今天小編分享的科技經驗:揭秘離職員工竊取數據的“危險信号”及安全貼士,歡迎閱讀。
離職員工是經常被忽視的内部威脅的一個來源。根據 Biscom 的一項研究現顯示,超過四分之一的離職員工在離職時竊取數據。無論他們這樣做是出于疏忽還是惡意,這種情況只會對組織產生負面影響,包括失去競争優勢、因不遵守網絡安全要求而受到處罰等。
好消息是,您可以發現這種危險的内部活動,并在員工帶着公司數據離開之前緩解它。在本文中,我們将了解數據盜竊的主要原因和這種威脅的關鍵指标,以及有關防止離職員工竊取數據的最佳實踐。
離職員工竊取數據的風險
得益于數字技術和遠程辦公,如今換工作比以往任何時候都更加容易。美國勞工統計局表示,2021 年至 2023 年期間,勞動力流動率仍然很高。在這種環境中,重要的是要保持警惕,以保護組織免受離職員工竊取數據的風險。
當員工辭職時,他們通常會去同一行業的公司(甚至可能是您的直接競争對手)擔任類似的職位。雖然他們大多數時候只會帶着自己的經驗和個人物品離開,但有些員工也會順走雇主的寶貴數據。
與此同時,Code42 的《2022 年數據暴露報告》顯示,71% 的組織對離職員工将哪些和 / 或多少敏感數據帶到其他公司缺乏可視性。同一份報告強調,需要更好的網絡安全方法來保護數據免受此類内部風險。
不幸的是,過去一年并沒有任何改善的迹象。根據 Code42 的《2023 年數據暴露報告》顯示,數據暴露事件的數量在前一年增加了 32%,受訪者估計,數據洩露的平均修復成本高達 1600 萬美元。
在離職員工竊取數據的情況下,您的組織可能面臨的主要負面結果包括:
因違規行為而遭受罰款和處罰。敏感的财務數據、醫療數據和個人記錄受到各種網絡安全法規和标準的保護。如果員工成功竊取了這些數據,他們的雇主可能會面臨外部審計和高額罰款。
機密外洩。當客戶與組織籤訂保密協定(NDA)時,他們希望交易的細節是私密的。然而,離職的員工可能會向新雇主透露保密協定的細節,從而喪失客戶的信任。
失去競争優勢。知識產權(IP)是離職員工最常竊取的數據類型之一。離職的員工可以把他們參與過的設計、軟體代碼和文檔帶到下一個工作場所。這樣,您的競争對手就可以發現并利用您的商業秘密。知識產權盜竊的另一種可能情況是打亂您的工作。如果員工在離開前竊取并删除項目信息,就會發生這種情況。
客戶流失。對許多客戶來說,有關數據和機密洩露的新聞都是危險信号。即便他們沒有受到數據洩露的影響,客戶也可能會對你的組織失去信任,并開始尋找其他合作夥伴。
正如您所看到的,一個離職的員工會對一個組織產生很大的影響。還應該指出的是,離職員工通常有強烈的動機和必備的知識來竊取數據。讓我們來看看離職員工數據盜竊背後的主要原因。
員工竊取公司數據的原因
手腳不幹淨的離職員工的動機與常規的内部威脅行為者略有不同。以下是離職員工竊取數據的主要原:
對 IP 的所有權感。當員工長期致力于某項知識產權時,他們便會開始覺得這是屬于自己的知識產權。員工離開公司時可能會帶着它,就像他們帶着咖啡杯一樣。
谷歌自動駕駛汽車工程師 Anthony Levandowski 的案件是最著名的數據盜竊案件之一。2021 年初,Levandowski 因從谷歌竊取自動駕駛汽車軟體被指控,這些軟體是他在被解雇前從事的工作。最終,法院判決他向谷歌賠償 1.79 億美元。
渴望獲得更好的職位。當跳槽到同一行業的公司時,離職的員工可能會認為,向新公司提供競争對手的機密數據将有助于他們獲得更好的工作機會。或者,員工可能希望使用機密信息來創業。
2022 年 5 月,雅虎研究科學家 Qian Sang 在獲得競争對手 The Trade Desk 的工作機會後不久,竊取了有關雅虎 AdLearn 產品的機密信息。據報道,Sang 下載了多達 57 萬頁的雅虎知識產權到自己的個人設備上,意圖利用這些信息在他的新職位上為自己謀利。
向雇主復仇。如果員工在被解雇前與雇主發生了衝突,他們可以利用自己的訪問權限和對組織的了解進行報復。例如,員工可以創建後門,竊取有價值的數據或破壞關鍵流程。
這正是 Century 21 公司人力資源系統管理員 Hector Navarro 在被解雇前的做法。Hector 創建了一個超級用戶帳戶,用于删除數據、更改其他用戶的訪問權限和編輯公司的工資政策。此舉導致 Century 21 不得不重新制定其網絡安全策略來封堵漏洞。而由于此次事故,他們還損失了 5 萬多美元的潛在利潤。
個人經濟收益。員工可能不想追求自己的事業,而是想把竊取的數據賣給黑客或競争對手。他們還可以利用竊取的個人、财務和醫療信息來欺騙人們。
這類事件似乎在特斯拉員工身上反復發生。特斯拉已經起訴了幾名竊取公司數據并将其出售給其他組織的前員工。2021 年,特斯拉對一名前質量保證工程師提起訴訟,指控他将公司後端軟體的代碼和檔案復制到他的私人 Dropbox 賬戶中。
對數據安全的理解不足。離職員工竊取或破壞數據可能并非出于惡意,而是出于疏忽。他們可能會忘記哪些數據是機密的,或者不小心在個人設備或電子郵件帳戶上留下了公司敏感數據的副本。
并非所有的内部威脅都是故意的,正如 2022 年 8 月微軟數據洩露事件所證明的那樣。一群員工不小心将登錄憑證暴露在公司的 GitHub 存儲庫中,此舉可能會授予對 Azure 伺服器和其他關鍵系統的未經授權的訪問權限。幸運的是,網絡安全公司 SpiderSilk 及時發現了這一漏洞,微軟也采取了積極措施,防止對企業和客戶造成任何傷害。
所有這些事件都凸顯了保護公司數據的重要性,以及與離職員工相關的風險。幸運的是,不管離職動機如何,離職員工通常都會留下他們内部活動的數字痕迹。有了合适的網絡安全軟體,你就能找到這些痕迹,阻止行為不端的員工。讓我們看看哪些操作可以作為數據盜竊的危險信号。
數據盜竊的危險信号
調查任何可疑活動以防止數據被盜是很重要的。以下幾個危險信号可能表明您的員工正在試圖竊取數據:
插入未知的 USB 設備。将數據復制到 USB 閃存驅動器或個人智能手機是一種常規行為,可能不會引起網絡安全人員的注意,特别是如果組織實施了自帶設備(BYOD)策略。但是,USB 設備可能是竊取數據或攻擊組織的工具,因此必須仔細控制其使用。
無故訪問敏感檔案。随着員工離離職日期越來越近,他們可能會開始偏離平時的行為。例如,他們可能會開始訪問他們以前從未或很少處理的檔案,或者他們已經委托給其他員工的檔案。這種行為的原因可能是想要竊取這些檔案。
使用公共雲存儲服務。将公司數據上傳到 Dropbox 或 Google Drive 等個人雲存儲服務是竊取數據的一種簡單方法。但是,即使員工不打算竊取信息,将其保存到公共雲也是一種危險的網絡安全實踐。
向私人賬戶發送帶有附件的電子郵件。将工作數據發送到個人郵件通常是一種糟糕的網絡安全實踐。然而,有些員工這樣做是為了能夠在家做額外的工作。但離職員工通常不需要如此,因此他們将敏感數據發送到非公司賬戶是值得懷疑的。
創建新帳戶。上述 Century 21 公司的黑客攻擊就是一個完美的例子,說明為什麼離職的員工永遠不應該創建新的用戶檔案或修改訪問權限。如果他們這麼做了,很有可能是在試圖創造一個後門,供以後利用。如果創建新的用戶配置檔案是員工職責的一部分,請驗證該員工只創建所需的帳戶。
删除檔案和備份。在您的組織中工作了很長時間的員工知道您将關鍵數據和備份存儲在哪裡。對于被解雇的員工來說,删除這些數據或搞亂内部伺服器和配置似乎是一個簡單而有效的選擇,以報復或掩蓋他們的蹤迹。
及時發現這些指标可以幫助您防止離職員工竊取數據。接下來,我們将研究如何防止員工竊取數據。
防止員工竊取數據的最佳實踐
1. 實現零信任方法
零信任是一種不信任任何試圖訪問敏感資源的用戶或設備的方法。為了獲得訪問權限,用戶必須證明自己的身份和設備的有效性。之後,他們只能與他們任務所需的數據進行互動。如果離職員工試圖竊取數據,這種方法可以減少攻擊面。
2. 加強對離職員工的活動監控
如果被解雇的員工決定不空手而歸,他們通常會在被解雇前開始行動。這就是加強員工活動監控的原因所在。通過使用專業軟體,不僅可以實時監控用戶活動并記錄會話,還可以為可疑操作設定警報,在用戶每次觸發這些警報時獲得通知,以便組織及時查看用戶是否做了可疑的事情。
3. 使用用戶和實體行為分析(UEBA)
UEBA 工具使用機器學習和人工智能算法來創建正常員工行為的基線,并在員工行為異常時向安全人員發出警報。UEBA 可以幫助組織檢測到可能的内部攻擊的最早階段,并在員工出現不尋常行為的時候發出警報。
4. 實施 USB 設備管理
将數據復制到 USB 設備是竊取信息最簡單的方法之一。USB 設備管理解決方案通過檢測用戶何時連接可疑或未知的設備,控制對設備的訪問并阻止設備,從而防止員工復制檔案。
5. 審查訪問權限和最近的活動
這種審查是離職程式的一部分。公司要求被解雇的員工在離職前确認沒有違反網絡安全規定。建議組織使用專業的工具,以審查記錄的用戶會話和訪問權限,并自動生成用戶活動報告來幫助組織進行此類審查。
6. 離職後及時撤銷特權和憑據
當員工離開時,您需要删除該員工的個人賬戶、撤銷訪問權限,以及更改共享賬戶憑據,以防止員工竊取數據。手動完成這項工作需要做很多工作,建議使用特權訪問管理工具來幫助完成大部分工作。
7. 提前計劃好響應活動
當發現内部攻擊時,您需要快速有效地采取行動,以防止員工在離職時竊取數據。分析您的事件響應選項,并決定在攻擊之前使用哪些選項。
