數(shù)據(jù)是如何被竊取并被帶走的？

        一旦數(shù)據(jù)、源代碼或是知識產(chǎn)權(quán)被竊取，必須被轉(zhuǎn)移到一個能夠?qū)嵤﹩T工計劃的地方。以下是途徑列表，用于提取將被惡意使用的信息：

       • 電子郵件——對于小于10GB的數(shù)據(jù)來說，電子郵件是最簡單的傳輸方法。員工可能使用公司的郵件將信息發(fā)送到個人或是同伙的郵箱賬戶。此外，web郵箱（網(wǎng)頁郵箱）可以被用來訪問個人的郵箱賬戶并且郵寄數(shù)據(jù)給別的賬戶。當(dāng)然，數(shù)據(jù)可能需要發(fā)送給別的目標(biāo)如某個國家，所以郵件服務(wù)能再次用于直接給目標(biāo)發(fā)送數(shù)據(jù)，或是通過個人郵箱賬戶發(fā)送給目標(biāo)的國家或有組織的罪犯。

       • 文件傳輸協(xié)議（FTP）——竊取的數(shù)據(jù)可以上傳到由員工、或是目標(biāo)罪犯建立的某個FTP站點。對于更大的文件這是最佳的方法。

        • 可移動媒介——隨著可移動媒體設(shè)備的普及，這是從雇主的系統(tǒng)中帶走數(shù)據(jù)最容易的方法。USB驅(qū)動器、CD/DVD燒錄器、移動硬盤、內(nèi)存卡、便攜式音樂播放器甚至于手機(jī)都能用來拷貝信息并帶出辦公室。偷偷摸摸地使用物理存儲意味著信息可能被郵寄給員工或是壞人。

       • 移動設(shè)備——下載信息到公司配備的便攜電腦或是員工自己的智能手機(jī)、平板電腦、或是其它移動設(shè)備上，是另外一種拷貝數(shù)據(jù)并且?guī)ё叩氖侄巍?/p>

       • 遠(yuǎn)程訪問——遠(yuǎn)程訪問公司的網(wǎng)絡(luò)是另一種訪問網(wǎng)絡(luò)以便竊取信息的方式。在CISO分配給我的某個任務(wù)中，一名員工在他的家里搭建自己的SSH服務(wù)器，并且能夠遠(yuǎn)程地連接到公司網(wǎng)絡(luò)、或是反向連接到他的服務(wù)器來帶走數(shù)據(jù)。他是公司的“技術(shù)發(fā)燒友”之一，所以技術(shù)上他是精湛的，并且知道為了他的目標(biāo)如何打開端口、建立服務(wù)等等。

        • 紙張——打印數(shù)據(jù)和復(fù)印知識產(chǎn)權(quán)是一種快速、簡單的收集數(shù)據(jù)并帶走數(shù)據(jù)的方法。

        • 拍攝和截屏——在辦公室手機(jī)照相機(jī)已經(jīng)泛濫。除非系統(tǒng)規(guī)定阻攔，員工能夠進(jìn)行簡單的屏幕拍攝并且隨后離線郵寄或是下載。

        諸如即時信息、或是短消息服務(wù)（SMS）的方法也可能包括在上述列表中。不要忘記加密是很容易實施的方式。免費工具諸如TrueCryt能夠使用AES、Serpent、Twofish或是組合的算法加密數(shù)據(jù)，因此防止員工看到竊取的信息。

如何應(yīng)對增長的內(nèi)部威脅風(fēng)險

         公司需要持續(xù)關(guān)注內(nèi)部威脅。即使是在最好的公司，也存在員工的人力資源問題。然而當(dāng)宣布人員解雇或是解聘時，管理層應(yīng)該特別警惕內(nèi)部偷竊行為。同樣，如果好幾個員工打算跳槽到正在積極地招聘、或是打算進(jìn)入公司業(yè)務(wù)領(lǐng)域的競爭對手那里怎么辦？如果一組承包商完成了他們的工作并且打算離開該怎么辦？那些懷有怒氣并且感覺他們的權(quán)利被侵犯的不滿員工怎么應(yīng)對？這些情形都應(yīng)該引起對內(nèi)部威脅的警惕立場。

       記得提早建立一個管理內(nèi)部威脅問題的計劃。早在威脅發(fā)生前應(yīng)該采取下面這些步驟：

       1. 確保組織遵守聯(lián)邦和各州的法律和規(guī)章關(guān)于隱私權(quán)、個人權(quán)利等。在歐盟的讀者要確保組織遵守歐盟的隱私要求。

        2. 讓董事會管理層包括CEO，以及其他團(tuán)隊包括IT、信息安全、隱私、物理安全、法律和人力資源的管理層參與進(jìn)來。使他們意識到任何隱約出現(xiàn)或是可能的威脅（可能的話讓他們閱讀本文！）。

       3. 決定恰當(dāng)?shù)臅r間來讓外部顧問、法律執(zhí)行機(jī)構(gòu)、FBI、秘密服務(wù)等介入。無論這些團(tuán)體是否遲早晚要參與進(jìn)來，或者如果是正在執(zhí)行任何聯(lián)邦的敏感工作永遠(yuǎn)不會取決于公司的合同。

        據(jù)CERT內(nèi)部威脅中心進(jìn)行的研究，IT系統(tǒng)最可能發(fā)生內(nèi)部偷竊/惡意破壞的時間是在員工離職的30天內(nèi)。因此可能需要額外的關(guān)注包括使用技術(shù)上的監(jiān)控手段（例如日志）以及行為監(jiān)控，它們在這個期間內(nèi)是恰當(dāng)?shù)摹?/p>