流氓系统管理员为最大的内部威胁

SystemExperts咨询公司分析师Phil Cox称，他近期对一名在十年间多次从IT运作、网络、电信和桌面支持之间调整工作的系统管理员进行了研究。Cox称：“随着时间的流逝，这名管理员越来越频繁的访问那些与他工作无关的信息。”这名管理员是一名外国人，并最终离开了公司。公司检查了他存储的最后一周的电子邮件，这是公司对离职人员常用的审查方式。他们发现了一些奇怪的地方，这让经理认为他带走了数据。随后他们检查了他的登录日志，并发现他访问了三年前访问的数据。

Cox推荐的策略是“根据雇员当前的角色授予访问权限。搞清楚哪些是正常访问部分。” SIEM工具很有帮助，同时还需要制订详细的规定。如禁止任何人在机器上进行根登录。如果你发现一次根登录，那么你需要进行调查。

用户于临时访问的企业密码管理工具看上去很具吸引力，但是实际使用中却很难发挥作用。Cox称：“因为如果系统管理员每次想进行操作的话都必须要得到授权，那么将牵扯巨大的精力，这样一来就不会被使用。”

Cox指出还有第三方服务，如用于寻找IT雇员可疑行为的SecureWorks。当然，不要让被监控的IT雇员接触到监控程序。

Theis称，虽然在监控IT雇员时必须通知他们，但是向他们隐藏监控机制非常重要，这样他们就无法躲避监控。他称，在许多案例中，系统管理员都竭力找出不让监控工具在他们机器上运行的托词，并千方百计让监控程序失灵，所以可尽可能的对雇员们保守秘密。

目前对监控技术以及自动阻止IT雇员可疑行为的技术还存在着许多争议。雷神公司内部威胁专家Theis对不带阻止的监控技术表示支持，原因是所有的行为都会发生，但是仅有一小部分行为是恶意的。

市场调研公司Forrester研究的分析师Chenxi Wang称，当系统管理员查看他不应当看的电子邮件和文件时，他的行为违反了保密规定，但是这很难被制止，从某种程度上说，在正常操作中，这种事很容易发生。她称：“重要的是看意图。他们是在解决IT问题，还是出于好奇?”

Wang强调称，那些拥有访问网络资源特权的IT雇员也是高价值攻击目标。她指出，前段时间对谷歌的攻击被认为与将一名特权用户作为目标有关。

另一部分需要监控的人员是外包商和第三方合作伙伴中的IT雇员，这些IT雇员虽然不是公司的直接雇员，但是他们可以像公司的直接雇员那样访问公司网络。

Theis称，最重要的事件是要能够精确识别可信任的雇员。这意味着要甄别出那些在背景审查中不及格或有犯罪记录的应聘者。

对IT人员进行背景审查如果已经变得很普遍，就如同信用卡行业的数据安全标准那样。Cox称：“PCI DSS会详细辨认你是否有持卡人数据，他们必须要进行背景审查。”

洛杉矶雇员退休局首席信息官James Pu称，在他的部门中，在雇用IT人员时进行背景审查已经成为了必做事项。这项工作主要由人力资源部门操作，背景审查中还包括审查信用记录和债务人消费模式。Pu称：“这对于聘用人员来说非常重要。聘用人员不能有任何犯罪记录、诈骗行为、盗窃行为或是道德缺失，否则将被视为不合格。”