有些人認(rèn)為曼寧是賣(mài)國(guó)賊，還有一些人認(rèn)為他是無(wú)辜的，視他為英雄。且不論曼寧在你眼里是個(gè)什么樣的人，他的個(gè)案倒是反映出信息安全策略，程序和風(fēng)險(xiǎn)管理存在大量嚴(yán)重漏洞。

　　有了這個(gè)前車(chē)之鑒，CISO們應(yīng)該學(xué)習(xí)利用“曼寧事件”教育員工如何在內(nèi)部威脅和訪問(wèn)組織威脅中做好管理。有安全意識(shí)的組織應(yīng)該詢問(wèn)以下幾個(gè)問(wèn)題：

　　1. 用戶訪問(wèn)極度敏感的數(shù)據(jù)時(shí)，應(yīng)該對(duì)用戶采取什么類(lèi)型的訪問(wèn)控制和監(jiān)控?曼寧可以訪問(wèn)機(jī)密數(shù)據(jù)，似乎這種權(quán)利缺乏限制和監(jiān)管。這種放任的自由便帶來(lái)了災(zāi)難性的影響——維基泄密。CISO們應(yīng)該確保自己的組織清楚了解誰(shuí)有權(quán)訪問(wèn)最敏感的數(shù)據(jù)，并且要部署合適的控件來(lái)檢測(cè)是否有異常活動(dòng)出現(xiàn)，如突然出現(xiàn)大量文檔的下載。要考慮存在威脅的驗(yàn)證，和觸發(fā)警告，并通過(guò)受過(guò)訓(xùn)練的安全分析師做好監(jiān)控。

　　2. 應(yīng)該部署哪一類(lèi)物理安全和數(shù)字權(quán)限策略呢?曼寧帶著一張標(biāo)有“Lady Gaga”的CD就進(jìn)到了高度機(jī)密的地方。這個(gè)CD其實(shí)是一個(gè)空白盤(pán)，是他用來(lái)保存機(jī)密文檔的。從物理安全的角度而言，CISO們必須要決定是否讓用戶帶著CD，DVD，iPod等訪問(wèn)敏感數(shù)據(jù)。因?yàn)檫@些數(shù)據(jù)有可能就是便攜式存儲(chǔ)媒介。更進(jìn)一步考慮，分析師能否保存這類(lèi)極度機(jī)密的數(shù)據(jù)呢?當(dāng)然不行。CISO們需要阻止別人用DRM保存數(shù)據(jù)或是禁用CD/DVD刻錄機(jī)以及USB端口。

　　3. 對(duì)于存在問(wèn)題的員工，是否有正式的風(fēng)險(xiǎn)管理進(jìn)程?曼寧被捕前在美軍服役期間就出現(xiàn)過(guò)情緒障礙，咨詢過(guò)軍隊(duì)精神健康專家，曾被兩名長(zhǎng)官描述為“是自己和他人的一個(gè)威脅，”。那時(shí)，軍隊(duì)因?yàn)槿狈Π踩治鰩煻雎粤诉@個(gè)問(wèn)題。

　　軍隊(duì)的人不會(huì)和安全團(tuán)隊(duì)討論這些問(wèn)題，而軍隊(duì)本身也沒(méi)有正式的風(fēng)險(xiǎn)管理分析對(duì)高危人群實(shí)施補(bǔ)償控制。在商業(yè)環(huán)境中，CISO和HR都應(yīng)該有標(biāo)準(zhǔn)的進(jìn)程將HR和網(wǎng)絡(luò)安全行為統(tǒng)一起來(lái)。例如，安全分析師可以做一個(gè)調(diào)查追蹤歷史在線操作或是對(duì)某個(gè)特定對(duì)象進(jìn)行監(jiān)控。但采取這種策略是有條件的，它要求組織認(rèn)真考慮過(guò)這些風(fēng)險(xiǎn)，用正式策略解決這些問(wèn)題，并與各部門(mén)保持對(duì)話。

　　你可能認(rèn)為美國(guó)軍隊(duì)已經(jīng)評(píng)估并解決了這些安全風(fēng)險(xiǎn)，但顯然不是。除了曼寧之外，還存在其他責(zé)任人。美國(guó)國(guó)防部對(duì)于此事也沒(méi)向公眾披露太多。

　　對(duì)于商業(yè)環(huán)境中的我們，在遭遇復(fù)雜攻擊和高級(jí)惡意軟件時(shí)，我們不能忽略內(nèi)部威脅。美國(guó)軍方忽視了基本的安全信號(hào)。企業(yè)CISO們應(yīng)該確保自己的公司策略部署得當(dāng)，具備恰當(dāng)?shù)倪M(jìn)程和溝通渠道，則會(huì)有他們才能解決意外風(fēng)險(xiǎn)，避免以后登上頭條。