企业安全无间道之抓内鬼

个人情况指标可能不会直接造成损害，但会是很多事情的诱因。

这里的最大问题是，你可能无法掌握员工的变化情况。这些信息可能会被他周围的同事和HR知道，需要打通这个信息渠道。例如精神类疾病在职场中常见的是抑郁症，会导致无意犯错、破坏发泄，理论上可以在每年的体检报告上获取这个信息，但这属于侵犯个人隐私，在强保密体系下可以关注使用。另一个重点是绩效为差的员工，待离职员工，这些都带有强烈的离职动机，从而导致窃取数据、搞破坏，这些数据是可以通过HR系统检测到的指标。

2. 背景及行为指标

背景侧重于历史记录，很多公司把敏感岗位背调作为招聘必选项。行为则是根据员工工作上的行为方式逐步形成。

参与某些团体指的是例如国泰航空前阵时间的事件，参与了社会事件而带来的对飞行安全的破坏、泄漏用户信息。而在犯罪前科上，要兼顾考虑各类外包人员。背调不只是在入职前进行，在晋升时也需要进行。其他类型不再赘述。

3. 信息安全指标

内部欺诈是利用工作流程，掌握了规则后获利行为，例如风控部门的员工，就可能掌握规则从而绕过获利，检测上很难发现，但可以通过其他维度，例如与情报、钓鱼、黑灰产关联等。而数据窃取则可能有一些对抗绕过，比如对数据加密，使用代理等，可以根据基线、阈值来做关联判断。商业间谍则考虑账号、设备、竞对关联、行为。

4. 终端指标

终端是指用户的终端电脑、手机等，由于员工可以对终端进行操作，所以他可能会篡改数据，破坏监控agent，因此要额外检测agent和日志的运行情况，尤其是当员工有离职等不良倾向的时候需要重点关联检测。

数据窃取可通过打印、复制外发文件，把这个日志和背景行为指标关联，可以监测到数据窃取、商业间谍行为。内部人员如果登陆其他同事账号，目的可能是隐藏自己，提升权限，又或者代其他员工操作。多次登陆失败则说明账号正在被暴力破解。终端多用户登录代表的风险则更大，但要注意有些例如三班倒的工作岗位、测试岗位会存在公用设备现象，但排除这些岗位也行后，其他人员需要重点关注。当然还有其他维度，例如非正常工作时间，只不过在互联网公司这个太常见了，所以没有加入特征。

对终端的检测几乎发现不到什么内部欺诈，欺诈行为一般出现在业务层。

5. 服务端指标

对应的则是用户在服务端的操作行为：

对集中存放的审计日志进行修改是个明确信号，有人在试图抹掉痕迹。同账号多设备则表明账号可能被泄漏，也可能是横向移动攻击。

四、总结

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!