風險評估：發現高風險員工從而提升安全

在當今的信息安全環境中，咱們常常聽到來自外部***者(例若有組織的犯罪和國家)的高級持續威脅(advanced persistent threats，APT)。然而，信息安全從業人員還須要擔憂內部威脅。這種威脅關係到那些能訪問組織數據、文件和IT系統的員工、承包商或是分包商，他們可能心懷不滿或是感受「有責任」來偷取有價值的知識產權信息。他們的動機可能有所不一樣，從政治緣由到我的忿怒、或是單純的貪婪。

　　本文提供了普遍的總結，涉及內部威脅及內部威脅檢測最佳方法的關鍵問題。企業可能須要更新一些公司策略和實踐來更好地保護IT系統及知識產權資產。

　　內部威脅的類別：

　　據卡耐基梅隆大學的CERT內部威脅中心(該中心提供關於內部威脅的全面和權威的研究結果)以及個人我的經驗來講，內部威脅的關鍵類別包括下述內容：

　　蓄意破壞IT系統——破壞公司的IT系統或是偷取IT資產(例如偷取源代碼、私有程序等等)來進行報復。

　　業務優點驅動——員工或是承包商偷竊公司的數據以便在他們新的僱主那裏擁有優點，後者一般是公司的競爭對象、或是計劃在他們開始的新業務上得到優點的僱主。

　　經濟利益驅動——這種類型犯罪一般涉及到欺詐，例如竊取社會保險號、信用卡和CVV編號等信息，掙錢是首要目標。

　　商業間諜活動——主要的動機是爲別的公司或國家作間諜，而且爲了政治上的利益直接將偷取的資產給「敵人」;在此類案例中也常常涉及到金錢，這把咱們又帶回到了經濟利益驅動類型。

　　如何識別高風險的員工

　　爲何公司的內部人員想竊取數據、程序、源代碼、銷售策略等信息呢?動機一般是主要由兩個本能的問題所驅使：自我和貪婪。

　　識別高風險員工的最佳作法是觀察他們的行爲。他們敵視他們的上司和同事嗎?他們在職權方面有衝突嗎?他們的工做表現有下滑、或他們遲到或缺席比平時多嗎?在正常的工做時間以外，是否有他們任何過分的工做、或是網絡上活動的證據?

　　一樣對於經濟利益驅動類型來講，員工是否欠債累累?他們是否在濫用×××?他們是否開新的、昂貴的汽車，或是經過穿戴珠寶、昂貴的服裝，甚至是昂貴的小玩意來炫耀?這些多是暴露真相的跡象，他們多是潛在的竊取數據的內部威脅人員。

　　誰形成最大的風險 內部威脅心理學

　　如下類型的員工、承包商和分包商應引發企業的關注。尋找如下特徵，將其做爲你進行員工風險評估的一部分：

　　心懷不滿的員工——這些一般是感受本身不被尊重的員工，多是因爲錯過時望的薪水提高機會，或是在我的利益、休息時間、降職、職位調動或是其它相似的問題上與管理者發生負面衝突。在這種狀況下，報復是員工的動機。

　　 尋求利益的員工——對於許多人來講這是簡單的動機。他們爲了薪水工做，然而經過竊取信息他們能售賣偷到的信息給有組織的罪犯、或是修改數據來竊取別人的身份從而得到更多的錢。對員工來講，這些信息很容易訪問並竊取，再加上偷竊行爲可能被合理化，由於惡意的內部人員可能對本身說「公司也不會覺察到」。這種狀況下，我的動機可能包括大型的金融，或是與×××相關的債務。

　　員工打算跳到競爭對手那裏或是本身創業——對於打算在同一領域本身創業的人來講，竊取客戶名單、商業計劃、甚至是簡單的表格或是模版都頗有誘惑力的。此外，想象一下員工離開公司爲競爭對手工做。可能競爭對象已經暗示員工，在入職時信息的交換能讓他獲得更好的位置。

　　認爲他們本身擁有源代碼或是產品——在這種狀況下，員工對於他們寫的源代碼或是開發的產品有一種擁有權的感受。所以他們帶走源代碼用於將來或是下一份工做使用。

　　據CERT內部威脅研究中心的研究，對於內部人員威脅/偷竊來講形成最大風險的員工包括技術職員，如工程師和科學家，管理人員，銷售人員和程序員。僱主應特別關注那些在部署的IT系統上擁有管理員權限或是特定用戶的員工。這些員工瞭解系統的強處和弱點。他們多是「心懷不滿的怪人」在系統內植入邏輯×××或是破壞數據，這些形成的問題直到他們離開公司數月或是數年後纔會被發現。