一个流氓IT员工造成的损失要远比一群黑客攻击造成的损失大的多。下面我们将为大家介绍一下以下三家公司是如何受害的。

　　如果你接到了一个来自商业软件联盟（BSA）的电话，电话那头告诉你，你们公司使用的部分微软软件可能是盗版软件，这对首席信息官来说无疑是一场恶梦。

　　通过调查你发现不仅你使用的软件是盗版软件，而且这些软件竟然是你信任了七年之久的IT系统管理员在你不知情的情况下购入公司并运行的。在你仔细审查这名管理员的工作之后，你发现这名管理员居然在你的公司服务器上运营着一个收费色情网站。然后，你发现他还通过公司的电子商务服务器私自下载了400名客户的信用卡帐号。

　　最糟糕的事情是，他还是唯一掌握着管理员密码的人。

　　想一下这种情况不会发生吗？这种情况确实发生过。一家位于宾夕法尼亚州拥有2.5亿美元资产的零售商曾经向一家安全顾问公司就这种情况求助过。由于最后这家公司选择了保持沉默，这件事情才没有被曝光。

　　尽管很少有关于IT员工变成流氓管理员消息被媒体曝光，但是大多数公司都在悄悄的尽可能的防范这种事情。

　　CSO杂志年度报告援引CERT威胁与事件管理小组技术主管Dawn Cappelli的话称，美国特勤局和计算机紧急反应小组（CERT）发现四分之三的公司成为了内部员工背叛的受害者。她称：“我们知道媒体曝光的事件仅仅是冰山一角。”

　　由于对事件保持沉默，因此其他公司根本无法从这些受害公司的经历中吸取教训。CERT试图填补这一空白。他们从2001年起开始研究内部威胁，从400多起案例中总结经验。在其最近公布的报告中，他们分析了250起案例，找出了大多数公司最容易犯的错误：在招聘程序中没有充分的审查，对访问特权缺乏充分的监督和监管，忽视员工的不良行为

　　拥有特权的IT员工造成的威胁很难被侦测。他们的不法行为被隐藏在日常工作中。Cappelli称，IT员工在例行性的 “编写脚本、编辑代码，编写程序，这看起来并没有什么异常。”他们知道你的安全弱点在什么地方，知道如何掩盖他们的不法行为。你不能信赖技术，或任何预防措施来防范流氓管理员。你不得不着眼于全局。

　　Cappelli称：“我们不仅仅要关注他们在线做什么，还要注意他们工作的地方正在发生什么。大家需要理解这些案例，知道这些数字背后的故事。”

　　美国计算机世界网站为我们列出了以下几个案例，这些案例都没有被广泛报道过。尽管受害的公司保持了沉默，但是安全顾问将为我们厘清其中的头绪。尽管每一个案例都有着特殊的背景，但是这些案例中都有一些代表性的东西。

　　不仅是盗版软件，还有更糟糕的

　　John Linkous称，宾夕法尼亚州的零售商案例发生在2008年早些时候，当时BSA告之他们微软发现他们的许可证有问题。Linkous 目前已经是安全顾问公司eIQ Networks的首席安全官兼合规官。他经历了这一案例，当时他还是安全顾问公司Sabera公司的经营副总裁，不过现在这家公司已经倒闭了。

　　微软从可疑软件的销售一直追踪到使用公司的系统管理员。在这个案例中，我们将这名系统管理员称之为“Ed”。当时Linkous和Sabera公司的同事被要求秘密进行调查，他们发现Ed向他的雇主出售了50多万美元的盗版微软软件、Adobe软件和SAP软件。

　　调查人员还注意到网络带宽使用异常高。Linkous称：“我们认为还有某种基于网络的攻击存在。”他称，他们通过跟踪发现服务器上还存有5万余张色情图片和2500部色情录像。

　　此外，在警方对Ed的工作站进行搜查后，他们发现了一张写有数百个信用卡号码的电子表单，这些信用卡号码都是从公司电子商务网站上私自下载下来的。Linkous称，虽然没有任何迹象显示这些号码被使用过，但是这张电子表单暗示Ed正在考虑自己使用这些信用卡数据，或是将这些数据出售给第三方。

　　公司的首席财务官和其他一些高管担心Ed在受到质问后可能会做出一些不理智的行为。Ed是唯一掌握某些管理密码的人，包括核心网络路由器/防火墙的密码、网络交换机密码、公司VPN密码、人力资源系统密码、电子邮件服务器管理员密码、Windows活动目录管理密码，以及Windows桌面管理密码。

　　这意味着Ed已经控制了公司几乎所有主要的业务程序，包括公司网站、电子邮件、财务报告系统和薪水册。Linkous称：“这家伙拥有这个王国的钥匙。”

　　这家公司和Linkous的公司发起了一个代号为“不可能完成的任务”的行动。他们使用了一个策略，让Ed连夜飞到加利福尼亚。Ed的长途飞行给了Linkous团队五个半小时的时间，在这段时间内，Ed无法访问系统。他们尽可能快的绘制了网络拓扑图，重置了所有的密码。当Ed飞到加利福尼亚后，公司的首席运营官已经在那里等他，并告之他已经被解雇。

　　给公司带来的损失

　　Linkous估计这一事件给这家公司造成了25万美元至30万美元的损失，其中包括了支付给Sabera的费用、让Ed飞往加利福尼亚的费用、起诉Ed的费用、雇用临时网络管理员和新首席信息官的费用，以及购买正版软件许可证的费用。

　　防范措施

　　怎样才能防止这种灾难呢？很明显，至少要有其他人应当知道密码。但是更重要的是没有将职责分开。这家零售商只有一个规模很小的IT团队（仅6个人），所以Ed能够共时拥有管理和安全职责。这意味着他将自己监督自己。

　　Linkous 知道对于拥有小规模IT团队的公司来说，将职责分开是一项艰巨的挑战。他建议这些小公司监督所有的事情，包括日志、网络信息和系统配置变动，由其他人进行评估，而不是由系统管理员或他们自己的报告进行评估。最重要的是让IT员工知道他们正在受到监管。

　　第二，在雇佣Ed时，公司没能做一个详细的背景审查。CERT研究结果显示，在从事IT破坏的内部员工中，有大约30%的人曾经被警方逮捕过。事实上，简历中的任何造假行为都应当引起注意。尽管公司曾经对Ed进行过犯罪背景调查，并且没有核实到他在简历中所提到的证书。其中一些证书在后来被发现是伪造的（比如他并不是MBA）。

　　第三，Ed的性格应当被视为危险信号。Linkous在与Ed进行过面对面的接触后发现　　“他似乎认为自己比同一办公室的同事要聪明。” Ed的傲慢态度让Linkous想起了名声狼藉的安然公司高管们。他称：“他过度自信，骄傲自大并且看不起其他人。”CERT发现流氓管理员通常都易怒。

　　外包引发员工报复

　　安全咨询机构波尼蒙研究所创始人兼主席Larry Ponemon 称，Sally在一家财富500强公司担任了10年的系统管理员和数据库经理，是公司最为信任的IT员工。

　　在公司眼中她是一个能人，可以解决所有的问题。因为这个原因，她收集到了大量高级网络特权，这些特权已经超越了她的工作需要。Ponemon称：“由于你很难预料他们将在何时帮助别人，因此给予这些人高于他们所需的特权成为了一个趋势。”

　　她有时通过笔记本电脑在家办公，电脑上都设置了这些高等级特权。Ponemon称，公司的文化是像Sally这样的IT之星可以给予特殊的待遇。他称：“这类IT员工可以不受某些规定的限制，他们可以自己决定在他们的系统上安装何种工具。”

　　但是当公司决定将公司的IT动作外包给印度时，Sally并没有感到有什么异常。尽管公司并没有正常将这一决定告之IT员工，但是这对于内部IT员工来说，这意味着他们中的大多数人都要走人。

　　Sally想对此进行报复。在正式通知被解雇之前，她安装了一个逻辑炸弹，一旦她被解雇整个服务器将崩溃。

　　最初，公司没有发现什么原因。他们打开了备份服务器，但是Sally已经在这些备份服务器上也安装了逻辑炸弹，莫名其妙的崩溃导致公司蒙受了重大损失。Ponemon称：“用心险恶的雇员可以给公司带来巨大损失，当时很难立即发现，事后也难以追踪。”

　　最终，他们发现了Sally的蓄意破坏行为，并约见了她。作为交换条件，Sally同意解决系统问题，公司不对其进行起诉。此外，Sally还同意不将这一事件公之于众。“他们不想让她上电视节目，让她在节目上大谈如何打断一家财富500强公司的脊梁骨的。”

　　给公司带来的损失

　　这一事件估计给该公司造成了约700万美元的损失，其中包括500万美元的机会成本（宕机、业务中断，以及客户潜在的损失）和200万美元的雇佣调查与安全顾问费用。

　　防范措施

　　公司在哪里做错了呢？首先，这一事件是一起典型的“特权扩散”案例。当把权力给予个人去解决执行任务后没有及时回收。

　　第二，公司的文化导致无法将职责分开，并且对IT员工缺乏监管。由于这方面的缺失，管理层错过了一个重要的警告。在事件发生后，公司发现Sally在过去的三年内“遗失”了11台笔记本电脑。公司服务台人员已经发现了这一问题，但是她们并没有向管理层报告这一问题，部分原因是顾忌Sally在公司中的地位。没有人知道她把这些笔记本电脑做什么，也许只是她粗心造成的。对此，Ponemon指出：“如果你是一名系统管理员，这本身就是一个问题。”

　　第三，外包决定导致公司内部气氛紧张，这时公司应当更为警惕，对任何可能会对此不满的员工进行防范。

　　Ponemon称，即使你没有向员工透露任何消息，你也不应当认为员工会对此不知情。他称：“在公司首席执行官签订外包合同的瞬间，公司的普通员工就会知道。如果你没有监督你的IT员工，那么应当马上开始目监督他们。”最好的办法是，马上公开宣布你已经开始监督他们。

　　据CERT统计，许多破坏事件都是那么心怀不满的员工进行报复造成的。这种报复事件通常都是灯下黑，正如下面我们为大家介绍的案例那样。
解雇程序大错

　　当这家财富500强公司升级了他们的安全系统后，他们有了一个惊人的发现。一名任职至少8年的高级系统管理员在公司的电子商务网站上偷偷加了一个网页。安全服务提供商Solutionary公司策略安全主管Jon Heimerl称，如果你在该公司的URL后输入一串特定字符，你将会进入一个网页。在这个网页内，这名名叫Phil的管理员正在出售假冒的卫星电视设备。

　　好消息是升级的安全系统抓住了这位不法之徒。坏消息是解雇程序上的瑕疵让这家伙有机会继续作恶。

　　身为高科技设备零售商，这家公司希望尽快赶走Phil，删除非法网页，因为他们担心受到被假冒的卫星设备制造商的起诉。但是在Phil的经理和安全员工走进Phil的办公室之前，一名人力资源代表打电话告诉Phil让他待在办公室里。Heimerl不能确定这名人力资源代表当时是怎么说的，但是这一举动让Phil察觉到已经东窗事发。

　　Phil迅速登入公司的网络，删除了公司的密钥环。Heimerl称：“正在Phil删除密钥环时，安全员工和经理进入他的办公室里。他们说‘立即停止工作，离开电脑’。”但是这一切已经为时已晚。

　　该文件存储有公司全部的密钥，包括托管密钥，该密钥是一个允许公司破译所有雇员文件的超级密钥。大多数员工将他们的密钥保存在他们的本地系统上。不过，这一密钥环存储有公司唯一的超级密钥和大约25名员工的密钥，他们大多数都是法律与合同部门的员工。这意味着在公司开始使用密钥的三年内，所有员工的加密文件都永远无法被破译，这就等同于丢失了这些文件。

　　给公司带来的损失

　　Heimerl无法计算出这一事件究竟给公司带来了多少损失，但是他估计密钥环的损失相当于18个人-年的工作量，公司需要创建那些无法被解密的文件，花时间重新收集文稿、旧电子邮件和其它未被加密的文档。

　　防范措施

　　这一案例的重点是在发现流氓网站后如何处理。Heimerl称，公司在处理过程中犯了两个致命的错误。他们应当立即关闭Phil的访问权，公司经理没有保护好公司的关键信息。（具有讽刺意味的是，公司认为密钥环极为敏感所以没有制作拷贝。）

　　最好的办法是进行多重防范

　　在这些案例中，没有哪一个单一的防范措施能够保护你免受流氓IT员工的侵害。你可能拥有很好的技术防范措施，如侦测到Phil非法网站的多层安全系统，但是人力资源的一个小错误却导致了灾难性的后果。员工的行为和性格都应当被视为危险信号，如Sally遗失笔记本电脑。

　　Cappelli称，将技术防范与人员监督结合起来才能提供最佳的保护。

　　目前还很难说服大多数公司这样做。许多执行官们相信这类问题仅通过技术就可以解决。其中部分原因是许多监管工具厂商和安全软件厂商宣称他们的工具可以提供这方面的保护。她称：“我们正在想办法让公司高管们明白这不仅仅是一个IT问题。”

　　目前许多受害公司根本不愿意公布这些事件。即便越来越多的公司公布这类事件的细节，大多数首席执行官们也会认为这些事件不会发生在他们自己身上，直到悲剧在他们身上上演后才相信。