隨著越來越多的日志記錄和監(jiān)測工具可供使用，在企業(yè)組織檢測內(nèi)部非法活動看起來似乎應該很簡單。但是，內(nèi)部惡意破壞的案件數(shù)量卻在不斷增加，其主要原因是大多數(shù)從事欺詐、盜竊、IT蓄意破壞或者間諜活動的內(nèi)部人員都能獲得經(jīng)授權(quán)的訪問權(quán)限，而且從表面上來看，他們的惡意活動跟其每天從事的在線活動沒有什么異常。

對于企業(yè)來說，內(nèi)部人員引起的數(shù)據(jù)丟失是一個非常大的威脅。所以，采取一定的策略來監(jiān)測和防止或者減少惡意內(nèi)部人員的這些活動至關(guān)重要。在本文中，我將根據(jù)我所在團隊九年的研究、CERT數(shù)據(jù)庫中的400個真實的內(nèi)部威脅案例、從評估中學來的教訓，以及在我們內(nèi)部威脅研討會上提到的行為模式，為大家闡述幾個切實可行的，使用內(nèi)部威脅檢測工具的安全策略。

在討論內(nèi)部威脅檢測過程之前，有必要簡要地定義一下內(nèi)部惡意人員（malicious insider）這個詞的含義。一個惡意內(nèi)部人員可以是任何一位具有以下特征的現(xiàn)任或者前任員工、承包人或者其他業(yè)務合作伙伴：

◆目前或者曾經(jīng)具有訪問企業(yè)內(nèi)部網(wǎng)絡(luò)、系統(tǒng)或者數(shù)據(jù)的權(quán)限；

◆在一定程度上故意超越或者濫用其訪問權(quán)限，對企業(yè)的機密、完整性，或者企業(yè)信息或信息系統(tǒng)的可用性產(chǎn)生了不利影響。本文包含了三種內(nèi)部犯罪活動：內(nèi)部IT蓄意破壞、內(nèi)部欺詐，以及知識產(chǎn)權(quán)（IP）盜竊。每種犯罪活動都需要用特定的內(nèi)部威脅檢測策略來監(jiān)測。

內(nèi)部IT蓄意破壞：這種犯罪活動旨在給企業(yè)或者個人造成損失。從事這種活動的罪犯通常是那些心懷不滿的系統(tǒng)管理員或者數(shù)據(jù)庫管理員，他們的活動往往會造成系統(tǒng)崩潰、數(shù)據(jù)被擦除，或者導致業(yè)務運行中斷等后果。這種犯罪活動通常使用以下幾種技術(shù)：采用后門賬戶、在職期間植入惡意代碼，或者用密碼破解器、社會工程得到密碼等。

這里有幾個關(guān)鍵的監(jiān)視和檢測策略，專門針對潛在的內(nèi)部IT蓄意破壞活動。企業(yè)應該考慮把這幾個策略添加到標準的安全實踐中。它們包括：

檢測配置的變化——許多內(nèi)部人員會在操作系統(tǒng)腳本中、產(chǎn)品程序或者系統(tǒng)工具中植入惡意代碼。攻擊目標多種多樣，而且攻擊方法也在不斷演變。然而，利用改變控制，來用工具來監(jiān)測這些文件的變化是有可能的，因為它們很少被改變。

對網(wǎng)絡(luò)外圍進行控制，對可疑流量進行預警——大多數(shù)企業(yè)會使用像入侵檢測系統(tǒng)（IDS）工具來監(jiān)視內(nèi)部流量。然而，在CERT數(shù)據(jù)庫中，有的內(nèi)部人員從地下因特網(wǎng)（Internet Underground）得到黑客工具并獲得幫助（請看CERT的報告：熱點聚焦，與地下因特網(wǎng)社區(qū)有聯(lián)系的惡意內(nèi)部人員），從而盜竊認證信息和敏感信息。由于這個緣故，企業(yè)很有必要考慮使用像IDS這樣的工具來監(jiān)測惡意的外部流量，并提高警惕。

監(jiān)視未授權(quán)的賬戶——許多內(nèi)部人員會創(chuàng)建后門賬戶，以便于以后進行攻擊。這些賬戶可能很難被監(jiān)測到。我們建議把所有的賬戶跟現(xiàn)有的員工賬號目錄進行比較，通過驗證每個賬戶是否與現(xiàn)有的員工有關(guān)、是否需要員工主管進行認可等手段，積極主動地審查新賬戶。

內(nèi)部欺詐：在這種犯罪活動中，內(nèi)部人員為了達到個人目的或者盜竊用來欺詐（身份偷竊，信用卡欺詐等）的信息，他們會利用IT技術(shù)對企業(yè)的數(shù)據(jù)進行未授權(quán)的改變、添加或者刪除等。

內(nèi)部欺詐通常來自低層次員工（如，客戶支持或者服務臺員工），他們會利用日常的訪問權(quán)訪問系統(tǒng)。主要的檢測策略是審計數(shù)據(jù)庫事務，從而監(jiān)視針對個人認證信息（PII）、信用卡信息以及其他敏感信息的可疑活動。這種審計應該定期進行，但是進行的頻率則依賴于企業(yè)自己的風險分析。

知識產(chǎn)權(quán)（IP）盜竊：進行這種犯罪活動的人一般是科學家、工程師以及程序員，他們會盜竊他們自己所創(chuàng)造的知識產(chǎn)權(quán)，比如工程圖紙、技術(shù)細節(jié)以及源代碼等。在表面上，他們的盜竊行為可能并不違法，這使得檢測這些活動更加困難。許多數(shù)據(jù)泄漏防護產(chǎn)品（DLP）會導致信息過載，如果沒有如下所述的相關(guān)政策和過程，它們在監(jiān)測知識產(chǎn)權(quán)信息盜竊時并不實用。CERT的研究表明，大多數(shù)內(nèi)部人員會在辭職以后的30天內(nèi)盜竊知識產(chǎn)權(quán)。