回复“221122”中获得“缓解内部威胁：了解并保护关键资产”PDF版

最佳实践：从招聘流程开始，监控和应对可疑或破坏性行为

组织应主动识别并立即处理可疑或破坏性行为，以降低内部威胁的风险。

保护措施

组织降低内部风险的方法应该从招聘过程开始。

对潜在员工的背景调查应揭示以前的刑事定罪。这些背景调查应包括信用调查、核实证书和过去的工作经历，以及与以前的雇主就个人处理工作场所问题的能力和方法进行讨论。

在制定背景调查政策时，组织必须考虑法律要求（例如，通知候选人并获得候选人的同意）。在根据背景信息做出雇佣决定之前，组织必须考虑法律指导，包括等就业机会委员会 (EEOC) 的最佳实践22

以及限制使用犯罪背景调查或信用调查的州和地方法规。组织必须合法地使用背景信息，并适当考虑任何违法行为的性质和持续时间，作为基于风险的决策过程的一部分，以确定员工对关键、机密或专有信息或系统的访问权限。

组织应要求对所有潜在员工进行背景调查；承包商和分包商应与员工一样受到彻底调查。

根据通用数据保护条例 (GDPR) 和任何相关欧盟 (EU) 成员国的指南，应适当保护背景调查信息以保护员工的隐私。

组织应为所有职位分配风险级别，并更彻底地调查申请分配有较高风险或需要高度信任的职位的个人[NIST 2020]。当个人在组织中担任更高风险的角色时，可能需要定期重新调查，再次遵守所有法律要求。

组织应投入时间和资源培训其主管，以识别和应对员工的不当或相关行为。在一些内部威胁案例中，主管注意到轻微但不恰当的工作场所行为，但他们没有采取行动，因为该行为并未违反政策。但是，在某些情况下，未能定义或执行安全策略会使员工更加胆大妄为，屡次违规严重程度升级并增加了对组织造成重大损害的风险。组织必须始终如一地为所有员工执行政策和程序，包括对违规行为的一致调查和响应。

由于经济利益是实施欺诈的动机，因此组织应警惕员工提出的任何财务问题或无法解释的经济利益的迹象。恶意内部人员在未经授权的情况下使用信息技术 (IT)修改、添加或删除组织数据（相对于软件或软件系统）并谋取私利。他们还使用 IT 窃取导致欺诈的信息

（例如，身份盗用、信用卡欺诈）。员工财务状况的突然变化，包括增加的债务或昂贵的购买，可能是潜在内部威胁的迹象。同样，组织在应对此类情况时必须考虑法律要求，例如员工通知。

组织应制定政策和程序，使员工能够报告其同事的相关或破坏性行为。为了应对令人担忧的或破坏性的行为，组织应根据书面政策采取一致的监控步骤，以消除监控的偏见应用，甚至这种偏见的出现。

组织应调查所有有关或破坏性行为的报告，直到确定适当的组织响应。如果员工表现出有关行为，组织应谨慎应对。不应允许具有破坏性的员工在组织中从一个职位迁移到另一个职位，并回避有关破坏性或相关活动的文档。

组织应该将威胁和吹嘘恶意行为或能力（例如，“我可以进来把所有人都带出去！”）和其他关于行为的负面情绪对待。许多员工可能不时有顾虑和不满，解决这些不满的正式和负责任的流程可以满足那些可能诉诸恶意活动的人。一般来说，组织应该帮助任何员工解决他们的工作困难。

一旦组织识别出员工的相关行为，可能需要采取几个步骤来管理恶意活动的风险。这些步骤可以包括以下内容：

· 评估员工对关键信息资产的访问和信息水网络访问

·查看员工最近活动的日志

·向员工提供处理导致行为的问题的选项，例如访问保密的员工援助计划 (EAP)

如果员工表现出潜在的暴力行为，组织应制定全面的威胁评估和管理计划。

法律顾问应确保所有监督活动都在法律范围内。例如，不应监控员工与其医生和律师之间的私人通信。此外，联邦法律保护联邦雇员向有关当局披露浪费、欺诈、滥用和腐败的能力。因此，不应监控联邦雇员与特别顾问办公室或机构监察长的沟通。出于同样的原因，组织不得仅仅因为员工进行了受保护的披露而故意针对员工的电子邮件或计算机文件进行监控[NIST 2018a]。

挑战

在实施此最佳实践时，组织可能会面临以下挑战：

1.共享信息组织发现很难与负责保护组织系统的人员共享员工信息。为确保遵守法律、法规和公司政策，组织必须在实施任何涉及共享员工信息的计划之前咨询法律顾问。

2.保持员工士气组织很难避免传达一种“老大哥正在监视每个员工的行为的感觉，这会降低士气并影响生产力。

3.使用逮捕记录 2012 年，EEOC 发布了关于使用逮捕的指南

做出雇佣决定时的记录或定罪记录，包括雇用、晋升、降级，或作为限制访问信息或系统的理由 [EEOC 2012]。该指南阐明，雇主不应依赖逮捕记录而不是定罪，因为逮捕记录不太能表明候选人实际从事了犯罪行为。使用逮捕（相对于定罪）记录来做出雇佣决定违反了EEOC 所阐明的最佳做法。可能由于逮捕记录而限制对信息或系统的访问也有类似的问题，因此，此时，该组织必须在使用或披露背景调查中的逮捕记录信息之前咨询法律顾问。与此相关的是，之前的一项 CERT 研究表明， 30% 的从事 IT 破坏活动的内部人员有过被捕历史。最终，这种相关性可能没有意义。

2011 年使用联邦政府的大量数据进行的一项研究表明，30% 的美国成年人在 23岁之前被捕。1987 年的一项研究显示了类似的统计数据，加州有 35% 的人被捕被捕 [蒂尔曼 1987 年]。许多内部犯罪是由 29 岁以上的内部人员实施的。未来针对特定工作类别的研究可能会显示在美国被定罪的内部人员以前的不同均逮捕率然而，目前，逮捕数据的使用在法律和科学上都是有问题的。

4.仅监控法律允许的通信组织必须特别注意防止监控员工与其医生和律师之间以及联邦工作人员与特别顾问办公室或机构监察长之间的私人通信。在欧盟，组织应特别注意允许向员工发出与监控电子邮件或其他电子通信相关的额外通知。

案例研究：有历史的承包商

一个组织雇用了一个承包商来执行系统管理职责。承包商破坏了该组织的系统并获得了数百万客户的机密数据。尽管承包商的公司告诉招聘组织已经进行了背景调查，但对该事件的调查显示，承包商有非法访问受保护计算机的犯罪记录，而这些犯罪记录本来可以通过背景调查发现的。

这个案例说明了合同要求承包商对其员工进行背景调查的必要性。

案例研究：不值得信赖的高管

一家大型航运和仓储公司聘请内部人士担任高管。在那里工作了11年，他得到了公司的信任。然而，在受害组织工作之前，

他从他工作的其他几家公司偷了钱。他被判有罪，但他在工作释放时服刑。在声称他“清理了他的行为”后，他被受害者组织雇用并迅速爬升到了行政级别的职位。

媒体经常称赞他创新的管理和运营实践。在他最后两年的工作中，他设计并实施了一项欺骗雇主的计划。他夸大了向他的部门收取的发票价格，并收取了部分款项。此外，他还向一个由同谋者经营的外部组织支付了从未提供过的服务的费用。作为回报，同谋者将部分付款电汇给他。对受害组织财务的例行审计发现了内部人员的活动，发现他盗窃了超过500,000 美元。他被判处六年有期徒刑，并被勒令全额赔偿。

这个案例说明了组织需要在做出招聘决定之前考虑潜在员工的背景如何暗示内部风险的增加。

管理层不仅必须评估候选人的完整背景并评估组织在向候选人提供报价之前接受风险的意愿，还必须考虑哪些额外的缓解措施是合适的。组织还必须确保与受信任的外部实体(TEE)达成的法律协议传达了组织对背景调查的要求。

案例研究：确认恐吓

受害组织是一家视觉技术制造商和供应商，雇佣内部人员担任网络管理员。该组织聘请了一位新主管，他解雇了一些员工，但提拔了内部人员。知情人告诉他的同事，他安装了后门并计划利用它们来伤害组织，但由于最近的终止，剩下的同事不敢说出来。他表现出奇怪的工作行为，包括在该组织的机房安装摄像机，并打电话给房间里的人说他在看。

当该组织雇用他时，他谎称自己持有证书，并且是由猎头推荐的。该组织未能验证该声明。他还隐瞒了自己的暴力犯罪历史，包括使用致命武器袭击、对配偶进行身体伤害、拥有枪支以及欺诈性使用两个社会安全号码(SSN)。

当他被要求出国出差后变得抗拒和回避时，该组织开始怀疑内部人员。他声称他不喜欢飞行，但他有飞行员执照。他还声称，由于身份盗窃，他没有适当的出生证明。该组织随后发现他没有获得他声称的证书并终止了他。最初，他扣留了公司的笔记本电脑。只有在组织扣留他的遣散费直到他们收到笔记本电脑后，他才遵守。然而，笔记本电脑受到物理损坏，其硬盘驱动器被擦除。

内部人员被终止后，该组织注意到他多次尝试远程访问其服务器。该组织要求他停止，但他否认做出此类尝试。该组织预

料到了内部人员的攻击，并聘请了一家计算机安全咨询公司。顾问们在组织的防火墙上阻止了他的Internet协议地址（IP 地址），删除了他的帐户，检查了后门，并监视了非法访问。顾问未能检查内部人员可以访问的一台服务器。后来，顾问进行了取证检查，发现他在被解雇和事件发生之间的两周时间内使用虚拟专用网络(VPN) 帐户登录。

该组织不知道这些账户的存在；知情人在他被解雇之前创造了它们。

这些账户在他的上级名下，让他可以远程访问组织的关键资产。内部人员访问了服务器，删除了关键文件，并使服务器无法运行。他被捕，被定罪，被判处一年有期徒刑，并被勒令接受心理健康咨询。

在这种情况下，该组织未能做到以下几点：

·在雇用他之前验证员工的证书

·进行彻底的背景调查

·实施适当的账户管理政策和程序

如果组织进行了彻底的背景调查，包括验证个人声称的任何行业认证或证书，它可能完全避免了这种情况。在这种情况下，知情人应该永远不会通过背景调查。

此外，组织应该注意到以下潜在内部威胁的早期预警信号：

·他告诉同事他在组织的系统中实施了后门。

·他在服务器机房安装了监控摄像头，并打电话给同事说他正在监视他们。

·他拒绝并回避常见的与业务相关的请求。

包商他的同事和管理层应该对这些事件表示担忧。任何担心他人行为的员工都应该能够报告问题，而不必担心遭到报复。匿名报告系统的可用性，例如由第三方托管的举报热线，可能会鼓励恐惧的同事提供可能导致组织在攻击发生之前进一步审查内部人员的信息。