本文包含了三種內(nèi)部犯罪活動：內(nèi)部IT蓄意破壞、內(nèi)部欺詐，以及知識產(chǎn)權（IP）盜竊。每種犯罪活動都需要用特定的內(nèi)部威脅檢測策略來監(jiān)測。

內(nèi)部IT蓄意破壞：這種犯罪活動旨在給企業(yè)或者個人造成損失。從事這種活動的罪犯通常是那些心懷不滿的系統(tǒng)管理員或者數(shù)據(jù)庫管理員，他們的活動往往會造成系統(tǒng)崩潰、數(shù)據(jù)被擦除，或者導致業(yè)務運行中斷等后果。這種犯罪活動通常使用以下幾種技術：采用后門賬戶、在職期間植入惡意代碼，或者用密碼破解器、社會工程得到密碼等。

這里有幾個關鍵的監(jiān)視和檢測策略，專門針對潛在的內(nèi)部IT蓄意破壞活動。企業(yè)應該考慮把這幾個策略添加到標準的安全實踐中。它們包括：

檢測配置的變化——許多內(nèi)部人員會在操作系統(tǒng)腳本中、產(chǎn)品程序或者系統(tǒng)工具中植入惡意代碼。攻擊目標多種多樣，而且攻擊方法也在不斷演變。然而，利用改變控制，來用工具來監(jiān)測這些文件的變化是有可能的，因為它們很少被改變。

對網(wǎng)絡外圍進行控制，對可疑流量進行預警——大多數(shù)企業(yè)會使用像入侵檢測系統(tǒng)（IDS）工具來監(jiān)視內(nèi)部流量。然而，在CERT數(shù)據(jù)庫中，有的內(nèi)部人員從地下因特網(wǎng)（Internet Underground）得到黑客工具并獲得幫助（請看CERT的報告：熱點聚焦，與地下因特網(wǎng)社區(qū)有聯(lián)系的惡意內(nèi)部人員），從而盜竊認證信息和敏感信息。由于這個緣故，企業(yè)很有必要考慮使用像IDS這樣的工具來監(jiān)測惡意的外部流量，并提高警惕。

監(jiān)視未授權的賬戶——許多內(nèi)部人員會創(chuàng)建后門賬戶，以便于以后進行攻擊。這些賬戶可能很難被監(jiān)測到。我們建議把所有的賬戶跟現(xiàn)有的員工賬號目錄進行比較，通過驗證每個賬戶是否與現(xiàn)有的員工有關、是否需要員工主管進行認可等手段，積極主動地審查新賬戶。

內(nèi)部欺詐：在這種犯罪活動中，內(nèi)部人員為了達到個人目的或者盜竊用來欺詐（身份偷竊，信用卡欺詐等）的信息，他們會利用IT技術對企業(yè)的數(shù)據(jù)進行未授權的改變、添加或者刪除等。

內(nèi)部欺詐通常來自低層次員工（如，客戶支持或者服務臺員工），他們會利用日常的訪問權訪問系統(tǒng)。主要的檢測策略是審計數(shù)據(jù)庫事務，從而監(jiān)視針對個人認證信息（PII）、信用卡信息以及其他敏感信息的可疑活動。這種審計應該定期進行，但是進行的頻率則依賴于企業(yè)自己的風險分析。

知識產(chǎn)權（IP）盜竊：進行這種犯罪活動的人一般是科學家、工程師以及程序員，他們會盜竊他們自己所創(chuàng)造的知識產(chǎn)權，比如工程圖紙、技術細節(jié)以及源代碼等。在表面上，他們的盜竊行為可能并不違法，這使得檢測這些活動更加困難。許多數(shù)據(jù)泄漏防護產(chǎn)品（DLP）會導致信息過載，如果沒有如下所述的相關政策和過程，它們在監(jiān)測知識產(chǎn)權信息盜竊時并不實用。CERT的研究表明，大多數(shù)內(nèi)部人員會在辭職以后的30天內(nèi)盜竊知識產(chǎn)權。

因此，一個實用的監(jiān)測策略包括：

記錄日志、監(jiān)視并審計系統(tǒng)日志中的查詢、下載、打印任務，以及電子郵件消息中是否包含大量的數(shù)據(jù)（特別是，是否包含了和知識產(chǎn)權相關的信息）。
       警惕那些發(fā)送給競爭對手、外部地點或者個人電子郵件賬戶的電子郵件。
       監(jiān)視網(wǎng)絡流量中異常的大型文件傳輸、長期連接、可疑端口以及可疑資源/目的地IP地址等。
       使用基于主機的代理來記錄臺式電腦以及筆記本電腦的活動，包括可移動媒體的使用等。
       對那些能夠訪問知識產(chǎn)權的辭職員工實施具有針對性的日志審計?？傊?，持續(xù)進行日志記錄、有目的地監(jiān)視那些與本文描述相符的員工，并實時保持警惕，企業(yè)就能夠有效地防止內(nèi)部威脅，保護自己。

liukai