安全分析企业Securonix本周公布《内贼威胁报告》(Insider Threat Report),指出在由内贼造成的安全意外中,有6成是来自于那些即将离职的员工或约聘人员,而这些被称为具有“flight risk”(迁徒风险)的员工中,有超过8成是在离职前的2周到2个月间,破坏了企业的安全。
Securonix调查了曾发生过内贼安全事件的超过300家企业,显示有28.3%属于医药/生命科学产业,27.7%为金融组织,还有13.2%为IT产业,公用业务占了10.7%,电信与制造业则各占8.2%与6.3%。
而这些内贼所从事的破坏行动主要为盗走资料,占了62%,居次的是滥用权限的19%,9.5%属于资料聚合与偷窥,5.1%是绕过IT控制,还有3.8%与他人共享账号。
而在企图盗走企业机密资料的内贼中,最多人使用的是把公司的电子邮件转发到个人邮件账号,占了43.75%,其次是滥用云计算协作权限,占16.07%,资料聚合与下载占了10.71%,使用未经授权或未加密U盘的占了8.93%,借由SharePoint挖掘数据的占了8.04%,通过外部网站盗走资料的占6.25%,也有3.57%把电子邮件发送到非商用域名,另有2.68%把电子邮件寄到竞争对手的域名。
Securonix指出,以U盘盗走资料的比例日益下滑,原因是企业若非严格限制U盘的使用,就是完全禁用U盘。
而滥用权限则反映在许多不同的状况中,例如中型或大型组织中经常发现违反IT控制的现象,像是缺乏适当理由就执行PowerShell,创建幽灵账号或滥用服务账号来执行未经许可的程序,而约聘人员则经常共享特定企业应用的管理员凭证,其中有一个被逮到是因为该账号在一小时内分别从印度与中国登录。