安全悲剧：当IT员工背叛你

　　一个流氓IT员工造成的损失要远比一群黑客攻击造成的损失大的多。下面我们将为大家介绍一下以下三家公司是如何受害的。

　　如果你接到了一个来自商业软件联盟(BSA)的电话，电话那头告诉你，你们公司使用的部分微软软件可能是盗版软件，这对首席信息官来说无疑是一场恶梦。

　　通过调查你发现不仅你使用的软件是盗版软件，而且这些软件竟然是你信任了七年之久的IT系统管理员在你不知情的情况下购入公司并运行的。在你仔细审查这名管理员的工作之后，你发现这名管理员居然在你的公司服务器上运营着一个收费色情网站。然后，你发现他还通过公司的电子商务服务器私自下载了400名客户的信用卡帐号。

　　最糟糕的事情是，他还是唯一掌握着管理员密码的人。

　　想一下这种情况不会发生吗?这种情况确实发生过。一家位于宾夕法尼亚州拥有2.5亿美元资产的零售商曾经向一家安全顾问公司就这种情况求助过。由于最后这家公司选择了保持沉默，这件事情才没有被曝光。

　　尽管很少有关于IT员工变成流氓管理员消息被媒体曝光，但是大多数公司都在悄悄的尽可能的防范这种事情。

　　CSO杂志年度报告援引CERT威胁与事件管理小组技术主管Dawn Cappelli的话称，美国特勤局和计算机紧急反应小组(CERT)发现四分之三的公司成为了内部员工背叛的受害者。她称：“我们知道媒体曝光的事件仅仅是冰山一角。”

　　由于对事件保持沉默，因此其他公司根本无法从这些受害公司的经历中吸取教训。CERT试图填补这一空白。他们从2001年起开始研究内部威胁，从400多起案例中总结经验。在其最近公布的报告中，他们分析了250起案例，找出了大多数公司最容易犯的错误：在招聘程序中没有充分的审查，对访问特权缺乏充分的监督和监管，忽视员工的不良行为。

　　拥有特权的IT员工造成的威胁很难被侦测。他们的不法行为被隐藏在日常工作中。Cappelli称，IT员工在例行性的 “编写脚本、编辑代码，编写程序，这看起来并没有什么异常。”他们知道你的安全弱点在什么地方，知道如何掩盖他们的不法行为。你不能信赖技术，或任何预防措施来防范流氓管理员。你不得不着眼于全局。

　　Cappelli称：“我们不仅仅要关注他们在线做什么，还要注意他们工作的地方正在发生什么。大家需要理解这些案例，知道这些数字背后的故事。”

　　美国计算机世界网站为我们列出了以下几个案例，这些案例都没有被广泛报道过。尽管受害的公司保持了沉默，但是安全顾问将为我们厘清其中的头绪。尽管每一个案例都有着特殊的背景，但是这些案例中都有一些代表性的东西。

　　不仅是盗版软件，还有更糟糕的

　　John Linkous称，宾夕法尼亚州的零售商案例发生在2008年早些时候，当时BSA告之他们微软发现他们的许可证有问题。Linkous 目前已经是安全顾问公司eIQ Networks的首席安全官兼合规官。他经历了这一案例，当时他还是安全顾问公司Sabera公司的经营副总裁，不过现在这家公司已经倒闭了。

　　微软从可疑软件的销售一直追踪到使用公司的系统管理员。在这个案例中，我们将这名系统管理员称之为“Ed”。当时Linkous和Sabera公司的同事被要求秘密进行调查，他们发现Ed向他的雇主出售了50多万美元的盗版微软软件、Adobe软件和SAP软件。

　　调查人员还注意到网络带宽使用异常高。Linkous称：“我们认为还有某种基于网络的攻击存在。”他称，他们通过跟踪发现服务器上还存有5万余张色情图片和2500部色情录像。

　　此外，在警方对Ed的工作站进行搜查后，他们发现了一张写有数百个信用卡号码的电子表单，这些信用卡号码都是从公司电子商务网站上私自下载下来的。Linkous称，虽然没有任何迹象显示这些号码被使用过，但是这张电子表单暗示Ed正在考虑自己使用这些信用卡数据，或是将这些数据出售给第三方。

　　公司的首席财务官和其他一些高管担心Ed在受到质问后可能会做出一些不理智的行为。Ed是唯一掌握某些管理密码的人，包括核心网络路由器/防火墙的密码、网络交换机密码、公司VPN密码、人力资源系统密码、电子邮件服务器管理员密码、Windows活动目录管理密码，以及Windows桌面管理密码。

　　这意味着Ed已经控制了公司几乎所有主要的业务程序，包括公司网站、电子邮件、财务报告系统和薪水册。Linkous称：“这家伙拥有这个王国的钥匙。”

　　这家公司和Linkous的公司发起了一个代号为“不可能完成的任务”的行动。他们使用了一个策略，让Ed连夜飞到加利福尼亚。Ed的长途飞行给了Linkous团队五个半小时的时间，在这段时间内，Ed无法访问系统。他们尽可能快的绘制了网络拓扑图，重置了所有的密码。当Ed飞到加利福尼亚后，公司的首席运营官已经在那里等他，并告之他已经被解雇。