根據(jù)Ponemon發(fā)布的一項(xiàng)調(diào)查報(bào)告顯示，內(nèi)部惡意事件會(huì)對(duì)企業(yè)造成更大的損失——平均每起事件損失755,760美元，每年損失408萬美元。Code42公司CISO兼CIO Jadee Hanson表示：“如今的數(shù)據(jù)多是數(shù)字化和便攜式的，因此想要獲取它易如反掌。員工和承包商有無數(shù)種方法可以將專有文檔轉(zhuǎn)儲(chǔ)到可移動(dòng)U盤、個(gè)人Dropbox或G-Drive上，并隨身攜帶，以便可以在下一份工作中受益或?yàn)楦偁帉?duì)手提供戰(zhàn)略優(yōu)勢(shì)。其中，源代碼、專利申請(qǐng)以及客戶名單都是極受惡意內(nèi)部人員青睞的數(shù)據(jù)。”

　　以下是防止惡意內(nèi)部人員攻擊的一些建議，其中部分建議同樣適用于非惡意內(nèi)部事件。

　　1、建立專業(yè)的內(nèi)部風(fēng)險(xiǎn)防護(hù)團(tuán)隊(duì)

　　內(nèi)部風(fēng)險(xiǎn)防護(hù)負(fù)責(zé)人員需要具備對(duì)員工和面試者的行為分析技能，能夠高效識(shí)別潛在的惡意內(nèi)部風(fēng)險(xiǎn)。而且內(nèi)部風(fēng)險(xiǎn)分析涉及到每個(gè)并肩工作的同事，所以負(fù)責(zé)內(nèi)部風(fēng)險(xiǎn)的分析師要格外謹(jǐn)慎且不宜過多，因?yàn)樘嗳嗽L問他人的敏感信息，本身也是一種風(fēng)險(xiǎn)。

　　企業(yè)需要一支致力于內(nèi)部風(fēng)險(xiǎn)的完整團(tuán)隊(duì)。然后，該團(tuán)隊(duì)可以向法律和人力資源部門報(bào)告他們?cè)诠竞托袠I(yè)內(nèi)觀察到的情況，以便確定應(yīng)對(duì)內(nèi)部威脅最合適的解決方案。

　　2. 準(zhǔn)確識(shí)別和界定惡意內(nèi)部風(fēng)險(xiǎn)類別

　　雖然企業(yè)遭遇的惡意內(nèi)部事件各有不同，但最典型的莫過于以下兩種基本類型：

　　一種是，外部威脅組織以豐厚的報(bào)酬引誘內(nèi)部員工交出敏感的公司數(shù)據(jù)。這種情況非常明確，也更容易起訴；另一種情況則不容易界定，即員工離職時(shí)，安全團(tuán)隊(duì)在其私人iCloud或Google drive發(fā)現(xiàn)存有企業(yè)隱私數(shù)據(jù)。此類情況不好界定的原因是，該員工都會(huì)借口推脫稱只是無意行為。這也是上述要建立內(nèi)部風(fēng)險(xiǎn)防護(hù)團(tuán)隊(duì)的重要原因之一，他們此時(shí)必須能夠判斷這個(gè)人是否在撒謊。

　　3.盡早發(fā)現(xiàn)企業(yè)的風(fēng)險(xiǎn)因素

　　內(nèi)部風(fēng)險(xiǎn)防護(hù)團(tuán)隊(duì)需要確定企業(yè)中風(fēng)險(xiǎn)最大的人員。當(dāng)涉及到惡意案例時(shí)，企業(yè)內(nèi)中級(jí)網(wǎng)絡(luò)和數(shù)據(jù)庫管理人員通常是需要特別注意，因?yàn)樗麄冇袡?quán)訪問域管理路由、對(duì)服務(wù)器的路由訪問以及對(duì)公司防火墻的訪問權(quán)限。他們清楚地知道自己的行為會(huì)產(chǎn)生什么后果，一旦發(fā)生異常情況，則更有可能并非意外。

　　通過審視風(fēng)險(xiǎn)，能夠建立起更有效的防御機(jī)制。此外，安全團(tuán)隊(duì)還需要了解企業(yè)的高風(fēng)險(xiǎn)數(shù)據(jù)。例如，開發(fā)人員創(chuàng)建的源代碼文件，知識(shí)產(chǎn)權(quán)以及客戶名單等等。

　　4. 讓安全團(tuán)隊(duì)盡早參與事件處置

　　如果公司不給安全分析師參與初步事件調(diào)查的機(jī)會(huì)，那么之后的人力資源和法務(wù)部門可能會(huì)忙成一鍋粥。安全分析師必須有能力對(duì)嫌疑人員進(jìn)行初步調(diào)查。在安全分析師掌握更多事實(shí)之前，進(jìn)一步推進(jìn)案件是沒有意義的。

　　舉個(gè)例子，一位高管將敏感的公司信息下載到個(gè)人U盤上，這件事看起來很可疑，但經(jīng)過調(diào)查后發(fā)現(xiàn)，這位高管正在住院，拷貝資料只是為了讓妻子幫忙打印出來，以便可以在醫(yī)院辦公。

　　在初步調(diào)查過程中，安全分析師必須考慮以下問題：我對(duì)嫌疑人員了解多少？他們?yōu)槭裁匆x開組織？他們?cè)谶^去60天內(nèi)做了什么？他們是否存在前科，或做出了有違職業(yè)操守的行為等等。

　　5. 建立完整的內(nèi)部威脅處置流程

　　在惡意內(nèi)部人員案件中，企業(yè)最終可能會(huì)指控員工犯罪。因此，企業(yè)需要制定此類案件的完整處理流程。如果缺少安全團(tuán)隊(duì)、人力資源和法律部門的合作，就無法實(shí)現(xiàn)這一點(diǎn)。安全分析師進(jìn)行初步調(diào)查只是充當(dāng)了偵探的角色，他們還需要將證據(jù)提交給充當(dāng)法官、陪審團(tuán)和審判長的上級(jí)領(lǐng)導(dǎo)。

　　設(shè)立內(nèi)部風(fēng)險(xiǎn)計(jì)劃的安全分析師也應(yīng)該與執(zhí)法部門保持聯(lián)系。例如，如果分析師看到可能導(dǎo)致實(shí)際工作場(chǎng)所暴力（危及生命）的虛擬指標(biāo)，則可能會(huì)直接求助于執(zhí)法部門。但是對(duì)于數(shù)字案例，安全團(tuán)隊(duì)?wèi)?yīng)該與HR和法律部門密切合作。

　　內(nèi)部威脅計(jì)劃旨在減輕有權(quán)訪問組織資產(chǎn)的個(gè)人造成的風(fēng)險(xiǎn)，而該人不僅僅存在于虛擬世界中。公司需要從整體的角度來看待并了解現(xiàn)實(shí)生活中可能發(fā)生的會(huì)造成損失的事情。將兩者結(jié)合是減輕威脅最有效的方法。

　　6. 制定完善的員工行為管理制度

　　員工應(yīng)該了解公司已經(jīng)制定的旨在保護(hù)公司數(shù)據(jù)并概述違規(guī)流程和處罰的內(nèi)部風(fēng)險(xiǎn)計(jì)劃。

　　大多數(shù)公司都制定了相當(dāng)標(biāo)準(zhǔn)的政策，規(guī)定了可接受的使用政策以及員工應(yīng)該如何處理公司數(shù)據(jù)。圍繞懲罰制定政策是最常見的方式。大多數(shù)公司都根據(jù)自身能夠承受的風(fēng)險(xiǎn)水平制定了政策，例如，如果有人第二次落入釣魚郵件陷阱以及第二次導(dǎo)致公司丟失敏感數(shù)據(jù)，將受到相應(yīng)懲罰。

　　“事不過三”的原則說起來容易，實(shí)踐起來卻并不簡單。如果某位員工在此類事件上“屢禁不止”，這可能就是搜尋惡意事件源頭的重要信號(hào)。

　　7. 采用最新的安全技術(shù)

　　除了上述安全建議外，企業(yè)組織還可以利用最新的安全技術(shù)來防止內(nèi)部攻擊。例如，通過使用像Google G Suite這樣的工具，公司可以知道他們的員工正在訪問哪些文檔，阻止他們下載某些類型的文檔，并制定相關(guān)政策以貫徹落實(shí)這一目標(biāo)。

　　以Code42公司為例，他們已經(jīng)將每個(gè)員工都轉(zhuǎn)移至云端，公司現(xiàn)在要做的就是管理遠(yuǎn)程訪問。每個(gè)人在云端都有一個(gè)特定于工作角色的分區(qū)，唯一的危險(xiǎn)因素就是管理員。