為了防御外部攻擊者，各類組織都花費了大量的人力物力，但很多時候，大家都忽視了一個最大的問題，那就是如何化解內部威脅。這種對于內部威脅的失察，在很大程度上反映了一些組織對自己的員工過于相信，認為他們會尊重組織的知識產權、敏感信息等等這些組織信息。

這種心態當然無可厚非，然而，卻歪曲了數據安全的真實性。最近由全球網絡安全創新企業及數據損失預防提供商Clearswift，通過某科技與B2B市場研究公司Loudhouse，發布了一項關于企業安全行為的獨立調查，揭示了企業應該如何小心地保護自己的數據免受內部威脅。

來自美國、歐洲、澳大利亞等不同國家的500名互聯網技術決策者和4000名員工參與了此項調查，其中35%的受訪者表示，會在價格合適的情況下出售公司的敏感信息，或存儲在受保護的公司服務器上的客戶數據。

35%的員工會以合適的價格出售公司信息

根據Clearswift的圖表顯示，內部人士會搞出各種各樣的信息，包括財務報表、產品規格、客戶和員工數據、供應鏈信息和交易記錄等等。

企業員工會出售的商業數據類型

不同類型的信息目標匹配的是一個同樣多樣化的攻擊者動機。一些內部人士可能會為了自己的一己私利決定竊取信息，比如為了從公司銀行賬戶取款或為了竊取知識產權出售給競爭對手。其他人則可能懷著破壞自己公司的明確目的，尤其是攻擊者表現為破壞合同、勒索高管、或在某些方面對公司進行抹黑時，這種傾向則更為明顯。

下圖展示了內部人士愿意出售公司信息的各種價位：

　　出售財務數據的人會接受的價位

區區千元，就有百分之三的員工會出售私人信息，相當于一家高檔餐廳的雙人套餐的價格。

要是出價萬元，就會有將近五分之一(18%)的受訪者表示會接受，大約相當于一臺高端筆記本電腦的價格。

出價五萬元，就會有四分之一的員工會冒著失業和犯罪的風險出售公司數據。

出價達到五十萬，35%的員工都會繳械投降，大約相當于一次家庭歐洲度假的費用。

還好多數(65%)的員工表示，他們不會以任何價格出售公司的數據。

這并非駭人聽聞，如果你考慮到下面這引起事實，你就會知道這些數據隨時都將化為真實存在的威脅：

　　容易接觸到公司關鍵數據的員工百分比

61%的受訪者擁有公司客戶數據的訪問權限。

51%的參與此項調查者擁有公司財務數據的訪問權限。

49%的參與此項調查者擁有公司產品信息的訪問權限。

可以肯定的是，雖然我們可喜地看到，有65%的員工不會考慮出售公司信息，但事實上卻是超過三分之一的員工隨時隨地都會對組織構成非常現實的威脅。

“雖然各類機構的人們一向將單位的信息安全視為頭等大事，但仍然有相當一部分人圖謀利用出售本不屬于自己的東西而從中牟取利益。而這些被出售的信息說不定就是單位的命根子。”

內部威脅是組織必須面對的問題，特別是當員工對數據安全持有不同的意見時。根據Clearswift的調查顯示，29%的受訪者認為，幫助保護自己公司的敏感信息是自己的個人責任，而與此同時，有超過五分之一(22%)的受訪者并不認為他們有義務幫助保護企業數據。

　　職業態度與數據安全

與此同時，另外還有62%的參與調查者稱，他們對安全漏洞對行為改變的影響程度重視不夠。由于缺乏這種共識，要找出可能意味著內部人士要進行內部攻擊的諸多先兆，完全取決于組織。而為了檢測這種類型的攻擊，防患于未然，組織還應該考慮結合主動威脅情報和日志管理實施一系列的解決方案。

　　62%的信息安全專業人士認為員工對安全不夠重視

“活在對員工的恐懼之中可不是什么好事，尤其是在大多數員工都還可信的情況下。要在其中找到恰當的平衡從來都沒那么容易。不過真正理解了問題的根源，加上技術的進步可以對不同威脅采取不同的應對措施，相信一切都可以得到圓滿的解決。”