在当今的信息安全环境中，我们经常听到来自外部攻击者（例如有组织的犯罪和国家）的高级持续威胁（advanced persistent threats，APT）。然而，信息安全从业人员还需要担心内部威胁。这种威胁关系到那些能访问组织数据、文件和IT系统的员工、承包商或是分包商，他们可能心怀不满或是感觉“有责任”来偷取有价值的知识产权信息。他们的动机可能有所不同，从政治原因到个人忿怒、或是单纯的贪婪。

　　本文提供了广泛的总结，涉及内部威胁及内部威胁检测最佳方法的关键问题。企业可能需要更新一些公司策略和实践来更好地保护IT系统及知识产权资产。

　　内容目录

• 内部威胁的类别
• 如何识别高风险的员工
• 数据是如何被窃取并拿走的？
• 如何应对增长的内部威胁风险
• 解决内部威胁风险的实际方法

　　内部威胁的类别：

　　据卡耐基梅隆大学的CERT内部威胁中心（该中心提供关于内部威胁的全面和权威的研究结果）以及我的个人经验来说，内部威胁的关键类别包括下述内容：

　　蓄意破坏IT系统——破坏公司的IT系统或是偷取IT资产（例如偷取源代码、私有程序等等）来进行报复。
　　业务优势驱动——员工或是承包商偷窃公司的数据以便在他们新的雇主那里拥有优势，后者通常是公司的竞争对象、或是计划在他们开始的新业务上获得优势的雇主。
　　经济利益驱动——这种类型犯罪通常涉及到欺诈，例如窃取社会保险号、信用卡和CVV编号等信息，挣钱是首要目标。
　　商业间谍活动——主要的动机是为别的公司或国家做间谍，并且为了政治上的利益直接将偷取的资产给“敌人”；在此类案例中也经常涉及到金钱，这把我们又带回到了经济利益驱动类型。

　　如何识别高风险的员工

　　为什么公司的内部人员想窃取数据、程序、源代码、销售策略等信息呢？动机通常是主要由两个本能的问题所驱使：自我和贪婪。

　　识别高风险员工的最佳做法是观察他们的行为。他们敌视他们的上司和同事吗？他们在职权方面有冲突吗？他们的工作表现有下滑、或他们迟到或缺席比平时多吗？在正常的工作时间之外，是否有他们任何过度的工作、或是网络上活动的证据？

　　同样对于经济利益驱动类型来说，员工是否欠债累累？他们是否在滥用毒品？他们是否开新的、昂贵的汽车，或是通过穿戴珠宝、昂贵的服装，甚至是昂贵的小玩意来炫耀？这些可能是暴露真相的迹象，他们可能是潜在的窃取数据的内部威胁人员。

　　谁造成最大的风险？内部威胁心理学

　　以下类型的员工、承包商和分包商应引起企业的关注。寻找以下特征，将其作为你进行员工风险评估的一部分：

　　心怀不满的员工——这些通常是感觉自己不被尊重的员工，可能是由于错过期望的薪水提升机会，或是在个人利益、休息时间、降职、职位调动或是其它类似的问题上与管理者发生负面冲突。在这种情况下，报复是员工的动机。

　　寻求利益的员工——对于许多人来说这是简单的动机。他们为了薪水工作，然而通过窃取信息他们能售卖偷到的信息给有组织的罪犯、或是修改数据来窃取别人的身份从而获得更多的钱。对员工来说，这些信息很容易访问并窃取，再加上偷窃行为可能被合理化，因为恶意的内部人员可能对自己说“公司也不会觉察到”。这种情况下，个人动机可能包括大型的金融，或是与毒品相关的债务。

　　员工打算跳到竞争对手那里或是自己创业——对于打算在同一领域自己创业的人来说，窃取客户名单、商业计划、甚至是简单的表格或是模版都很有诱惑力的。此外，想象一下员工离开公司为竞争对手工作。可能竞争对象已经暗示员工，在入职时信息的交换能让他得到更好的位置。

　　认为他们自己拥有源代码或是产品——在这种情况下，员工对于他们写的源代码或是开发的产品有一种拥有权的感觉。因此他们带走源代码用于未来或是下一份工作使用。

　　据CERT内部威胁研究中心的研究，对于内部人员威胁/偷窃来说造成最大风险的员工包括技术职员，如工程师和科学家，管理人员，销售人员和程序员。雇主应特别关注那些在部署的IT系统上拥有管理员权限或是特定用户的员工。这些员工了解系统的强处和弱点。他们可能是“心怀不满的怪人”在系统内植入逻辑炸弹或是破坏数据，这些造成的问题直到他们离开公司数月或是数年后才会被发现。