經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全先鋒John McAfee相信:服務(wù)器位于美國(guó)的Ashley Madison偷情網(wǎng)站臭名昭著的黑客事件是內(nèi)鬼干的“好事”。
據(jù)統(tǒng)計(jì),“內(nèi)鬼”也是大多數(shù)危害網(wǎng)絡(luò)安全事件的發(fā)生原因。KCS自己的研究表明,企業(yè)網(wǎng)絡(luò)犯罪的事件80%可以追溯到本企業(yè)員工,而且這個(gè)比例正在擴(kuò)大。其中包括可能的蓄意網(wǎng)絡(luò)犯罪,也可能是這些工作人員處理個(gè)人的登錄細(xì)節(jié)信息時(shí)太過粗心大意。
但是,一旦一個(gè)有組織的犯罪團(tuán)伙充分利用了由危害網(wǎng)絡(luò)安全行為導(dǎo)致的安全漏洞,那么這種危害網(wǎng)絡(luò)安全的行為本身是否為惡意,則沒有太大的區(qū)分意義了。一般來說,犯罪團(tuán)伙進(jìn)入一個(gè)IT系統(tǒng)后,他們可以很容易地在目標(biāo)機(jī)構(gòu)的整個(gè)通信網(wǎng)絡(luò)上運(yùn)行自己的勒索軟件。
犯罪團(tuán)伙通過對(duì)目標(biāo)公司的最敏感的數(shù)據(jù)進(jìn)行加密,同時(shí)在自己手里掌握相應(yīng)的解密軟件,他們能夠要求目標(biāo)支付巨額的贖金來贖回他們的數(shù)據(jù)。只要該公司拒絕支付贖金,或是支付的過程太過緩慢,犯罪團(tuán)伙可以找到其最敏感的客戶數(shù)據(jù)并在暗網(wǎng)上進(jìn)行販賣,這個(gè)網(wǎng)站上運(yùn)營(yíng)著互聯(lián)網(wǎng)上高度匿名的黑色和灰色經(jīng)濟(jì),在這里幾乎可以買到任何東西,包括被竊取的數(shù)據(jù)、毒品和非法武器等。
勒索軟件還為一些黑客提供技術(shù)支持
只要付出500美元,任何人都可以在暗網(wǎng)上買到勒索軟件。一些非法的軟件開發(fā)者甚至為技術(shù)能力不過關(guān)的黑客提供全天候的技術(shù)支持服務(wù)。所以如果你認(rèn)為只有IT大師才能竊取公司數(shù)據(jù),那你可就錯(cuò)了。
在這個(gè)時(shí)代,大多數(shù)組織都依賴電子通訊來運(yùn)營(yíng),這早已不再是僅僅是管理人員和IT工程師才持有通向IT王國(guó)大門的鑰匙的時(shí)代了。任何參與到互聯(lián)網(wǎng)接入相關(guān)工作的人員都是一個(gè)潛在的違法者,其中當(dāng)然也包括所有雷鋒網(wǎng)的小編。許多公司高管都對(duì)自己看人的眼力很自豪,但很少有外部的小型初創(chuàng)公司聲稱能夠一眼了解他們?nèi)繂T工的品質(zhì)。在許多組織中,準(zhǔn)確判斷本組織員工品質(zhì)的巨大困難會(huì)讓各個(gè)層級(jí)的工作人員都可能成為潛在的安全隱患。
因此,至關(guān)重要的是所有的行業(yè)組織應(yīng)當(dāng)制定全方位的網(wǎng)絡(luò)安全政策,不再只是簡(jiǎn)單的強(qiáng)化公司的外部防火墻,也應(yīng)當(dāng)設(shè)法抵御更大的危險(xiǎn)——內(nèi)部威脅。然而雖然很有必要,但也不能做得太過于興師動(dòng)眾,猜疑所有員工,使得公司內(nèi)部員工人人自危。相當(dāng)具有諷刺意味的是,正是這種過分的猜疑而帶來的充滿壓力的工作環(huán)境才是滋生內(nèi)部網(wǎng)絡(luò)罪犯最肥沃的土壤。
根據(jù)美國(guó)國(guó)土安全局發(fā)布的消息:“內(nèi)部威脅通常被定義為一個(gè)在職的或離職的雇員、承包商或其它業(yè)務(wù)伙伴,這些主體自己擁有或被授權(quán)訪問一個(gè)該組織的網(wǎng)絡(luò)、系統(tǒng)或數(shù)據(jù),他們故意濫用此訪問權(quán)限,對(duì)組織的信息或信息系統(tǒng)的機(jī)密性、完整性或可用性帶來了負(fù)面影響。”
國(guó)土安全局認(rèn)為,內(nèi)部威脅不僅涉及安裝勒索軟件,還包括破壞、盜竊、間諜、欺詐和獲取不正當(dāng)競(jìng)爭(zhēng)優(yōu)勢(shì)。在一些案例中外國(guó)勢(shì)力偽裝成合法的市場(chǎng)研究機(jī)構(gòu)或商業(yè)公司竊取數(shù)據(jù),其中包括一些涉及到國(guó)防安全和軍事科技的數(shù)據(jù)。
為了抵御內(nèi)部威脅,各種組織需要確保他們的安全軟件被開發(fā)為能夠應(yīng)對(duì)日益增長(zhǎng)的內(nèi)部威脅。
公司完全沒有意識(shí)到數(shù)據(jù)被復(fù)制或竊取
然而,在許多情況下,當(dāng)數(shù)據(jù)被惡意復(fù)制或被竊取的時(shí)候,很多企業(yè)往往還渾然不覺。有些時(shí)候,甚至是一些機(jī)密數(shù)據(jù),如產(chǎn)品設(shè)計(jì)和敏感的客戶信息,都是可以在暗網(wǎng)上買到的。
公司應(yīng)該雇傭第三方顧問,這些顧問在暗網(wǎng)上有著深厚的內(nèi)部消息來源,如果他們的一些數(shù)據(jù)被提供出售,他們可以得到這些顧問及時(shí)提醒。通過監(jiān)控網(wǎng)絡(luò)罪犯的在線聊天,也可以做到對(duì)可能的網(wǎng)絡(luò)攻擊進(jìn)行早期預(yù)警。
我們處于一個(gè)人員高度流動(dòng)的時(shí)代,很多管理人員的簡(jiǎn)歷經(jīng)常描述的職業(yè)生涯涉及到遍布幾大洲的眾多機(jī)構(gòu),而公司對(duì)新員工的審查就顯得至關(guān)重要了。為了確定某人的背景缺陷或異常,可以通過謹(jǐn)慎的非常規(guī)的調(diào)查實(shí)現(xiàn)。然而太多的組織無法對(duì)個(gè)人簡(jiǎn)歷進(jìn)行驗(yàn)證。在2015年,工作人員(包括管理人員)都會(huì)在工作中或多或少地留下數(shù)字化的歷史痕跡。在管理人員入職前,應(yīng)當(dāng)進(jìn)行全面的調(diào)查,并對(duì)任何可疑的信息做出警示。但是過度的個(gè)人信息調(diào)查可能會(huì)適得其反,產(chǎn)生一種懷疑和人人自危的工作文化。
然而,如果第三方審核能夠謹(jǐn)慎展開,并與上述其它監(jiān)測(cè)形式結(jié)合,那么公司就會(huì)得到有關(guān)他們公司員工任何潛在的錯(cuò)誤的及時(shí)提醒。在這種環(huán)境下,公司當(dāng)然可以充分信任自己的員工。