本文包含了三種內部犯罪活動：內部IT蓄意破壞、內部欺詐，以及知識產權（IP）盜竊。每種犯罪活動都需要用特定的內部威脅檢測策略來監(jiān)測。

內部IT蓄意破壞：這種犯罪活動旨在給企業(yè)或者個人造成損失。從事這種活動的罪犯通常是那些心懷不滿的系統管理員或者數據庫管理員，他們的活動往往會造成系統崩潰、數據被擦除，或者導致業(yè)務運行中斷等后果。這種犯罪活動通常使用以下幾種技術：采用后門賬戶、在職期間植入惡意代碼，或者用密碼破解器、社會工程得到密碼等。

這里有幾個關鍵的監(jiān)視和檢測策略，專門針對潛在的內部IT蓄意破壞活動。企業(yè)應該考慮把這幾個策略添加到標準的安全實踐中。它們包括：

檢測配置的變化——許多內部人員會在操作系統腳本中、產品程序或者系統工具中植入惡意代碼。攻擊目標多種多樣，而且攻擊方法也在不斷演變。然而，利用改變控制，來用工具來監(jiān)測這些文件的變化是有可能的，因為它們很少被改變。

對網絡外圍進行控制，對可疑流量進行預警——大多數企業(yè)會使用像入侵檢測系統（IDS）工具來監(jiān)視內部流量。然而，在CERT數據庫中，有的內部人員從地下因特網（Internet Underground）得到黑客工具并獲得幫助（請看CERT的報告：熱點聚焦，與地下因特網社區(qū)有聯系的惡意內部人員），從而盜竊認證信息和敏感信息。由于這個緣故，企業(yè)很有必要考慮使用像IDS這樣的工具來監(jiān)測惡意的外部流量，并提高警惕。

監(jiān)視未授權的賬戶——許多內部人員會創(chuàng)建后門賬戶，以便于以后進行攻擊。這些賬戶可能很難被監(jiān)測到。我們建議把所有的賬戶跟現有的員工賬號目錄進行比較，通過驗證每個賬戶是否與現有的員工有關、是否需要員工主管進行認可等手段，積極主動地審查新賬戶。

內部欺詐：在這種犯罪活動中，內部人員為了達到個人目的或者盜竊用來欺詐（身份偷竊，信用卡欺詐等）的信息，他們會利用IT技術對企業(yè)的數據進行未授權的改變、添加或者刪除等。

內部欺詐通常來自低層次員工（如，客戶支持或者服務臺員工），他們會利用日常的訪問權訪問系統。主要的檢測策略是審計數據庫事務，從而監(jiān)視針對個人認證信息（PII）、信用卡信息以及其他敏感信息的可疑活動。這種審計應該定期進行，但是進行的頻率則依賴于企業(yè)自己的風險分析。

知識產權（IP）盜竊：進行這種犯罪活動的人一般是科學家、工程師以及程序員，他們會盜竊他們自己所創(chuàng)造的知識產權，比如工程圖紙、技術細節(jié)以及源代碼等。在表面上，他們的盜竊行為可能并不違法，這使得檢測這些活動更加困難。許多數據泄漏防護產品（DLP）會導致信息過載，如果沒有如下所述的相關政策和過程，它們在監(jiān)測知識產權信息盜竊時并不實用。CERT的研究表明，大多數內部人員會在辭職以后的30天內盜竊知識產權。

因此，一個實用的監(jiān)測策略包括：

記錄日志、監(jiān)視并審計系統日志中的查詢、下載、打印任務，以及電子郵件消息中是否包含大量的數據（特別是，是否包含了和知識產權相關的信息）。
       警惕那些發(fā)送給競爭對手、外部地點或者個人電子郵件賬戶的電子郵件。
       監(jiān)視網絡流量中異常的大型文件傳輸、長期連接、可疑端口以及可疑資源/目的地IP地址等。
       使用基于主機的代理來記錄臺式電腦以及筆記本電腦的活動，包括可移動媒體的使用等。
       對那些能夠訪問知識產權的辭職員工實施具有針對性的日志審計?？傊?，持續(xù)進行日志記錄、有目的地監(jiān)視那些與本文描述相符的員工，并實時保持警惕，企業(yè)就能夠有效地防止內部威脅，保護自己。

liukai