隨著越來越多的日志記錄和監測工具可供使用，在企業組織檢測內部非法活動看起來似乎應該很簡單。但是，內部惡意破壞的案件數量卻在不斷增加，其主要原因是大多數從事欺詐、盜竊、IT蓄意破壞或者間諜活動的內部人員都能獲得經授權的訪問權限，而且從表面上來看，他們的惡意活動跟其每天從事的在線活動沒有什么異常。

對于企業來說，內部人員引起的數據丟失是一個非常大的威脅。所以，采取一定的策略來監測和防止或者減少惡意內部人員的這些活動至關重要。在本文中，我將根據我所在團隊九年的研究、CERT數據庫中的400個真實的內部威脅案例、從評估中學來的教訓，以及在我們內部威脅研討會上提到的行為模式，為大家闡述幾個切實可行的，使用內部威脅檢測工具的安全策略。

在討論內部威脅檢測過程之前，有必要簡要地定義一下內部惡意人員（malicious insider）這個詞的含義。一個惡意內部人員可以是任何一位具有以下特征的現任或者前任員工、承包人或者其他業務合作伙伴：

◆目前或者曾經具有訪問企業內部網絡、系統或者數據的權限；

◆在一定程度上故意超越或者濫用其訪問權限，對企業的機密、完整性，或者企業信息或信息系統的可用性產生了不利影響。
　　
本文包含了三種內部犯罪活動：內部IT蓄意破壞、內部欺詐，以及知識產權（IP）盜竊。每種犯罪活動都需要用特定的內部威脅檢測策略來監測。

內部IT蓄意破壞：這種犯罪活動旨在給企業或者個人造成損失。從事這種活動的罪犯通常是那些心懷不滿的系統管理員或者數據庫管理員，他們的活動往往會造成系統崩潰、數據被擦除，或者導致業務運行中斷等后果。這種犯罪活動通常使用以下幾種技術：采用后門賬戶、在職期間植入惡意代碼，或者用密碼破解器、社會工程得到密碼等。

這里有幾個關鍵的監視和檢測策略，專門針對潛在的內部IT蓄意破壞活動。企業應該考慮把這幾個策略添加到標準的安全實踐中。它們包括：

檢測配置的變化——許多內部人員會在操作系統腳本中、產品程序或者系統工具中植入惡意代碼。攻擊目標多種多樣，而且攻擊方法也在不斷演變。然而，利用改變控制，來用工具來監測這些文件的變化是有可能的，因為它們很少被改變。

對網絡外圍進行控制，對可疑流量進行預警——大多數企業會使用像入侵檢測系統（IDS）工具來監視內部流量。然而，在CERT數據庫中，有的內部人員從地下因特網（Internet Underground）得到黑客工具并獲得幫助（請看CERT的報告：熱點聚焦，與地下因特網社區有聯系的惡意內部人員），從而盜竊認證信息和敏感信息。由于這個緣故，企業很有必要考慮使用像IDS這樣的工具來監測惡意的外部流量，并提高警惕。

監視未授權的賬戶——許多內部人員會創建后門賬戶，以便于以后進行攻擊。這些賬戶可能很難被監測到。我們建議把所有的賬戶跟現有的員工賬號目錄進行比較，通過驗證每個賬戶是否與現有的員工有關、是否需要員工主管進行認可等手段，積極主動地審查新賬戶。

內部欺詐：在這種犯罪活動中，內部人員為了達到個人目的或者盜竊用來欺詐（身份偷竊，信用卡欺詐等）的信息，他們會利用IT技術對企業的數據進行未授權的改變、添加或者刪除等。

內部欺詐通常來自低層次員工（如，客戶支持或者服務臺員工），他們會利用日常的訪問權訪問系統。主要的檢測策略是審計數據庫事務，從而監視針對個人認證信息（PII）、信用卡信息以及其他敏感信息的可疑活動。這種審計應該定期進行，但是進行的頻率則依賴于企業自己的風險分析。

知識產權（IP）盜竊：進行這種犯罪活動的人一般是科學家、工程師以及程序員，他們會盜竊他們自己所創造的知識產權，比如工程圖紙、技術細節以及源代碼等。在表面上，他們的盜竊行為可能并不違法，這使得檢測這些活動更加困難。許多數據泄漏防護產品（DLP）會導致信息過載，如果沒有如下所述的相關政策和過程，它們在監測知識產權信息盜竊時并不實用。CERT的研究表明，大多數內部人員會在辭職以后的30天內盜竊知識產權。

因此，一個實用的監測策略包括：

◆記錄日志、監視并審計系統日志中的查詢、下載、打印任務，以及電子郵件消息中是否包含大量的數據（特別是，是否包含了和知識產權相關的信息）。

◆警惕那些發送給競爭對手、外部地點或者個人電子郵件賬戶的電子郵件。

◆監視網絡流量中異常的大型文件傳輸、長期連接、可疑端口以及可疑資源/目的地IP地址等。

◆使用基于主機的代理來記錄臺式電腦以及筆記本電腦的活動，包括可移動媒體的使用等。

◆對那些能夠訪問知識產權的辭職員工實施具有針對性的日志審計?？傊掷m進行日志記錄、有目的地監視那些與本文描述相符的員工，并實時保持警惕，企業就能夠有效地防止內部威脅，保護自己。

【編輯推薦】

1. 不只是無間道——真實的內部威脅程度
2. Gartner：企業必須學會檢測僵尸網絡威脅