇有诱惑力的。此外,想象一下员工离开公司为竞争对手工做。可能竞争对象已经暗示员工,在入职时信息的交换能让他获得更好的位置。
认为他们本身拥有源代码或是产品——在这种状况下,员工对于他们写的源代码或是开发的产品有一种拥有权的感受。所以他们带走源代码用于将来或是下一份工做使用。
据CERT内部威胁研究中心的研究,对于内部人员威胁/偷窃来讲形成最大风险的员工包括技术职员,如工程师和科学家,管理人员,销售人员和程序员。雇主应特别关注那些在部署的IT系统上拥有管理员权限或是特定用户的员工。这些员工了解系统的强处和弱点。他们多是“心怀不满的怪人”在系统内植入逻辑×××或是破坏数据,这些形成的问题直到他们离开公司数月或是数年后才会被发现。