數(shù)據(jù)是如何被竊取并被帶走的？

        一旦數(shù)據(jù)、源代碼或是知識產權被竊取，必須被轉移到一個能夠實施員工計劃的地方。以下是途徑列表，用于提取將被惡意使用的信息：

       • 電子郵件——對于小于10GB的數(shù)據(jù)來說，電子郵件是最簡單的傳輸方法。員工可能使用公司的郵件將信息發(fā)送到個人或是同伙的郵箱賬戶。此外，web郵箱（網(wǎng)頁郵箱）可以被用來訪問個人的郵箱賬戶并且郵寄數(shù)據(jù)給別的賬戶。當然，數(shù)據(jù)可能需要發(fā)送給別的目標如某個國家，所以郵件服務能再次用于直接給目標發(fā)送數(shù)據(jù)，或是通過個人郵箱賬戶發(fā)送給目標的國家或有組織的罪犯。

       • 文件傳輸協(xié)議（FTP）——竊取的數(shù)據(jù)可以上傳到由員工、或是目標罪犯建立的某個FTP站點。對于更大的文件這是最佳的方法。

        • 可移動媒介——隨著可移動媒體設備的普及，這是從雇主的系統(tǒng)中帶走數(shù)據(jù)最容易的方法。USB驅動器、CD/DVD燒錄器、移動硬盤、內存卡、便攜式音樂播放器甚至于手機都能用來拷貝信息并帶出辦公室。偷偷摸摸地使用物理存儲意味著信息可能被郵寄給員工或是壞人。

       • 移動設備——下載信息到公司配備的便攜電腦或是員工自己的智能手機、平板電腦、或是其它移動設備上，是另外一種拷貝數(shù)據(jù)并且?guī)ё叩氖侄巍?/p>

       • 遠程訪問——遠程訪問公司的網(wǎng)絡是另一種訪問網(wǎng)絡以便竊取信息的方式。在CISO分配給我的某個任務中，一名員工在他的家里搭建自己的SSH服務器，并且能夠遠程地連接到公司網(wǎng)絡、或是反向連接到他的服務器來帶走數(shù)據(jù)。他是公司的“技術發(fā)燒友”之一，所以技術上他是精湛的，并且知道為了他的目標如何打開端口、建立服務等等。

        • 紙張——打印數(shù)據(jù)和復印知識產權是一種快速、簡單的收集數(shù)據(jù)并帶走數(shù)據(jù)的方法。

        • 拍攝和截屏——在辦公室手機照相機已經(jīng)泛濫。除非系統(tǒng)規(guī)定阻攔，員工能夠進行簡單的屏幕拍攝并且隨后離線郵寄或是下載。

        諸如即時信息、或是短消息服務（SMS）的方法也可能包括在上述列表中。不要忘記加密是很容易實施的方式。免費工具諸如TrueCryt能夠使用AES、Serpent、Twofish或是組合的算法加密數(shù)據(jù)，因此防止員工看到竊取的信息。

如何應對增長的內部威脅風險

         公司需要持續(xù)關注內部威脅。即使是在最好的公司，也存在員工的人力資源問題。然而當宣布人員解雇或是解聘時，管理層應該特別警惕內部偷竊行為。同樣，如果好幾個員工打算跳槽到正在積極地招聘、或是打算進入公司業(yè)務領域的競爭對手那里怎么辦？如果一組承包商完成了他們的工作并且打算離開該怎么辦？那些懷有怒氣并且感覺他們的權利被侵犯的不滿員工怎么應對？這些情形都應該引起對內部威脅的警惕立場。

       記得提早建立一個管理內部威脅問題的計劃。早在威脅發(fā)生前應該采取下面這些步驟：

       1. 確保組織遵守聯(lián)邦和各州的法律和規(guī)章關于隱私權、個人權利等。在歐盟的讀者要確保組織遵守歐盟的隱私要求。

        2. 讓董事會管理層包括CEO，以及其他團隊包括IT、信息安全、隱私、物理安全、法律和人力資源的管理層參與進來。使他們意識到任何隱約出現(xiàn)或是可能的威脅（可能的話讓他們閱讀本文?。?。

       3. 決定恰當?shù)臅r間來讓外部顧問、法律執(zhí)行機構、FBI、秘密服務等介入。無論這些團體是否遲早晚要參與進來，或者如果是正在執(zhí)行任何聯(lián)邦的敏感工作永遠不會取決于公司的合同。

        據(jù)CERT內部威脅中心進行的研究，IT系統(tǒng)最可能發(fā)生內部偷竊/惡意破壞的時間是在員工離職的30天內。因此可能需要額外的關注包括使用技術上的監(jiān)控手段（例如日志）以及行為監(jiān)控，它們在這個期間內是恰當?shù)摹?/p>