多年以来，安全工作的主要目标一直关注保护环境的边缘位置——即确保外部人员无法获得访问权并借此实施恶意活动。然而统计数据证明，企业内部存在的风险往往更高。正因为如此，相当一部分合规性法规要求监控系统能够识别并清除内部威胁。根据Forrester公司的统计，58%的安全违规行为源自内部事件或者与业务合作伙伴相关。IBM公司发布的2015年网络安全情报索引亦指出，55%的攻击源自企业内部人员。

在今天的文章中，我们将共同了解ObserveIT公司CEO Mike McKee针对内部威胁因素给出的七步走式应用战略。

 

　　建立主动内部威胁管理计划

建立这一计划的核心元素包括：

一支跨部门团队，涵盖人力资源、IT、企业识别与领导层。

实施员工培训以普及并强化安全政策。在违规事件出现时发布实时通知应成为网络安全教育计划的主要内容。

建立用户活动监控方案，负责追踪特权用户、高风险员工、远程供应商活动——以及其他任何有权访问您系统与数据的人员。其应能够追踪并对风险及行为进行可视化处理，从而确保管理人员更快检测到内部威胁。

 

　　关注特权

明确记录事件发生前、期间与之后曾出现的事件或警报。这将有效缩短修复前平均时间并提供确凿的相关证据，这一点对于实施应对举措至关重要。

企业通常能够很好地掌握服务器统计信息，包括访问日志、性能、正常运行时间以及系统事件。但在另一方面，企业往往很难了解谁有权直接访问服务器。因此应创建凭证登录(避免使用一般性登录机制)，并利用IT申请系统以确保全部服务器活动皆处于可控范围之内。

 

　　定期审查员工访问控制机制

如果员工无需访问特定帐户，请及时撤销其相关权限。另外，请考虑限制在企业帐户之上使用远程登录应用程序或者云存储应用。

部分企业每年执行一次此类审查，但更高频度的审查活动(每季度或者每月)能够更好地缓解内部威胁问题。

 

　　监控全部数据渗出点

应通过用户活动监控与重播记录管理来自计算机的大规模打印事务、USB数据过滤、云存储上传、面向个人邮箱的数据发送或者通过即时通讯软件进行的文件发送——而非事件日志——从而梳理来自计算机的调查结果。只需要简单按下重播按钮，我们即可对这些数据渗出点进行快速监控及调查。

 

　　了解用户为何要安装/卸载软件

企业利用虚拟桌面、非永久性镜像及各类软件管理工具及帐户以控制已安装应用程序。在多数情况下，这些集中式管理方法无法提供与用户意图及基本业务需求相关的信息。内部威胁管理技术能够消除这些明显空白，并允许企业了解人们的行为是否可能引发风险。

 

　　高度关注高风险用户

无论是通过当面对话还是在桌面环境上设置通知横幅，总之企业应提醒高风险用户其正在受到监控。在多数情况下，这能够有效阻止其从事恶意活动。员工离职时应立即更改密码以撤销其访问权限。另外，请确保第三方服务供应商亦针对员工离职作出反应，即尽快取消其授权帐户。

确保离职员工无法掌握任何企业数据。在高风险员工离职前，请认真检查其个人计算机、手机、平板等设备上是否存在企业数据。

 

　　速度安全调查

毫无疑问，能够快速检测并响应事件与警报对企业而言至关重要。如果缺少正确安全工具与程序的支持，那么修复前平均时间往往将长达数周。因此，请将您的用户活动监控方案与其它网络安全工具加以整合，从而确保您能够提供确凿的相关证据并有效缩短修复前平均时间。

原文标题：How to eliminate insider threats

原文作者：Ryan Francis

(责任编辑：安博涛)