明槍易躲 暗箭難防 Insider Threat Discovery

內部敵人往往較外部敵人能做成更大的破壞。

日前上市公司所羅門電子遭離職員工竊取多項機密資訊，損失估計約新台幣3.5億元。經刑事局調查發現有2名離職工程師，於2年前分別遭公司資遣、開除進而報復行竊，遭竊的資料以做為自行經營公司參考。俗語說「飼老鼠、咬布袋」。內部敵人往往較外部敵人能做成更大的破壞，內奸和外敵相比，偏偏更難應付與預防。

內患難測
一般資訊安全設備只能防範外部入侵，面對內部威脅往往措手不及或是隔靴搔癢般的不切實際。因內部竊賊已取得系統安全信任，有權接觸特定資料，且知道有價值的資料儲存位置，不必像外部入侵者那樣不斷以「試誤法」(try and error)方式突破系統防護，就能直接盜取。在隨身MP3隨身聽或手機也有大容量裝置的今天，在公司內部下載大量資料再偷走實在太過容易。

另一個問題，便是內部資料竊賊突發性與不可預期性。例如當同事和上司爭執後，一氣之下作出報復行動；或是員工因被裁員、被卡債或賭債所迫，決定挺而走險等。

奸詐狡猾
外來入侵或破壞往往還可依賴市面上一般軟體或硬體作第一道防線，建立系統防護防線。但今天企業信任的員工，明天隨時可能變成你的內部威脅。在難以預測同時，要妥善處理內部威脅便更困難。你是否有思考過下列的問題？
●企業有沒有能力在內竊資訊爆發前便有預警提示？
●企業假如正好及時發現內部資訊竊賊，能否即時制止，將損害減到最少？
●把內奸揪出來後，除了立即辭退之外，有沒有直接且明確的證據可將他們繩之以法？
●能否把內賊的共犯包含背後的操縱者、利益集團，商業間諜的主謀同時揭露出來，一網打盡？

揪出內賊
處理內部威脅，企業必須先確定關鍵應用、設備和數據庫，例如是您的薪資系統、客戶紀錄，又或是電郵系統，然後找出它們日常應用的慣常模式。假如日常運作中，發現異於平常的行為模式，便要即時警覺，加以留意。舉例客戶服務人員查閱客戶資料很正常，但假如一位同事每次查詢而同時檢閱十多位客戶資料，這便不對勁了，資安系統應及時警示。這些偵察工作，在維護個人隱私前題下，必須無針對性地按政策自動運行。一旦發現異常行為模式，便要同時起始搜證記錄，且擬定警戒級別，分析異常行為是否危害到企業。必要時更要立即限制同事存取關鍵資料和應用的權限，提交分析報告，讓企業有效準備後續行動。

未雨稠繆
今天許多企業應付一般外部資訊安全威脅已疲於奔命，面對內部威脅更是一籌莫展。最可信賴的通訊及安全方案夥伴CPCNet為協助跨國企業，提供專業信息安全管理服務TrustCSI；其服務可監察多達300種安全產品，提供7x24小時的國際級資訊安全保護，客戶可節省支出及人手，將精力集中在主要業務之上。

TrustCSI提升其服務的功能，其中的內部威脅偵測功能更有效地提供下列服務:
●確認可疑用戶活動模式，找出異常應用狀況
●自動判斷可疑用戶的行動所導致的威脅水準
●根據企業預訂的指引和政策，對威脅水準作出相應的部署防禦
●根據用戶可疑的行為提供早期警告，以確保能夠於早期發現有問題的內部異常活動

CPCNet TrustCSI正是企業的資訊安全醫生，不論外毒入侵或內部威脅，能全面保護，確保安全。