為了防御外部攻擊者，各類組織都花費(fèi)了大量的人力物力，但很多時(shí)候，大家都忽視了一個(gè)最大的問題，那就是如何化解內(nèi)部威脅。這種對(duì)于內(nèi)部威脅的失察，在很大程度上反映了一些組織對(duì)自己的員工過于相信，認(rèn)為他們會(huì)尊重組織的知識(shí)產(chǎn)權(quán)、敏感信息等等這些組織信息。

[[148588]]

這種心態(tài)當(dāng)然無可厚非，然而，卻歪曲了數(shù)據(jù)安全的真實(shí)性。最近由全球網(wǎng)絡(luò)安全創(chuàng)新企業(yè)及數(shù)據(jù)損失預(yù)防提供商Clearswift，通過某科技與B2B市場(chǎng)研究公司Loudhouse，發(fā)布了一項(xiàng)關(guān)于企業(yè)安全行為的獨(dú)立調(diào)查，揭示了企業(yè)應(yīng)該如何小心地保護(hù)自己的數(shù)據(jù)免受內(nèi)部威脅。

來自美國(guó)、歐洲、澳大利亞等不同國(guó)家的500名互聯(lián)網(wǎng)技術(shù)決策者和4000名員工參與了此項(xiàng)調(diào)查，其中35%的受訪者表示，會(huì)在價(jià)格合適的情況下出售公司的敏感信息，或存儲(chǔ)在受保護(hù)的公司服務(wù)器上的客戶數(shù)據(jù)。

35%的員工會(huì)以合適的價(jià)格出售公司信息

根據(jù)Clearswift的圖表顯示，內(nèi)部人士會(huì)搞出各種各樣的信息，包括財(cái)務(wù)報(bào)表、產(chǎn)品規(guī)格、客戶和員工數(shù)據(jù)、供應(yīng)鏈信息和交易記錄等等。

企業(yè)員工會(huì)出售的商業(yè)數(shù)據(jù)類型

不同類型的信息目標(biāo)匹配的是一個(gè)同樣多樣化的攻擊者動(dòng)機(jī)。一些內(nèi)部人士可能會(huì)為了自己的一己私利決定竊取信息，比如為了從公司銀行賬戶取款或?yàn)榱烁`取知識(shí)產(chǎn)權(quán)出售給競(jìng)爭(zhēng)對(duì)手。其他人則可能懷著破壞自己公司的明確目的，尤其是攻擊者表現(xiàn)為破壞合同、勒索高管、或在某些方面對(duì)公司進(jìn)行抹黑時(shí)，這種傾向則更為明顯。

下圖展示了內(nèi)部人士愿意出售公司信息的各種價(jià)位：

出售財(cái)務(wù)數(shù)據(jù)的人會(huì)接受的價(jià)位

區(qū)區(qū)千元，就有百分之三的員工會(huì)出售私人信息，相當(dāng)于一家高檔餐廳的雙人套餐的價(jià)格。

要是出價(jià)萬元，就會(huì)有將近五分之一(18%)的受訪者表示會(huì)接受，大約相當(dāng)于一臺(tái)高端筆記本電腦的價(jià)格。

出價(jià)五萬元，就會(huì)有四分之一的員工會(huì)冒著失業(yè)和犯罪的風(fēng)險(xiǎn)出售公司數(shù)據(jù)。

出價(jià)達(dá)到五十萬，35%的員工都會(huì)繳械投降，大約相當(dāng)于一次家庭歐洲度假的費(fèi)用。

還好多數(shù)(65%)的員工表示，他們不會(huì)以任何價(jià)格出售公司的數(shù)據(jù)。

這并非駭人聽聞，如果你考慮到下面這引起事實(shí)，你就會(huì)知道這些數(shù)據(jù)隨時(shí)都將化為真實(shí)存在的威脅：

容易接觸到公司關(guān)鍵數(shù)據(jù)的員工百分比

61%的受訪者擁有公司客戶數(shù)據(jù)的訪問權(quán)限。

51%的參與此項(xiàng)調(diào)查者擁有公司財(cái)務(wù)數(shù)據(jù)的訪問權(quán)限。

49%的參與此項(xiàng)調(diào)查者擁有公司產(chǎn)品信息的訪問權(quán)限。

可以肯定的是，雖然我們可喜地看到，有65%的員工不會(huì)考慮出售公司信息，但事實(shí)上卻是超過三分之一的員工隨時(shí)隨地都會(huì)對(duì)組織構(gòu)成非常現(xiàn)實(shí)的威脅。

“雖然各類機(jī)構(gòu)的人們一向?qū)挝坏男畔踩暈轭^等大事，但仍然有相當(dāng)一部分人圖謀利用出售本不屬于自己的東西而從中牟取利益。而這些被出售的信息說不定就是單位的命根子。”

內(nèi)部威脅是組織必須面對(duì)的問題，特別是當(dāng)員工對(duì)數(shù)據(jù)安全持有不同的意見時(shí)。根據(jù)Clearswift的調(diào)查顯示，29%的受訪者認(rèn)為，幫助保護(hù)自己公司的敏感信息是自己的個(gè)人責(zé)任，而與此同時(shí)，有超過五分之一(22%)的受訪者并不認(rèn)為他們有義務(wù)幫助保護(hù)企業(yè)數(shù)據(jù)。

職業(yè)態(tài)度與數(shù)據(jù)安全

與此同時(shí)，另外還有62%的參與調(diào)查者稱，他們對(duì)安全漏洞對(duì)行為改變的影響程度重視不夠。由于缺乏這種共識(shí)，要找出可能意味著內(nèi)部人士要進(jìn)行內(nèi)部攻擊的諸多先兆，完全取決于組織。而為了檢測(cè)這種類型的攻擊，防患于未然，組織還應(yīng)該考慮結(jié)合主動(dòng)威脅情報(bào)和日志管理實(shí)施一系列的解決方案。

62%的信息安全專業(yè)人士認(rèn)為員工對(duì)安全不夠重視

“活在對(duì)員工的恐懼之中可不是什么好事，尤其是在大多數(shù)員工都還可信的情況下。要在其中找到恰當(dāng)?shù)钠胶鈴膩矶紱]那么容易。不過真正理解了問題的根源，加上技術(shù)的進(jìn)步可以對(duì)不同威脅采取不同的應(yīng)對(duì)措施，相信一切都可以得到圓滿的解決。”