數據是如何被竊取并被帶走的？

        一旦數據、源代碼或是知識產權被竊取，必須被轉移到一個能夠實施員工計劃的地方。以下是途徑列表，用于提取將被惡意使用的信息：

       • 電子郵件——對于小于10GB的數據來說，電子郵件是最簡單的傳輸方法。員工可能使用公司的郵件將信息發送到個人或是同伙的郵箱賬戶。此外，web郵箱（網頁郵箱）可以被用來訪問個人的郵箱賬戶并且郵寄數據給別的賬戶。當然，數據可能需要發送給別的目標如某個國家，所以郵件服務能再次用于直接給目標發送數據，或是通過個人郵箱賬戶發送給目標的國家或有組織的罪犯。

       • 文件傳輸協議（FTP）——竊取的數據可以上傳到由員工、或是目標罪犯建立的某個FTP站點。對于更大的文件這是最佳的方法。

        • 可移動媒介——隨著可移動媒體設備的普及，這是從雇主的系統中帶走數據最容易的方法。USB驅動器、CD/DVD燒錄器、移動硬盤、內存卡、便攜式音樂播放器甚至于手機都能用來拷貝信息并帶出辦公室。偷偷摸摸地使用物理存儲意味著信息可能被郵寄給員工或是壞人。

       • 移動設備——下載信息到公司配備的便攜電腦或是員工自己的智能手機、平板電腦、或是其它移動設備上，是另外一種拷貝數據并且帶走的手段。

       • 遠程訪問——遠程訪問公司的網絡是另一種訪問網絡以便竊取信息的方式。在CISO分配給我的某個任務中，一名員工在他的家里搭建自己的SSH服務器，并且能夠遠程地連接到公司網絡、或是反向連接到他的服務器來帶走數據。他是公司的“技術發燒友”之一，所以技術上他是精湛的，并且知道為了他的目標如何打開端口、建立服務等等。

        • 紙張——打印數據和復印知識產權是一種快速、簡單的收集數據并帶走數據的方法。

        • 拍攝和截屏——在辦公室手機照相機已經泛濫。除非系統規定阻攔，員工能夠進行簡單的屏幕拍攝并且隨后離線郵寄或是下載。

        諸如即時信息、或是短消息服務（SMS）的方法也可能包括在上述列表中。不要忘記加密是很容易實施的方式。免費工具諸如TrueCryt能夠使用AES、Serpent、Twofish或是組合的算法加密數據，因此防止員工看到竊取的信息。

如何應對增長的內部威脅風險

         公司需要持續關注內部威脅。即使是在最好的公司，也存在員工的人力資源問題。然而當宣布人員解雇或是解聘時，管理層應該特別警惕內部偷竊行為。同樣，如果好幾個員工打算跳槽到正在積極地招聘、或是打算進入公司業務領域的競爭對手那里怎么辦？如果一組承包商完成了他們的工作并且打算離開該怎么辦？那些懷有怒氣并且感覺他們的權利被侵犯的不滿員工怎么應對？這些情形都應該引起對內部威脅的警惕立場。

       記得提早建立一個管理內部威脅問題的計劃。早在威脅發生前應該采取下面這些步驟：

       1. 確保組織遵守聯邦和各州的法律和規章關于隱私權、個人權利等。在歐盟的讀者要確保組織遵守歐盟的隱私要求。

        2. 讓董事會管理層包括CEO，以及其他團隊包括IT、信息安全、隱私、物理安全、法律和人力資源的管理層參與進來。使他們意識到任何隱約出現或是可能的威脅（可能的話讓他們閱讀本文！）。

       3. 決定恰當的時間來讓外部顧問、法律執行機構、FBI、秘密服務等介入。無論這些團體是否遲早晚要參與進來，或者如果是正在執行任何聯邦的敏感工作永遠不會取決于公司的合同。

        據CERT內部威脅中心進行的研究，IT系統最可能發生內部偷竊/惡意破壞的時間是在員工離職的30天內。因此可能需要額外的關注包括使用技術上的監控手段（例如日志）以及行為監控，它們在這個期間內是恰當的。