安全悲剧：当IT员工背叛你

　　给公司带来的损失

　　Linkous估计这一事件给这家公司造成了25万美元至30万美元的损失，其中包括了支付给Sabera的费用、让Ed飞往加利福尼亚的费用、起诉Ed的费用、雇用临时网络管理员和新首席信息官的费用，以及购买正版软件许可证的费用。

　　防范措施

　　怎样才能防止这种灾难呢?很明显，至少要有其他人应当知道密码。但是更重要的是没有将职责分开。这家零售商只有一个规模很小的IT团队(仅6个人)，所以Ed能够共时拥有管理和安全职责。这意味着他将自己监督自己。

　　Linkous 知道对于拥有小规模IT团队的公司来说，将职责分开是一项艰巨的挑战。他建议这些小公司监督所有的事情，包括日志、网络信息和系统配置变动，由其他人进行评估，而不是由系统管理员或他们自己的报告进行评估。最重要的是让IT员工知道他们正在受到监管。

　　第二，在雇佣Ed时，公司没能做一个详细的背景审查。CERT研究结果显示，在从事IT破坏的内部员工中，有大约30%的人曾经被警方逮捕过。事实上，简历中的任何造假行为都应当引起注意。尽管公司曾经对Ed进行过犯罪背景调查，并且没有核实到他在简历中所提到的证书。其中一些证书在后来被发现是伪造的(比如他并不是MBA)。

　　第三，Ed的性格应当被视为危险信号。Linkous在与Ed进行过面对面的接触后发现　　“他似乎认为自己比同一办公室的同事要聪明。” Ed的傲慢态度让Linkous想起了名声狼藉的安然公司高管们。他称：“他过度自信，骄傲自大并且看不起其他人。”CERT发现流氓管理员通常都易怒。

　　外包引发员工报复

　　安全咨询机构波尼蒙研究所创始人兼主席Larry Ponemon 称，Sally在一家财富500强公司担任了10年的系统管理员和数据库经理，是公司最为信任的IT员工。

　　在公司眼中她是一个能人，可以解决所有的问题。因为这个原因，她收集到了大量高级网络特权，这些特权已经超越了她的工作需要。Ponemon称：“由于你很难预料他们将在何时帮助别人，因此给予这些人高于他们所需的特权成为了一个趋势。”

　　她有时通过笔记本电脑在家办公，电脑上都设置了这些高等级特权。Ponemon称，公司的文化是像Sally这样的IT之星可以给予特殊的待遇。他称：“这类IT员工可以不受某些规定的限制，他们可以自己决定在他们的系统上安装何种工具。”

　　但是当公司决定将公司的IT动作外包给印度时，Sally并没有感到有什么异常。尽管公司并没有正常将这一决定告之IT员工，但是这对于内部IT员工来说，这意味着他们中的大多数人都要走人。

　　Sally想对此进行报复。在正式通知被解雇之前，她安装了一个逻辑炸弹，一旦她被解雇整个服务器将崩溃。

　　最初，公司没有发现什么原因。他们打开了备份服务器，但是Sally已经在这些备份服务器上也安装了逻辑炸弹，莫名其妙的崩溃导致公司蒙受了重大损失。Ponemon称：“用心险恶的雇员可以给公司带来巨大损失，当时很难立即发现，事后也难以追踪。”

　　最终，他们发现了Sally的蓄意破坏行为，并约见了她。作为交换条件，Sally同意解决系统问题，公司不对其进行起诉。此外，Sally还同意不将这一事件公之于众。“他们不想让她上电视节目，让她在节目上大谈如何打断一家财富500强公司的脊梁骨的。”

　　给公司带来的损失

　　这一事件估计给该公司造成了约700万美元的损失，其中包括500万美元的机会成本(宕机、业务中断，以及客户潜在的损失)和200万美元的雇佣调查与安全顾问费用。

　　防范措施

　　公司在哪里做错了呢?首先，这一事件是一起典型的“特权扩散”案例。当把权力给予个人去解决执行任务后没有及时回收。

　　第二，公司的文化导致无法将职责分开，并且对IT员工缺乏监管。由于这方面的缺失，管理层错过了一个重要的警告。在事件发生后，公司发现Sally在过去的三年内“遗失”了11台笔记本电脑。公司服务台人员已经发现了这一问题，但是她们并没有向管理层报告这一问题，部分原因是顾忌Sally在公司中的地位。没有人知道她把这些笔记本电脑做什么，也许只是她粗心造成的。对此，Ponemon指出：“如果你是一名系统管理员，这本身就是一个问题。”

　　第三，外包决定导致公司内部气氛紧张，这时公司应当更为警惕，对任何可能会对此不满的员工进行防范。

　　Ponemon称，即使你没有向员工透露任何消息，你也不应当认为员工会对此不知情。他称：“在公司首席执行官签订外包合同的瞬间，公司的普通员工就会知道。如果你没有监督你的IT员工，那么应当马上开始目监督他们。”最好的办法是，马上公开宣布你已经开始监督他们。

　　据CERT统计，许多破坏事件都是那么心怀不满的员工进行报复造成的。这种报复事件通常都是灯下黑，正如下面我们为大家介绍的案例那样。