經驗豐富的網絡安全先鋒John McAfee相信：服務器位于美國的Ashley Madison偷情網站臭名昭著的黑客事件是內鬼干的“好事”。

據(jù)統(tǒng)計，“內鬼”也是大多數(shù)危害網絡安全事件的發(fā)生原因。KCS自己的研究表明，企業(yè)網絡犯罪的事件80%可以追溯到本企業(yè)員工，而且這個比例正在擴大。其中包括可能的蓄意網絡犯罪，也可能是這些工作人員處理個人的登錄細節(jié)信息時太過粗心大意。

但是，一旦一個有組織的犯罪團伙充分利用了由危害網絡安全行為導致的安全漏洞，那么這種危害網絡安全的行為本身是否為惡意，則沒有太大的區(qū)分意義了。一般來說，犯罪團伙進入一個IT系統(tǒng)后，他們可以很容易地在目標機構的整個通信網絡上運行自己的勒索軟件。

犯罪團伙通過對目標公司的最敏感的數(shù)據(jù)進行加密，同時在自己手里掌握相應的解密軟件，他們能夠要求目標支付巨額的贖金來贖回他們的數(shù)據(jù)。只要該公司拒絕支付贖金，或是支付的過程太過緩慢，犯罪團伙可以找到其最敏感的客戶數(shù)據(jù)并在暗網上進行販賣，這個網站上運營著互聯(lián)網上高度匿名的黑色和灰色經濟，在這里幾乎可以買到任何東西，包括被竊取的數(shù)據(jù)、毒品和非法武器等。

勒索軟件還為一些黑客提供技術支持

只要付出500美元，任何人都可以在暗網上買到勒索軟件。一些非法的軟件開發(fā)者甚至為技術能力不過關的黑客提供全天候的技術支持服務。所以如果你認為只有IT大師才能竊取公司數(shù)據(jù)，那你可就錯了。

在這個時代，大多數(shù)組織都依賴電子通訊來運營，這早已不再是僅僅是管理人員和IT工程師才持有通向IT王國大門的鑰匙的時代了。任何參與到互聯(lián)網接入相關工作的人員都是一個潛在的違法者，其中當然也包括所有雷鋒網的小編。許多公司高管都對自己看人的眼力很自豪，但很少有外部的小型初創(chuàng)公司聲稱能夠一眼了解他們全部員工的品質。在許多組織中，準確判斷本組織員工品質的巨大困難會讓各個層級的工作人員都可能成為潛在的安全隱患。

因此，至關重要的是所有的行業(yè)組織應當制定全方位的網絡安全政策，不再只是簡單的強化公司的外部防火墻，也應當設法抵御更大的危險——內部威脅。然而雖然很有必要，但也不能做得太過于興師動眾，猜疑所有員工，使得公司內部員工人人自危。相當具有諷刺意味的是，正是這種過分的猜疑而帶來的充滿壓力的工作環(huán)境才是滋生內部網絡罪犯最肥沃的土壤。

根據(jù)美國國土安全局發(fā)布的消息：“內部威脅通常被定義為一個在職的或離職的雇員、承包商或其它業(yè)務伙伴，這些主體自己擁有或被授權訪問一個該組織的網絡、系統(tǒng)或數(shù)據(jù)，他們故意濫用此訪問權限，對組織的信息或信息系統(tǒng)的機密性、完整性或可用性帶來了負面影響?！?/p>

國土安全局認為，內部威脅不僅涉及安裝勒索軟件，還包括破壞、盜竊、間諜、欺詐和獲取不正當競爭優(yōu)勢。在一些案例中外國勢力偽裝成合法的市場研究機構或商業(yè)公司竊取數(shù)據(jù)，其中包括一些涉及到國防安全和軍事科技的數(shù)據(jù)。

為了抵御內部威脅，各種組織需要確保他們的安全軟件被開發(fā)為能夠應對日益增長的內部威脅。

公司完全沒有意識到數(shù)據(jù)被復制或竊取

然而，在許多情況下，當數(shù)據(jù)被惡意復制或被竊取的時候，很多企業(yè)往往還渾然不覺。有些時候，甚至是一些機密數(shù)據(jù)，如產品設計和敏感的客戶信息，都是可以在暗網上買到的。

公司應該雇傭第三方顧問，這些顧問在暗網上有著深厚的內部消息來源，如果他們的一些數(shù)據(jù)被提供出售，他們可以得到這些顧問及時提醒。通過監(jiān)控網絡罪犯的在線聊天，也可以做到對可能的網絡攻擊進行早期預警。

我們處于一個人員高度流動的時代，很多管理人員的簡歷經常描述的職業(yè)生涯涉及到遍布幾大洲的眾多機構，而公司對新員工的審查就顯得至關重要了。為了確定某人的背景缺陷或異常，可以通過謹慎的非常規(guī)的調查實現(xiàn)。然而太多的組織無法對個人簡歷進行驗證。在2015年，工作人員（包括管理人員）都會在工作中或多或少地留下數(shù)字化的歷史痕跡。在管理人員入職前，應當進行全面的調查，并對任何可疑的信息做出警示。但是過度的個人信息調查可能會適得其反，產生一種懷疑和人人自危的工作文化。

然而，如果第三方審核能夠謹慎展開，并與上述其它監(jiān)測形式結合，那么公司就會得到有關他們公司員工任何潛在的錯誤的及時提醒。在這種環(huán)境下，公司當然可以充分信任自己的員工。

via betanews

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。