SEI 出版《内部威胁 CERT 指南》一书

ACTA、SEPA、PIPA、Stuxnet 和 Google 都有哪些共同点？原来共同点在于，2 月份这些公司都因为处理信息安全问题一度成为媒体的焦点。在这些事件中，大家往往忽略了有关刺探和窃取公司信息的内部威胁。来自卡耐基梅隆大学软件学院（Carnegie Mellon University Software Engineering Institute，简称 CMU SEI）的 Dawn Cappelli、Andrew Moore 和 Randall Trzeciak 在他们的书中深入探讨了该问题。

《信息技术内部威胁： 预防探测及应对指南》（The CERT Guide to Insider Threats: How to Prevent, Detect, and Respond to Information Technology Crimes (Theft, Sabotage, Fraud) ）一书由 Addison-Wesley Professional 出版，该书对常见的威胁、对策以及指南进行了介绍。

SEI 的这本书介绍了如何：

• 识别内部 IT 破坏、敏感信息窃取以及欺诈的隐藏迹象；
• 在整个软件开发生命周期中识别内部威胁；
• 使用高级威胁控制防御内部人员的技术或非技术攻击；
• 通过加强规则、配置和相关业务流程，提升现有技术安全工具的效率；
• 防范不寻常的内部攻击，包括与组织犯罪或地下互联网相关联的攻击。

我们常常可以看到，软件架构师和开发人员很少用一种必要的深度解决此类安全问题。

Dawn Capelli 是该书的作者之一，他提到有 10 项秘诀可以解决这些风险。这 10 项秘诀发布在 bankinfosecurity 网站的一篇新闻中：

1. 重现罪犯和罪行 了解过去发生的事件。多数机构不止一次发生过问题，原因是他们未能“亡羊补牢“。
2. 专注于最重要的东西 不可能保障一切信息，所以首要工作是找出哪些信息最为重要并专注于防护和保障那些信息。
3. 使用现有技术 不要急于购买新系统；你需要做的是用另一种方式学习现有的技术。一般来说，用于检测和防止外部攻击的欺诈检测系统同样可用于监控内部行为。
4. 缓和来自商业伙伴的威胁 任何访问系统及数据库的人都会构成风险。
5. 识别相关行为或模式 任何事件都不会孤立地发生。注意迹象往往可以预防缺口。
6. 招聘的员工 许多内部威胁都是由于员工造成，他们要么是被安插进来，要么是由于对组织不满而进行欺诈犯罪。
7. 观察辞职和解雇时的行为 看看将要离开的个人拥有多少信息和访问，你该怎么做才能保护那些信息？
8. 考虑员工隐私 把你的一些忠告与员工摊牌讨论。因为你想要监控员工行为，但又不想触及员工隐私和违反法律。
9. 参与跨部门合作 主动与内部欺诈做斗争。“创建一项关于内部威胁的计划”，Capelli 说，“这是一个非常复杂的问题，因为它可能涉及到管理层、人力资源，甚至门卫，而这些人都有可能在你的网络中种植恶意代码”。
10. 获得上级支持 只有让主管了解这些威胁，他们才能能支持你主动减少风险的举措。

不用说，软件工程师们有责任在他们的系统中解决这些安全威胁。这不仅仅只是管理问题，我们不能把它当做“事不关己高高挂起”。

查看英文原文： SEI Publishes The CERT Guide to Insider Threats Book