隨著越來(lái)越多的日志記錄和監(jiān)測(cè)工具可供使用，在企業(yè)組織檢測(cè)內(nèi)部非法活動(dòng)看起來(lái)似乎應(yīng)該很簡(jiǎn)單。但是，內(nèi)部惡意破壞的案件數(shù)量卻在不斷增加，其主要原因是大多數(shù)從事欺詐、盜竊、IT蓄意破壞或者間諜活動(dòng)的內(nèi)部人員都能獲得經(jīng)授權(quán)的訪(fǎng)問(wèn)權(quán)限，而且從表面上來(lái)看，他們的惡意活動(dòng)跟其每天從事的在線(xiàn)活動(dòng)沒(méi)有什么異常。

對(duì)于企業(yè)來(lái)說(shuō)，內(nèi)部人員引起的數(shù)據(jù)丟失是一個(gè)非常大的威脅。所以，采取一定的策略來(lái)監(jiān)測(cè)和防止或者減少惡意內(nèi)部人員的這些活動(dòng)至關(guān)重要。在本文中，我將根據(jù)我所在團(tuán)隊(duì)九年的研究、CERT數(shù)據(jù)庫(kù)中的400個(gè)真實(shí)的內(nèi)部威脅案例、從評(píng)估中學(xué)來(lái)的教訓(xùn)，以及在我們內(nèi)部威脅研討會(huì)上提到的行為模式，為大家闡述幾個(gè)切實(shí)可行的，使用內(nèi)部威脅檢測(cè)工具的安全策略。

在討論內(nèi)部威脅檢測(cè)過(guò)程之前，有必要簡(jiǎn)要地定義一下內(nèi)部惡意人員（malicious insider）這個(gè)詞的含義。一個(gè)惡意內(nèi)部人員可以是任何一位具有以下特征的現(xiàn)任或者前任員工、承包人或者其他業(yè)務(wù)合作伙伴：

◆目前或者曾經(jīng)具有訪(fǎng)問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)、系統(tǒng)或者數(shù)據(jù)的權(quán)限；

◆在一定程度上故意超越或者濫用其訪(fǎng)問(wèn)權(quán)限，對(duì)企業(yè)的機(jī)密、完整性，或者企業(yè)信息或信息系統(tǒng)的可用性產(chǎn)生了不利影響。本文包含了三種內(nèi)部犯罪活動(dòng)：內(nèi)部IT蓄意破壞、內(nèi)部欺詐，以及知識(shí)產(chǎn)權(quán)（IP）盜竊。每種犯罪活動(dòng)都需要用特定的內(nèi)部威脅檢測(cè)策略來(lái)監(jiān)測(cè)。

內(nèi)部IT蓄意破壞：這種犯罪活動(dòng)旨在給企業(yè)或者個(gè)人造成損失。從事這種活動(dòng)的罪犯通常是那些心懷不滿(mǎn)的系統(tǒng)管理員或者數(shù)據(jù)庫(kù)管理員，他們的活動(dòng)往往會(huì)造成系統(tǒng)崩潰、數(shù)據(jù)被擦除，或者導(dǎo)致業(yè)務(wù)運(yùn)行中斷等后果。這種犯罪活動(dòng)通常使用以下幾種技術(shù)：采用后門(mén)賬戶(hù)、在職期間植入惡意代碼，或者用密碼破解器、社會(huì)工程得到密碼等。

這里有幾個(gè)關(guān)鍵的監(jiān)視和檢測(cè)策略，專(zhuān)門(mén)針對(duì)潛在的內(nèi)部IT蓄意破壞活動(dòng)。企業(yè)應(yīng)該考慮把這幾個(gè)策略添加到標(biāo)準(zhǔn)的安全實(shí)踐中。它們包括：

檢測(cè)配置的變化——許多內(nèi)部人員會(huì)在操作系統(tǒng)腳本中、產(chǎn)品程序或者系統(tǒng)工具中植入惡意代碼。攻擊目標(biāo)多種多樣，而且攻擊方法也在不斷演變。然而，利用改變控制，來(lái)用工具來(lái)監(jiān)測(cè)這些文件的變化是有可能的，因?yàn)樗鼈兒苌俦桓淖儭?/p>

對(duì)網(wǎng)絡(luò)外圍進(jìn)行控制，對(duì)可疑流量進(jìn)行預(yù)警——大多數(shù)企業(yè)會(huì)使用像入侵檢測(cè)系統(tǒng)（IDS）工具來(lái)監(jiān)視內(nèi)部流量。然而，在CERT數(shù)據(jù)庫(kù)中，有的內(nèi)部人員從地下因特網(wǎng)（Internet Underground）得到黑客工具并獲得幫助（請(qǐng)看CERT的報(bào)告：熱點(diǎn)聚焦，與地下因特網(wǎng)社區(qū)有聯(lián)系的惡意內(nèi)部人員），從而盜竊認(rèn)證信息和敏感信息。由于這個(gè)緣故，企業(yè)很有必要考慮使用像IDS這樣的工具來(lái)監(jiān)測(cè)惡意的外部流量，并提高警惕。

監(jiān)視未授權(quán)的賬戶(hù)——許多內(nèi)部人員會(huì)創(chuàng)建后門(mén)賬戶(hù)，以便于以后進(jìn)行攻擊。這些賬戶(hù)可能很難被監(jiān)測(cè)到。我們建議把所有的賬戶(hù)跟現(xiàn)有的員工賬號(hào)目錄進(jìn)行比較，通過(guò)驗(yàn)證每個(gè)賬戶(hù)是否與現(xiàn)有的員工有關(guān)、是否需要員工主管進(jìn)行認(rèn)可等手段，積極主動(dòng)地審查新賬戶(hù)。

內(nèi)部欺詐：在這種犯罪活動(dòng)中，內(nèi)部人員為了達(dá)到個(gè)人目的或者盜竊用來(lái)欺詐（身份偷竊，信用卡欺詐等）的信息，他們會(huì)利用IT技術(shù)對(duì)企業(yè)的數(shù)據(jù)進(jìn)行未授權(quán)的改變、添加或者刪除等。

內(nèi)部欺詐通常來(lái)自低層次員工（如，客戶(hù)支持或者服務(wù)臺(tái)員工），他們會(huì)利用日常的訪(fǎng)問(wèn)權(quán)訪(fǎng)問(wèn)系統(tǒng)。主要的檢測(cè)策略是審計(jì)數(shù)據(jù)庫(kù)事務(wù)，從而監(jiān)視針對(duì)個(gè)人認(rèn)證信息（PII）、信用卡信息以及其他敏感信息的可疑活動(dòng)。這種審計(jì)應(yīng)該定期進(jìn)行，但是進(jìn)行的頻率則依賴(lài)于企業(yè)自己的風(fēng)險(xiǎn)分析。

知識(shí)產(chǎn)權(quán)（IP）盜竊：進(jìn)行這種犯罪活動(dòng)的人一般是科學(xué)家、工程師以及程序員，他們會(huì)盜竊他們自己所創(chuàng)造的知識(shí)產(chǎn)權(quán)，比如工程圖紙、技術(shù)細(xì)節(jié)以及源代碼等。在表面上，他們的盜竊行為可能并不違法，這使得檢測(cè)這些活動(dòng)更加困難。許多數(shù)據(jù)泄漏防護(hù)產(chǎn)品（DLP）會(huì)導(dǎo)致信息過(guò)載，如果沒(méi)有如下所述的相關(guān)政策和過(guò)程，它們?cè)诒O(jiān)測(cè)知識(shí)產(chǎn)權(quán)信息盜竊時(shí)并不實(shí)用。CERT的研究表明，大多數(shù)內(nèi)部人員會(huì)在辭職以后的30天內(nèi)盜竊知識(shí)產(chǎn)權(quán)。