企业安全无间道之抓内鬼

数据窃取可通过打印、复制外发文件，把这个日志和背景行为指标关联，可以监测到数据窃取、商业间谍行为。内部人员如果登陆其他同事账号，目的可能是隐藏自己，提升权限，又或者代其他员工操作。多次登陆失败则说明账号正在被暴力破解。终端多用户登录代表的风险则更大，但要注意有些例如三班倒的工作岗位、测试岗位会存在公用设备现象，但排除这些岗位也行后，其他人员需要重点关注。当然还有其他维度，例如非正常工作时间，只不过在互联网公司这个太常见了，所以没有加入特征。

对终端的检测几乎发现不到什么内部欺诈，欺诈行为一般出现在业务层。

5. 服务端指标

对应的则是用户在服务端的操作行为：

对集中存放的审计日志进行修改是个明确信号，有人在试图抹掉痕迹。同账号多设备则表明账号可能被泄漏，也可能是横向移动攻击。

四、总结

（编辑：泉州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!