企业安全无间道之抓内鬼

内鬼具有一些共同特征，这些特征出现在访问日志、流量、文件等地方，和正常活动混杂在一起，导致大量误报，这是需要解决的问题。特征分布在各个系统日志的时间轴上，需要清洗出来做数据融合，串联起来一个人的行为，这个过程是这里的重活，而且需要多次修正让数据可解释，这取决于数据质量、系统架构、正确方法，当然也需要数据人员的认真细致。

特征分为技术指标和非技术指标两类。非技术指标会涉及HR、法务、管理层等参与，但在这一系列的指标里要注意几点，一是不要因为资历老、级别高就忽略，人是变化的。二是关注心理健康，这方面很多大公司都有心理测试和定期心理辅导。三是对员工应有人道关怀的理解和帮助，而不是简单的指责惩罚。千万不要把这事变成官僚主义的形式，这样不但不能帮助，而且会让员工产生逆反心理。例如员工绩效辅导，就不该是办公室里走个过场，而是需要至少1个小时以上的一对一聊天。

每个人对工作、生活看法都千差万别，HR和leader的工作职责中需要了解个人风格，对工作的期望和目标，对周围同事和上级的看法。当技术指标发生变化时，就需要人工干预防止恶化，因此要把两类指标结合起来，起到预防、检测、响应的作用。

搞破坏、泄漏数据和内部欺诈的人，在时间线上是不同的，根据这个特征可以更好地发现异常，在关键节点加强监控。

3. 建设路线

真的要去做这件事，不是安全技术部门负责这么简单，需要有组织保障。信息安全的这些技术，也不足以保障。

抓一个坏人，可能涉及到内控、信息安全、内部监察、内控、廉政、HR等部门，具体落在哪个部门取决于内部博弈，但一般企业内不会是先设立这么一个组织再来开展活动，而是谁能干这件事，责任就落在谁头上。但整体上是一个跨部门工作组才能完成的工作。

另外，这个团队需要高层授权，解决“谁来监视监视者”的问题。这个组的工作是保密的，因此需要管理好信任，确保监视者会受到监视，因为这个组掌握的信息太多太敏感。你可以简单理解为“东厂”角色，但又不能像东厂那样不受约束、大张旗鼓、人人自危。

解决前面的问题之后，接下来的路线就是：

• 建立风险处理制度，建立识别评估方法。
• 提升相关人员的能力。
• 培训演练，提高员工安全意识。
• 启动调查的程序

有一些具体操作上需要特别列出来的注意事项：

(1) 背调

员工入职一般都有背景调查，但这个是静态的，只是在入职时由外包进行调查。一旦本人发生变化，以前的背调就没什么用了。

(2) 纵深防御

信息安全领域的常见做法，但在管理上也需要有纵深防御。

(3) 员工满意度

员工满意度跟公司规模有关，公司越大江湖越深，不满度可能越高，不满度指标会间接产生影响。

(4) 内部特权人员

特权用户掌握了一些敏感关键权限，并且知道如何绕过监控，对抗调查。所以就是刚才这个谁来监视监视者的问题。这需要公司组织架构上有互相制衡的能力。

(5) 安全规则必定被绕过

在商业组织里，安全是一个支撑角色，赚钱才是核心业务。而安全措施叠加，必定会在一定程度上降低效率，由于效率原因，安全规则也一定不被完全遵守。要么是以免打扰的方式实现安全，要么就要让违规受到必要的惩戒，实际工作中是两者结合使用。

(6) 无意行为危害

无意行为危害更为常见，例如DLP抓到的外发，大量都是业务需要的非故意外发行为，真正的坏人可能就隐藏在这里而被淹没。这需要靠安全意识教育、直接触达的警告来强化安全。

三、检测指标

发现内鬼可通过不同维度的指标监测，指标异常引发报警，从而提升某个员工的关注度。

1. 个人情况指标

个人情况指标可能不会直接造成损害，但会是很多事情的诱因。

这里的最大问题是，你可能无法掌握员工的变化情况。这些信息可能会被他周围的同事和HR知道，需要打通这个信息渠道。例如精神类疾病在职场中常见的是抑郁症，会导致无意犯错、破坏发泄，理论上可以在每年的体检报告上获取这个信息，但这属于侵犯个人隐私，在强保密体系下可以关注使用。另一个重点是绩效为差的员工，待离职员工，这些都带有强烈的离职动机，从而导致窃取数据、搞破坏，这些数据是可以通过HR系统检测到的指标。

2. 背景及行为指标

背景侧重于历史记录，很多公司把敏感岗位背调作为招聘必选项。行为则是根据员工工作上的行为方式逐步形成。

参与某些团体指的是例如国泰航空前阵时间的事件，参与了社会事件而带来的对飞行安全的破坏、泄漏用户信息。而在犯罪前科上，要兼顾考虑各类外包人员。背调不只是在入职前进行，在晋升时也需要进行。其他类型不再赘述。

3. 信息安全指标

内部欺诈是利用工作流程，掌握了规则后获利行为，例如风控部门的员工，就可能掌握规则从而绕过获利，检测上很难发现，但可以通过其他维度，例如与情报、钓鱼、黑灰产关联等。而数据窃取则可能有一些对抗绕过，比如对数据加密，使用代理等，可以根据基线、阈值来做关联判断。商业间谍则考虑账号、设备、竞对关联、行为。

4. 终端指标

终端是指用户的终端电脑、手机等，由于员工可以对终端进行操作，所以他可能会篡改数据，破坏监控agent，因此要额外检测agent和日志的运行情况，尤其是当员工有离职等不良倾向的时候需要重点关联检测。

（编辑：泉州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!