離職員工是經(jīng)常被忽視的內(nèi)部威脅的一個(gè)來源。根據(jù)Biscom的一項(xiàng)研究現(xiàn)顯示,超過四分之一的離職員工在離職時(shí)竊取數(shù)據(jù)。無論他們這樣做是出于疏忽還是惡意,這種情況只會(huì)對(duì)組織產(chǎn)生負(fù)面影響,包括失去競爭優(yōu)勢(shì)、因不遵守網(wǎng)絡(luò)安全要求而受到處罰等。
好消息是,您可以發(fā)現(xiàn)這種危險(xiǎn)的內(nèi)部活動(dòng),并在員工帶著公司數(shù)據(jù)離開之前緩解它。在本文中,我們將了解數(shù)據(jù)盜竊的主要原因和這種威脅的關(guān)鍵指標(biāo),以及有關(guān)防止離職員工竊取數(shù)據(jù)的最佳實(shí)踐。
離職員工竊取數(shù)據(jù)的風(fēng)險(xiǎn)
得益于數(shù)字技術(shù)和遠(yuǎn)程辦公,如今換工作比以往任何時(shí)候都更加容易。美國勞工統(tǒng)計(jì)局表示,2021年至2023年期間,勞動(dòng)力流動(dòng)率仍然很高。在這種環(huán)境中,重要的是要保持警惕,以保護(hù)組織免受離職員工竊取數(shù)據(jù)的風(fēng)險(xiǎn)。
當(dāng)員工辭職時(shí),他們通常會(huì)去同一行業(yè)的公司(甚至可能是您的直接競爭對(duì)手)擔(dān)任類似的職位。雖然他們大多數(shù)時(shí)候只會(huì)帶著自己的經(jīng)驗(yàn)和個(gè)人物品離開,但有些員工也會(huì)順走雇主的寶貴數(shù)據(jù)。
與此同時(shí),Code42的《2022年數(shù)據(jù)暴露報(bào)告》顯示,71%的組織對(duì)離職員工將哪些數(shù)據(jù)以及/或者多少敏感數(shù)據(jù)帶到其他公司缺乏可視性。同一份報(bào)告強(qiáng)調(diào),需要更好的網(wǎng)絡(luò)安全方法來保護(hù)數(shù)據(jù)免受此類內(nèi)部風(fēng)險(xiǎn)。
不幸的是,過去一年并沒有任何改善的跡象。根據(jù)Code42的《2023年數(shù)據(jù)暴露報(bào)告》顯示,數(shù)據(jù)暴露事件的數(shù)量在前一年增加了32%,受訪者估計(jì),數(shù)據(jù)泄露的平均修復(fù)成本高達(dá)1600萬美元。
在離職員工竊取數(shù)據(jù)的情況下,您的組織可能面臨的主要負(fù)面結(jié)果包括:
因違規(guī)行為而遭受罰款和處罰。敏感的財(cái)務(wù)數(shù)據(jù)、醫(yī)療數(shù)據(jù)和個(gè)人記錄受到各種網(wǎng)絡(luò)安全法規(guī)和標(biāo)準(zhǔn)的保護(hù)。如果員工成功竊取了這些數(shù)據(jù),他們的雇主可能會(huì)面臨外部審計(jì)和高額罰款。
機(jī)密外泄。當(dāng)客戶與組織簽訂保密協(xié)議(NDA)時(shí),他們希望交易的細(xì)節(jié)是私密的。然而,離職的員工可能會(huì)向新雇主透露保密協(xié)議的細(xì)節(jié),從而喪失客戶的信任。
失去競爭優(yōu)勢(shì)。知識(shí)產(chǎn)權(quán)(IP)是離職員工最常竊取的數(shù)據(jù)類型之一。離職的員工可以把他們參與過的設(shè)計(jì)、軟件代碼和文檔帶到下一個(gè)工作場所。這樣,您的競爭對(duì)手就可以發(fā)現(xiàn)并利用您的商業(yè)秘密。知識(shí)產(chǎn)權(quán)盜竊的另一種可能情況是打亂您的工作。如果員工在離開前竊取并刪除項(xiàng)目信息,就會(huì)發(fā)生這種情況。
客戶流失。對(duì)許多客戶來說,有關(guān)數(shù)據(jù)和機(jī)密泄露的新聞都是危險(xiǎn)信號(hào)。即便他們沒有受到數(shù)據(jù)泄露的影響,客戶也可能會(huì)對(duì)你的組織失去信任,并開始尋找其他合作伙伴。
正如您所看到的,一個(gè)離職的員工會(huì)對(duì)一個(gè)組織產(chǎn)生很大的影響。還應(yīng)該指出的是,離職員工通常有強(qiáng)烈的動(dòng)機(jī)和必備的知識(shí)來竊取數(shù)據(jù)。讓我們來看看離職員工數(shù)據(jù)盜竊背后的主要原因。
員工竊取公司數(shù)據(jù)的原因
手腳不干凈的離職員工的動(dòng)機(jī)與常規(guī)的內(nèi)部威脅行為者略有不同。以下是離職員工竊取數(shù)據(jù)的主要原因:
對(duì)IP的所有權(quán)感。當(dāng)員工長期致力于某項(xiàng)知識(shí)產(chǎn)權(quán)時(shí),他們便會(huì)開始覺得這是屬于自己的知識(shí)產(chǎn)權(quán)。員工離開公司時(shí)可能會(huì)帶著它,就像他們帶著咖啡杯一樣。
谷歌自動(dòng)駕駛汽車工程師Anthony Levandowski的案件是最著名的數(shù)據(jù)盜竊案件之一。2021年初,Levandowski因從谷歌竊取自動(dòng)駕駛汽車軟件被指控,這些軟件是他在被解雇前從事的工作。最終,法院判決他向谷歌賠償1.79億美元。
渴望獲得更好的職位。當(dāng)跳槽到同一行業(yè)的公司時(shí),離職的員工可能會(huì)認(rèn)為,向新公司提供競爭對(duì)手的機(jī)密數(shù)據(jù)將有助于他們獲得更好的工作機(jī)會(huì)?;蛘?,員工可能希望使用機(jī)密信息來創(chuàng)業(yè)。
2022年5月,雅虎研究科學(xué)家Qian Sang在獲得競爭對(duì)手The Trade Desk的工作機(jī)會(huì)后不久,竊取了有關(guān)雅虎AdLearn產(chǎn)品的機(jī)密信息。據(jù)報(bào)道,Sang下載了多達(dá)57萬頁的雅虎知識(shí)產(chǎn)權(quán)到自己的個(gè)人設(shè)備上,意圖利用這些信息在他的新職位上為自己謀利。
向雇主復(fù)仇。如果員工在被解雇前與雇主發(fā)生了沖突,他們可以利用自己的訪問權(quán)限和對(duì)組織的了解進(jìn)行報(bào)復(fù)。例如,員工可以創(chuàng)建后門,竊取有價(jià)值的數(shù)據(jù)或破壞關(guān)鍵流程。
這正是Century 21公司人力資源系統(tǒng)管理員Hector Navarro在被解雇前的做法。Hector創(chuàng)建了一個(gè)超級(jí)用戶帳戶,用于刪除數(shù)據(jù)、更改其他用戶的訪問權(quán)限和編輯公司的工資政策。此舉導(dǎo)致Century 21不得不重新制定其網(wǎng)絡(luò)安全策略來封堵漏洞。而由于此次事故,他們還損失了5萬多美元的潛在利潤。
個(gè)人經(jīng)濟(jì)收益。員工可能不想追求自己的事業(yè),而是想把竊取的數(shù)據(jù)賣給黑客或競爭對(duì)手。他們還可以利用竊取的個(gè)人、財(cái)務(wù)和醫(yī)療信息來欺騙人們。
這類事件似乎在特斯拉員工身上反復(fù)發(fā)生。特斯拉已經(jīng)起訴了幾名竊取公司數(shù)據(jù)并將其出售給其他組織的前員工。2021年,特斯拉對(duì)一名前質(zhì)量保證工程師提起訴訟,指控他將公司后端軟件的代碼和文件復(fù)制到他的私人Dropbox賬戶中。
對(duì)數(shù)據(jù)安全的理解不足。離職員工竊取或破壞數(shù)據(jù)可能并非出于惡意,而是出于疏忽。他們可能會(huì)忘記哪些數(shù)據(jù)是機(jī)密的,或者不小心在個(gè)人設(shè)備或電子郵件帳戶上留下了公司敏感數(shù)據(jù)的副本。
并非所有的內(nèi)部威脅都是故意的,正如2022年8月微軟數(shù)據(jù)泄露事件所證明的那樣。一群員工不小心將登錄憑證暴露在公司的GitHub存儲(chǔ)庫中,此舉可能會(huì)授予對(duì)Azure服務(wù)器和其他關(guān)鍵系統(tǒng)的未經(jīng)授權(quán)的訪問權(quán)限。幸運(yùn)的是,網(wǎng)絡(luò)安全公司SpiderSilk及時(shí)發(fā)現(xiàn)了這一漏洞,微軟也采取了積極措施,防止對(duì)企業(yè)和客戶造成任何傷害。
所有這些事件都凸顯了保護(hù)公司數(shù)據(jù)的重要性,以及與離職員工相關(guān)的風(fēng)險(xiǎn)。幸運(yùn)的是,不管離職動(dòng)機(jī)如何,離職員工通常都會(huì)留下他們內(nèi)部活動(dòng)的數(shù)字痕跡。有了合適的網(wǎng)絡(luò)安全軟件,你就能找到這些痕跡,阻止行為不端的員工。讓我們看看哪些操作可以作為數(shù)據(jù)盜竊的危險(xiǎn)信號(hào)。
數(shù)據(jù)盜竊的危險(xiǎn)信號(hào)
調(diào)查任何可疑活動(dòng)以防止數(shù)據(jù)被盜是很重要的。以下幾個(gè)危險(xiǎn)信號(hào)可能表明您的員工正在試圖竊取數(shù)據(jù):
插入未知的USB設(shè)備。將數(shù)據(jù)復(fù)制到USB閃存驅(qū)動(dòng)器或個(gè)人智能手機(jī)是一種常規(guī)行為,可能不會(huì)引起網(wǎng)絡(luò)安全人員的注意,特別是如果組織實(shí)施了自帶設(shè)備(BYOD)策略。但是,USB設(shè)備可能是竊取數(shù)據(jù)或攻擊組織的工具,因此必須仔細(xì)控制其使用。
無故訪問敏感文件。隨著員工距離離職日期越來越近,他們可能會(huì)開始偏離平時(shí)的行為。例如,他們可能會(huì)開始訪問他們以前從未或很少處理的文件,或者他們已經(jīng)委托給其他員工的文件。這種行為的原因可能是想要竊取這些文件。
使用公共云存儲(chǔ)服務(wù)。將公司數(shù)據(jù)上傳到Dropbox或Google Drive等個(gè)人云存儲(chǔ)服務(wù)是竊取數(shù)據(jù)的一種簡單方法。但是,即使員工不打算竊取信息,將其保存到公共云也是一種危險(xiǎn)的網(wǎng)絡(luò)安全實(shí)踐。
向私人賬戶發(fā)送帶有附件的電子郵件。將工作數(shù)據(jù)發(fā)送到個(gè)人郵件通常是一種糟糕的網(wǎng)絡(luò)安全實(shí)踐。然而,有些員工這樣做是為了能夠在家做額外的工作。但離職員工通常不需要如此,因此他們將敏感數(shù)據(jù)發(fā)送到非公司賬戶是值得懷疑的。
創(chuàng)建新帳戶。上述Century 21公司的黑客攻擊就是一個(gè)完美的例子,說明為什么離職的員工永遠(yuǎn)不應(yīng)該創(chuàng)建新的用戶檔案或修改訪問權(quán)限。如果他們這么做了,很有可能是在試圖創(chuàng)造一個(gè)后門,供以后利用。如果創(chuàng)建新的用戶配置文件是員工職責(zé)的一部分,請(qǐng)驗(yàn)證該員工只創(chuàng)建所需的帳戶。
刪除文件和備份。在您的組織中工作了很長時(shí)間的員工知道您將關(guān)鍵數(shù)據(jù)和備份存儲(chǔ)在哪里。對(duì)于被解雇的員工來說,刪除這些數(shù)據(jù)或搞亂內(nèi)部服務(wù)器和配置似乎是一個(gè)簡單而有效的選擇,以報(bào)復(fù)或掩蓋他們的蹤跡。
及時(shí)發(fā)現(xiàn)這些指標(biāo)可以幫助您防止離職員工竊取數(shù)據(jù)。接下來,我們將研究如何防止員工竊取數(shù)據(jù)。
防止員工竊取數(shù)據(jù)的最佳實(shí)踐
1. 實(shí)現(xiàn)零信任方法
零信任是一種不信任任何試圖訪問敏感資源的用戶或設(shè)備的方法。為了獲得訪問權(quán)限,用戶必須證明自己的身份和設(shè)備的有效性。之后,他們只能與他們?nèi)蝿?wù)所需的數(shù)據(jù)進(jìn)行交互。如果離職員工試圖竊取數(shù)據(jù),這種方法可以減少攻擊面。
2. 加強(qiáng)對(duì)離職員工的活動(dòng)監(jiān)控
如果被解雇的員工決定不空手而歸,他們通常會(huì)在被解雇前開始行動(dòng)。這就是加強(qiáng)員工活動(dòng)監(jiān)控的原因所在。通過使用專業(yè)軟件,不僅可以實(shí)時(shí)監(jiān)控用戶活動(dòng)并記錄會(huì)話,還可以為可疑操作設(shè)置警報(bào),在用戶每次觸發(fā)這些警報(bào)時(shí)獲得通知,以便組織及時(shí)查看用戶是否做了可疑的事情。
3. 使用用戶和實(shí)體行為分析(UEBA)
UEBA工具使用機(jī)器學(xué)習(xí)和人工智能算法來創(chuàng)建正常員工行為的基線,并在員工行為異常時(shí)向安全人員發(fā)出警報(bào)。UEBA可以幫助組織檢測(cè)到可能的內(nèi)部攻擊的最早階段,并在員工出現(xiàn)不尋常行為的時(shí)候發(fā)出警報(bào)。
4. 實(shí)施USB設(shè)備管理
將數(shù)據(jù)復(fù)制到USB設(shè)備是竊取信息最簡單的方法之一。USB設(shè)備管理解決方案通過檢測(cè)用戶何時(shí)連接可疑或未知的設(shè)備,控制對(duì)設(shè)備的訪問并阻止設(shè)備,從而防止員工復(fù)制文件。
5. 審查訪問權(quán)限和最近的活動(dòng)
這種審查是離職程序的一部分。公司要求被解雇的員工在離職前確認(rèn)沒有違反網(wǎng)絡(luò)安全規(guī)定。建議組織使用專業(yè)的工具,以審查記錄的用戶會(huì)話和訪問權(quán)限,并自動(dòng)生成用戶活動(dòng)報(bào)告來幫助組織進(jìn)行此類審查。
6. 離職后及時(shí)撤銷特權(quán)和憑據(jù)
當(dāng)員工離開時(shí),您需要?jiǎng)h除該員工的個(gè)人賬戶、撤銷訪問權(quán)限,以及更改共享賬戶憑據(jù),以防止員工竊取數(shù)據(jù)。手動(dòng)完成這項(xiàng)工作需要做很多工作,建議使用特權(quán)訪問管理工具來幫助完成大部分工作。
7. 提前計(jì)劃好響應(yīng)活動(dòng)
當(dāng)發(fā)現(xiàn)內(nèi)部攻擊時(shí),您需要快速有效地采取行動(dòng),以防止員工在離職時(shí)竊取數(shù)據(jù)。分析您的事件響應(yīng)選項(xiàng),并決定在攻擊之前使用哪些選項(xiàng)。