安全悲剧：当你信任的IT员工背叛你

一个流氓IT员工造成的损失要远比一群黑客攻击造成的损失大的多。下面我们将为大家介绍一下以下三家公司是如何受害的。

如果你接到了一个来自商业软件联盟(BSA)的电话，电话那头告诉你，你们公司使用的部分微软软件可能是盗版软件，这对首席信息官来说无疑是一场恶梦。

通过调查你发现不仅你使用的软件是盗版软件，而且这些软件竟然是你信任了七年之久的IT系统管理员在你不知情的情况下购入公司并运行的。在你仔细审查这名管理员的工作之后，你发现这名管理员居然在你的公司服务器上运营着一个收费色情网站。

然后，你发现他还通过公司的电子商务服务器私自下载了400名客户的信用卡帐号。

最糟糕的事情是，他还是唯一掌握着管理员密码的人。

想一下这种情况不会发生吗?这种情况确实发生过。一家位于宾夕法尼亚州拥有2.5亿美元资产的零售商曾经向一家安全顾问公司就这种情况求助过。由于最后这家公司选择了保持沉默，这件事情才没有被曝光。

尽管很少有关于IT员工变成流氓管理员消息被媒体曝光，但是大多数公司都在悄悄的尽可能的防范这种事情。

CSO杂志年度报告援引CERT威胁与事件管理小组技术主管Dawn Cappelli的话称，美国特勤局和计算机紧急反应小组(CERT)发现四分之三的公司成为了内部员工背叛的受害者。她称：“我们知道媒体曝光的事件仅仅是冰山一角。”

由于对事件保持沉默，因此其他公司根本无法从这些受害公司的经历中吸取教训。CERT试图填补这一空白。他们从2001年起开始研究内部威胁，从400多起案例中总结经验。在其最近公布的报告中，他们分析了250起案例，找出了大多数公司最容易犯的

错误：在招聘程序中没有充分的审查，对访问特权缺乏充分的监督和监管，忽视员工的不良行为

拥有特权的IT员工造成的威胁很难被侦测。他们的不法行为被隐藏在日常工作中。Cappelli称，IT员工在例行性的 “编写脚本、编辑代码，编写程序，这看起来并没有什么异常。”他们知道你的安全弱点在什么地方，知道如何掩盖他们的不法行为。你不能

信赖技术，或任何预防措施来防范流氓管理员。你不得不着眼于全局。

Cappelli称：“我们不仅仅要关注他们在线做什么，还要注意他们工作的地方正在发生什么。大家需要理解这些案例，知道这些数字背后的故事。”

美国计算机世界网站为我们列出了以下几个案例，这些案例都没有被广泛报道过。尽管受害的公司保持了沉默，但是安全顾问将为我们厘清其中的头绪。尽管每一个案例都有着特殊的背景，但是这些案例中都有一些代表性的东西。

不仅是盗版软件，还有更糟糕的

John Linkous称，宾夕法尼亚州的零售商案例发生在2008年早些时候，当时BSA告之他们微软发现他们的许可证有问题。Linkous 目前已经是安全顾问公司eIQ Networks的首席安全官兼合规官。他经历了这一案例，当时他还是安全顾问公司Sabera公司的

经营副总裁，不过现在这家公司已经倒闭了。

微软从可疑软件的销售一直追踪到使用公司的系统管理员。在这个案例中，我们将这名系统管理员称之为“Ed”。当时Linkous和Sabera公司的同事被要求秘密进行调查，他们发现Ed向他的雇主出售了50多万美元的盗版微软软件、Adobe软件和SAP软件。

调查人员还注意到网络带宽使用异常高。Linkous称：“我们认为还有某种基于网络的攻击存在。”他称，他们通过跟踪发现服务器上还存有5万余张色情图片和2500部色情录像。

此外，在警方对Ed的工作站进行搜查后，他们发现了一张写有数百个信用卡号码的电子表单，这些信用卡号码都是从公司电子商务网站上私自下载下来的。Linkous称，虽然没有任何迹象显示这些号码被使用过，但是这张电子表单暗示Ed正在考虑自己使

用这些信用卡数据，或是将这些数据出售给第三方。

公司的首席财务官和其他一些高管担心Ed在受到质问后可能会做出一些不理智的行为。Ed是唯一掌握某些管理密码的人，包括核心网络路由器/防火墙的密码、网络交换机密码、公司VPN密码、人力资源系统密码、电子邮件服务器管理员密码、Windows

活动目录管理密码，以及Windows桌面管理密码。

这意味着Ed已经控制了公司几乎所有主要的业务程序，包括公司网站、电子邮件、财务报告系统和薪水册。Linkous称：“这家伙拥有这个王国的钥匙。”

这家公司和Linkous的公司发起了一个代号为“不可能完成的任务”的行动。他们使用了一个策略，让Ed连夜飞到加利福尼亚。Ed的长途飞行给了Linkous团队五个半小时的时间，在这段时间内，Ed无法访问系统。他们尽可能快的绘制了网络拓扑图，重置了

所有的密码。当Ed飞到加利福尼亚后，公司的首席运营官已经在那里等他，并告之他已经被解雇。

给公司带来的损失

Linkous估计这一事件给这家公司造成了25万美元至30万美元的损失，其中包括了支付给Sabera的费用、让Ed飞往加利福尼亚的费用、起诉Ed的费用、雇用临时网络管理员和新首席信息官的费用，以及购买正版软件许可证的费用。

防范措施

怎样才能防止这种灾难呢?很明显，至少要有其他人应当知道密码。但是更重要的是没有将职责分开。这家零售商只有一个规模很小的IT团队(仅6个人)，所以Ed能够共时拥有管理和安全职责。这意味着他将自己监督自己。

Linkous 知道对于拥有小规模IT团队的公司来说，将职责分开是一项艰巨的挑战。他建议这些小公司监督所有的事情，包括日志、网络信息和系统配置变动，由其他人进行评估，而不是由系统管理员或他们自己的报告进行评估。最重要的是让IT员工知道

他们正在受到监管。

第二，在雇佣Ed时，公司没能做一个详细的背景审查。CERT研究结果显示，在从事IT破坏的内部员工中，有大约30%的人曾经被警方逮捕过。事实上，简历中的任何造假行为都应当引起注意。尽管公司曾经对Ed进行过犯罪背景调查，并且没有核实到他

在简历中所提到的证书。其中一些证书在后来被发现是伪造的(比如他并不是MBA)。

第三，Ed的性格应当被视为危险信号。Linkous在与Ed进行过面对面的接触后发现　　“他似乎认为自己比同一办公室的同事要聪明。” Ed的傲慢态度让Linkous想起了名声狼藉的安然公司高管们。他称：“他过度自信，骄傲自大并且看不起其他人。”CERT

发现流氓管理员通常都易怒。

外包引发员工报复

安全咨询机构波尼蒙研究所创始人兼主席Larry Ponemon 称，Sally在一家财富500强公司担任了10年的系统管理员和数据库经理，是公司最为信任的IT员工。

在公司眼中她是一个能人，可以解决所有的问题。因为这个原因，她收集到了大量高级网络特权，这些特权已经超越了她的工作需要。Ponemon称：“由于你很难预料他们将在何时帮助别人，因此给予这些人高于他们所需的特权成为了一个趋势。”

她有时通过笔记本电脑在家办公，电脑上都设置了这些高等级特权。Ponemon称，公司的文化是像Sally这样的IT之星可以给予特殊的待遇。他称：“这类IT员工可以不受某些规定的限制，他们可以自己决定在他们的系统上安装何种工具。”

但是当公司决定将公司的IT动作外包给印度时，Sally并没有感到有什么异常。尽管公司并没有正常将这一决定告之IT员工，但是这对于内部IT员工来说，这意味着他们中的大多数人都要走人。

Sally想对此进行报复。在正式通知被解雇之前，她安装了一个逻辑炸弹，一旦她被解雇整个服务器将崩溃。

最初，公司没有发现什么原因。他们打开了备份服务器，但是Sally已经在这些备份服务器上也安装了逻辑炸弹，莫名其妙的崩溃导致公司蒙受了重大损失。Ponemon称：“用心险恶的雇员可以给公司带来巨大损失，当时很难立即发现，事后也难以追踪。”

最终，他们发现了Sally的蓄意破坏行为，并约见了她。作为交换条件，Sally同意解决系统问题，公司不对其进行起诉。此外，Sally还同意不将这一事件公之于众。“他们不想让她上电视节目，让她在节目上大谈如何打断一家财富500强公司的脊梁骨的。”

给公司带来的损失

这一事件估计给该公司造成了约700万美元的损失，其中包括500万美元的机会成本(宕机、业务中断，以及客户潜在的损失)和200万美元的雇佣调查与安全顾问费用。

防范措施

公司在哪里做错了呢?首先，这一事件是一起典型的“特权扩散”案例。当把权力给予个人去解决执行任务后没有及时回收。

第二，公司的文化导致无法将职责分开，并且对IT员工缺乏监管。由于这方面的缺失，管理层错过了一个重要的警告。在事件发生后，公司发现Sally在过去的三年内“遗失”了11台笔记本电脑。公司服务台人员已经发现了这一问题，但是她们并没有向管理

层报告这一问题，部分原因是顾忌Sally在公司中的地位。没有人知道她把这些笔记本电脑做什么，也许只是她粗心造成的。对此，Ponemon指出：“如果你是一名系统管理员，这本身就是一个问题。”

第三，外包决定导致公司内部气氛紧张，这时公司应当更为警惕，对任何可能会对此不满的员工进行防范。

Ponemon称，即使你没有向员工透露任何消息，你也不应当认为员工会对此不知情。他称：“在公司首席执行官签订外包合同的瞬间，公司的普通员工就会知道。如果你没有监督你的IT员工，那么应当马上开始目监督他们。”最好的办法是，马上公开宣布

你已经开始监督他们。

据CERT统计，许多破坏事件都是那么心怀不满的员工进行报复造成的。这种报复事件通常都是灯下黑，正如下面我们为大家介绍的案例那样。