企业内部进行审计以揪出内鬼

     
      企业内网安全面临着诸多潜在威胁，这些威胁可能导致企业遭受重大损失。例如，移动存储设备的便捷性使其容易成为病毒的载体，一旦感染病毒的优盘接入企业内部，后果不堪设想。同时，存有公司机密的优盘如果丢失或被离职员工随意拷贝带走，企业也面临着数据泄露的风险。非法外联也是一个严重的问题，企业内部办公很多处于内网隔离状态，但有些员工会私自连接外网，这一举动会导致内网电脑受到严重的安全威胁和数据泄露的风险。即时通讯工具在方便业务往来的同时，包含敏感信息的文件很容易被发送给他人。电子邮件作为企业内部或者外部业务往来收发数据的常用途径，也经常被滥用，机密文件很容易外发而引起数据泄露。

      威胁的存在不仅会导致企业数据泄露、系统瘫痪或业务中断，还可能损害企业声誉和客户信任，进而影响企业市场竞争力。内部威胁主要来源于企业内部员工、前员工、承包商或第三方合作伙伴等。内部人员可能故意或无意泄露企业敏感数据，如客户信息、财务报表等，给企业造成重大损失。恶意内部人员可能利用系统漏洞发起攻击，导致企业重要系统瘫痪，影响业务正常运行。内部威胁还可能导致企业关键业务流程中断，如供应链受损、生产停滞等，给企业带来巨大经济损失。内部威胁事件曝光后，可能损害企业声誉和客户信任，进而影响企业市场竞争力。

      企业内部员工计算机审计抓内鬼具有至关重要的意义。通过对内部员工计算机进行审计，可以及时发现潜在的安全风险，防止内部人员的恶意行为和误操作，保护企业的敏感数据和重要资产。同时，计算机审计还可以帮助企业建立健全的内部安全管理制度，提高员工的安全意识和合规意识，确保企业的运营符合相关法律法规和行业标准的要求。

内部威胁现状与案例分析

（一）内部威胁的表现形式

1、合法凭证滥用及访问权限分配不当。

      内部威胁的一种常见表现形式是合法凭证滥用及访问权限分配不当。在企业环境中，员工可能会利用自己所拥有的合法凭证，如账号密码等，超出其被授权的范围进行操作。例如，员工可能会借用他人账号登录系统，或者在岗位调动后未及时清理原有的权限，从而能够访问到不应接触的敏感信息。这种行为可能是由于员工对权限管理的不重视，或者是故意为之以获取更多的信息资源。访问权限分配不当也是一个重要问题，若企业在权限分配时没有进行严格的规划和管理，可能会导致某些员工拥有过高的权限，增加了数据被滥用或泄露的风险。

2、员工恶意登录同事计算机窃取信息。

员工恶意登录同事计算机窃取信息是内部威胁的另一种表现。在一些情况下，员工可能出于个人利益、竞争心理或其他不良动机，尝试登录同事的计算机以获取敏感数据。这种行为不仅侵犯了同事的隐私，也可能给企业带来严重的安全隐患。例如，员工可能窃取同事的工作成果、客户信息或商业机密，然后将这些信息用于不正当的目的，如出售给竞争对手或用于个人谋利。

3、离职员工删除虚拟机等恶意行为。

离职员工的恶意行为也是内部威胁的一个重要方面。当员工离职时，如果对其离职流程管理不善，可能会导致离职员工采取恶意行为，如删除虚拟机等。这种行为可能会给企业带来巨大的损失，不仅会影响企业的正常业务运营，还可能导致数据丢失和客户信任受损。例如，思科前员工离职 5 个月后，擅自访问思科托管在 Amazon Web Services 的云基础设施，删除了 456 个虚拟机，导致思科损失 240 万美元。

（二）实际案例解读

1、微软前员工窃取数字礼品卡获利。

微软前员工弗拉基米尔・克瓦舒克，25 岁的乌克兰公民，曾参与协助测试微软在线零售平台。他利用工作之便，窃取微软旗下在线零售平台的电子货币，涉案金额达 1000 万美元。克瓦舒克窃取礼品卡等可兑换微软产品的电子货币，继而在互联网平台倒卖，用所获收益购置了一辆 “特斯拉” 电动汽车和一幢湖畔住宅。罪行败露后，克瓦舒克于 2018 年 6 月遭解雇。此后，这名前微软员工因电信诈骗罪等罪名被起诉，面临长达 20 年的监禁。

2、思科离职员工删除虚拟机导致账户关闭。

思科前程序员 Sudhish Kasaba Ramesh 在离职 5 个月后，未经许可擅自访问思科托管在 Amazon Web Services 的云基础设施，并从自己的 Google Cloud 项目账户中部署了一段代码，导致 456 个 WebEx Teams 应用程序的虚拟机被删除。此次事件导致超过 16000 个 WebEx Teams 账户被异常关闭，持续时间达两个星期，思科方面共计损失 240 万美元。Ramesh 已被保释，保释金为 5 万美元，其宣判会将于 2020 年 12 月 9 日举行。

3、“微盟删库事件” 带来的警示。

微盟研发中心核心运维人员贺某通过个人 VPN 登入公司内网跳板机对微盟线上生产环境及数据进行了严重的恶意破坏，导致微盟的 SaaS 业务服务突然宕机，商家后台的所有数据被清零。此次事件给微盟带来了巨大的影响，市值缩水约 27 亿港币，同时也给商户造成了严重的损失。微盟事后对恶意破坏生产环境的犯罪嫌疑人进行追踪分析，并向宝山区公安局报案，目前犯罪嫌疑人已经被刑事拘留。

“微盟删库事件” 不是必然事件，却是移动互联网时代的产物。该事件引发了业界对云上数据安全问题的高度重视。微盟事件让大家认识到，只要上了云，数据一旦出问题，就相当于银行倒闭，面临倾家荡产的风险。此次事件也让大家更加关注企业内部管理和员工精神状态的问题。在很多人认为 SaaS 市场会因为疫情而火爆的时候，微盟删库事件给大家敲响了警钟，提醒企业要更加重视数据安全和内部管理。

抓内鬼的技术工具与方法

（一）ADAudit Plus 的应用

1、UBA 模块检测异常登录活动。

ADAudit Plus 中的 UBA（用户行为分析）模块能够及时检测异常登录活动。该模块会根据用户过去的行为计算出他们正常的活动时间范围，对于在正常登录时间范围之外的登录成功事件，会立即触发异常登录告警并通知管理员。例如，员工在非正常时间点进行登录，会被认为与规范基线有偏差，此时 UBA 模块会警告管理员有关用户的异常登录活动。登录到 ADAudit Plus 后，单击分析，然后选择 “异常登录活动”，就可以查看用户规定时间以外的登录报表。

2、配置告警通知管理员。

UBA 的默认告警是通过电子邮件发送通知，同时也可以配置告警，将其设置为短信通知或执行脚本。配置告警设置的步骤如下：点击配置；选择告警配置文件；查看 / 编辑告警配置文件，然后选择所需的配置文件；单击配置修改告警配置文件，可以选择通过电子邮件、短信、执行脚本或同时通过这三种方式来接收通知；点击更新。配置完成后，管理员将开始收到有关异常登录活动的告警。

（二）AdAudit Plus 的优势

1、实时变更审计和 UBA 解决方案。

AdAudit Plus 是实时变更审计和 UBA 解决方案，能够帮助保证 Active Directory（AD）、Azure AD、成员服务器及工作站的安全性和兼容性。它使用 AI（人工智能）来分析用户随时间变化而产生的不同行为模式，以此为每个用户活动创建基线。设定了基线后，AdAudit Plus 可以检测到用户行为中的异常，例如非正常时间的登录、特权滥用和权限升级、首次远程访问服务器上的新应用并尝试过滤数据等情况。

2、利用人工智能分析用户行为。

AdAudit Plus 通过人工智能分析用户行为，能够及时发现潜在的内部威胁。它能够分析用户的活动模式和行为习惯，识别异常活动和潜在的风险。通过对用户行为的监测和分析，管理员可以快速发现异常行为，如未经授权的访问、异常的文件操作等，从而采取适当的措施。

（三）堡垒机的作用

1、严控企业内鬼和信息泄露。

堡垒机技术能够为企业内网最核心、最重要、最薄弱的系统设备环节提供严格的阻挡、坚强的防御和痕迹的审计。它综合了运维管理和安全性的融合，切断了终端计算机对网络和服务器资源的直接访问，采用协议代理的方式，接管了终端计算机对网络和服务器的访问。所有对网络设备和服务器的请求都要经过堡垒主机的翻译，能够拦截非法访问和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。

堡垒机技术主要帮助内网信息系统管理者实现单点登录、帐号管理、身份认证、资源授权、访问控制、操作审计六大方面的智能化支撑和高安全性防护。用户通过使用堡垒机，可将所有服务器帐户进行统一的安全管理，将运维账号和资产账号分离，屏蔽资产账号和密码，同时可对运维人员进行授权与访问管理，严格限制登录和操作命令行为，有效解决账号管理混乱问题，同时提高运维效率和安全性。

2、有效解决账号管理混乱问题。

企业内部网络安全存在诸多问题，账号管理混乱是其中之一。建恒信安堡垒机（运维审计及管控系统 JH-OAM）是集用户管理、授权管理、认证管理和综合审计于一体的集中运维管理系统，能够有效解决账号管理混乱问题。它具有丰富的部署方式，多元化的认证方法，强大的资源管理能力，全面的账号管理机制，超强的授权管理功能、密码管理能力、审计管理能力等，同时还具有良好的扩展性及定制化能力。

通过使用建恒信安堡垒机，企业可以将运维账号和资产账号分离，屏蔽资产账号和密码，对运维人员进行授权与访问管理，严格限制登录和操作命令行为，有效解决账号管理混乱问题，提高运维效率和安全性。同时，堡垒机还提供一套完整的审计方案，有助于完善组织的 IT 内控与审计体系，满足各种合规性要求，使组织能够顺利通过 IT 审计。

（四）上网行为管理工具

1、审计员工电脑操作行为。

上网行为管理工具可以审计员工电脑操作行为，帮助企业更好地管理员工。比如使用域之盾等上网行为管理工具，能够审计和设置员工对计算机各个方面的操作。通过在管理者电脑上安装管理端，在员工电脑上安装客户端，在管理端创建策略就能实现多个员工的电脑监控。

具体来说，上网行为管理工具可以通过网络审计对员工电脑所进行的聊天行为、应用程序、邮件外发、浏览网站、网络搜索等进行审计；通过应用程序审计管理了解员工在电脑上使用了哪些程序，并通过黑、白名单设置添加禁止员工在计算机上使用的程序，以及设置禁止员工从计算机下载新的软件；通过网站访问控制管理审计员工浏览网站和网络搜索的行为并统计，设置不允许员工访问哪些与工作无关的网页，或者只向员工电脑提供与工作有关的 IP 地址，防止员工随意上网的行为；通过屏幕操作审计了解员工在电脑上做哪些事情，可通过本地审计打开屏幕审计或屏幕快照审计，能在员工电脑开机后自动进行审计管理，也可以通过实时屏幕的方式观察员工电脑的实时操作情况。

2、网络审计、应用程序审计、网站访问控制管理和屏幕操作审计等功能。

（1）网络审计：可通过网络审核对员工电脑所进行的聊天行为审计、应用程序审计、邮件外发审计、浏览网站审计、网络搜索审计等，能够对多名员工电脑的上网行为进行审计。

（2）应用程序审计：能够对员工在电脑使用的应用程序进行使用进程记录，也可以记录员工电脑上程序的操作记录，通过屏幕快照就可以进行查看，也可以禁止员工在电脑上使用哪些与工作无关的程序，或者在员工电脑上禁止安装新软件。

（3）网站访问控制管理：可审计员工浏览网站审计和网络搜索的行为并统计，然后在网站访问控制中设置不允许员工访问哪些与工作无关的网页，或者只向员工电脑提供与工作有关的 IP 地址，以防止员工随意上网的行为。

（4）屏幕操作审计：除上述操作行为审计之外，还有另外一种审计方式就是通过屏幕审计的方式了解员工在电脑上做哪些事情，可通过本地审计打开屏幕审计或屏幕快照审计，能在员工电脑开机后自动进行审计管理，也可以通过实时屏幕的方式观察员工电脑的实时操作情况。

抓内鬼的思路与策略

互联网公司抓内鬼指南

      在互联网公司中，抓内鬼是一项至关重要的任务。尤其是在活动运营领域，内鬼的存在可能会给公司带来巨大的损失。下面将介绍活动运营领域抓内鬼的核心思路以及抓链路和关联度的具体方法。

1、活动运营领域抓内鬼的核心思路。

      活动运营中，公司常常通过发放优惠券或补贴来吸引用户，促进交易，提升 GMV。然而，这个领域也是内鬼出现最严重的地方。内鬼可能与羊毛党勾结，共同瓜分投资人的钱。抓内鬼的核心思路在于关注用户补贴活动的各个环节，从活动 ROI 计算，到卡券配置、分发、兑换，再到财务实现，理清楚这套链路，找到出问题的环节。

2、抓链路和关联度的具体方法。

      发出去的补贴，到底被谁拿走了？这不是指具体的某个人，而是一组数据。可能是收货地址、收款支付宝账号、手机设备或 WIFI 地址等。一个人可以被拆分为几十甚至数百种不同的数据维度，如果这些数据不具备唯一性，就可能存在问题。例如注册送话费却很多指向同一个手机号，送实物大量指向同一区域收货地址，现金补贴出现大量相同收款账号，天南地北的人出现同一个 IP 号段或网络地址等。要清楚知道拿补贴的人中到底有多少是同一个人，发现无效补贴是抓内鬼的第一步。

      这些拿补贴的人，到底有什么关系？当发现大量相同数据时，要把相同数据指向的群体全部抓出来，做数据关联。比如一堆人用了同一个设备号，那么这个设备号的所有群体都要抓出来，再看与这批人其他资料相同的人，如支付账号、收货地址等也抓出来。最终形成一个数据池子，这些数据会形成一张网络，在网络中找到核心的数据交叉点，然后研究链路。

       这些被拿走的补贴，是经过了哪些链路？一个用户补贴活动，会分归到不同的业务线。要理清楚从活动 ROI 计算，到卡券配置、分发、兑换，到财务实现（用户提现，财务记账）的链路。判断是在注册阶段出现大量黑号注册，还是下单环节有人下大量相同产品，或是支付环节有大量相同支付 ID，亦或是发券环节大量相同信息人领券，还是物流环节出现大量地址改派等问题。这套链路回溯是做风控策略的核心环节，一般策略都是在回溯中提炼的。