得益于數(shù)字技術(shù)和遠(yuǎn)程辦公，如今換工作比以往任何時(shí)候都更加容易。美國(guó)勞工統(tǒng)計(jì)局表示，2021年至2023年期間，勞動(dòng)力流動(dòng)率仍然很高。在這種環(huán)境中，重要的是要保持警惕，以保護(hù)組織免受離職員工竊取數(shù)據(jù)的風(fēng)險(xiǎn)。

當(dāng)員工辭職時(shí)，他們通常會(huì)去同一行業(yè)的公司（甚至可能是您的直接競(jìng)爭(zhēng)對(duì)手）擔(dān)任類似的職位。雖然他們大多數(shù)時(shí)候只會(huì)帶著自己的經(jīng)驗(yàn)和個(gè)人物品離開(kāi)，但有些員工也會(huì)順走雇主的寶貴數(shù)據(jù)。

與此同時(shí)，Code42的《2022年數(shù)據(jù)暴露報(bào)告》顯示，71%的組織對(duì)離職員工將哪些數(shù)據(jù)以及/或者多少敏感數(shù)據(jù)帶到其他公司缺乏可視性。同一份報(bào)告強(qiáng)調(diào)，需要更好的網(wǎng)絡(luò)安全方法來(lái)保護(hù)數(shù)據(jù)免受此類內(nèi)部風(fēng)險(xiǎn)。

不幸的是，過(guò)去一年并沒(méi)有任何改善的跡象。根據(jù)Code42的《2023年數(shù)據(jù)暴露報(bào)告》顯示，數(shù)據(jù)暴露事件的數(shù)量在前一年增加了32%，受訪者估計(jì)，數(shù)據(jù)泄露的平均修復(fù)成本高達(dá)1600萬(wàn)美元。

在離職員工竊取數(shù)據(jù)的情況下，您的組織可能面臨的主要負(fù)面結(jié)果包括：

因違規(guī)行為而遭受罰款和處罰。敏感的財(cái)務(wù)數(shù)據(jù)、醫(yī)療數(shù)據(jù)和個(gè)人記錄受到各種網(wǎng)絡(luò)安全法規(guī)和標(biāo)準(zhǔn)的保護(hù)。如果員工成功竊取了這些數(shù)據(jù)，他們的雇主可能會(huì)面臨外部審計(jì)和高額罰款。

機(jī)密外泄。當(dāng)客戶與組織簽訂保密協(xié)議（NDA）時(shí)，他們希望交易的細(xì)節(jié)是私密的。然而，離職的員工可能會(huì)向新雇主透露保密協(xié)議的細(xì)節(jié)，從而喪失客戶的信任。

失去競(jìng)爭(zhēng)優(yōu)勢(shì)。知識(shí)產(chǎn)權(quán)（IP）是離職員工最常竊取的數(shù)據(jù)類型之一。離職的員工可以把他們參與過(guò)的設(shè)計(jì)、軟件代碼和文檔帶到下一個(gè)工作場(chǎng)所。這樣，您的競(jìng)爭(zhēng)對(duì)手就可以發(fā)現(xiàn)并利用您的商業(yè)秘密。知識(shí)產(chǎn)權(quán)盜竊的另一種可能情況是打亂您的工作。如果員工在離開(kāi)前竊取并刪除項(xiàng)目信息，就會(huì)發(fā)生這種情況。

客戶流失。對(duì)許多客戶來(lái)說(shuō)，有關(guān)數(shù)據(jù)和機(jī)密泄露的新聞都是危險(xiǎn)信號(hào)。即便他們沒(méi)有受到數(shù)據(jù)泄露的影響，客戶也可能會(huì)對(duì)你的組織失去信任，并開(kāi)始尋找其他合作伙伴。

正如您所看到的，一個(gè)離職的員工會(huì)對(duì)一個(gè)組織產(chǎn)生很大的影響。還應(yīng)該指出的是，離職員工通常有強(qiáng)烈的動(dòng)機(jī)和必備的知識(shí)來(lái)竊取數(shù)據(jù)。讓我們來(lái)看看離職員工數(shù)據(jù)盜竊背后的主要原因。

手腳不干凈的離職員工的動(dòng)機(jī)與常規(guī)的內(nèi)部威脅行為者略有不同。以下是離職員工竊取數(shù)據(jù)的主要原因： 

對(duì)IP的所有權(quán)感。當(dāng)員工長(zhǎng)期致力于某項(xiàng)知識(shí)產(chǎn)權(quán)時(shí)，他們便會(huì)開(kāi)始覺(jué)得這是屬于自己的知識(shí)產(chǎn)權(quán)。員工離開(kāi)公司時(shí)可能會(huì)帶著它，就像他們帶著咖啡杯一樣。

谷歌自動(dòng)駕駛汽車工程師Anthony Levandowski的案件是最著名的數(shù)據(jù)盜竊案件之一。2021年初，Levandowski因從谷歌竊取自動(dòng)駕駛汽車軟件被指控，這些軟件是他在被解雇前從事的工作。最終，法院判決他向谷歌賠償1.79億美元。

渴望獲得更好的職位。當(dāng)跳槽到同一行業(yè)的公司時(shí)，離職的員工可能會(huì)認(rèn)為，向新公司提供競(jìng)爭(zhēng)對(duì)手的機(jī)密數(shù)據(jù)將有助于他們獲得更好的工作機(jī)會(huì)?；蛘?，員工可能希望使用機(jī)密信息來(lái)創(chuàng)業(yè)。

2022年5月，雅虎研究科學(xué)家Qian Sang在獲得競(jìng)爭(zhēng)對(duì)手The Trade Desk的工作機(jī)會(huì)后不久，竊取了有關(guān)雅虎AdLearn產(chǎn)品的機(jī)密信息。據(jù)報(bào)道，Sang下載了多達(dá)57萬(wàn)頁(yè)的雅虎知識(shí)產(chǎn)權(quán)到自己的個(gè)人設(shè)備上，意圖利用這些信息在他的新職位上為自己謀利。

向雇主復(fù)仇。如果員工在被解雇前與雇主發(fā)生了沖突，他們可以利用自己的訪問(wèn)權(quán)限和對(duì)組織的了解進(jìn)行報(bào)復(fù)。例如，員工可以創(chuàng)建后門，竊取有價(jià)值的數(shù)據(jù)或破壞關(guān)鍵流程。

這正是Century 21公司人力資源系統(tǒng)管理員Hector Navarro在被解雇前的做法。Hector創(chuàng)建了一個(gè)超級(jí)用戶帳戶，用于刪除數(shù)據(jù)、更改其他用戶的訪問(wèn)權(quán)限和編輯公司的工資政策。此舉導(dǎo)致Century 21不得不重新制定其網(wǎng)絡(luò)安全策略來(lái)封堵漏洞。而由于此次事故，他們還損失了5萬(wàn)多美元的潛在利潤(rùn)。

個(gè)人經(jīng)濟(jì)收益。員工可能不想追求自己的事業(yè)，而是想把竊取的數(shù)據(jù)賣給黑客或競(jìng)爭(zhēng)對(duì)手。他們還可以利用竊取的個(gè)人、財(cái)務(wù)和醫(yī)療信息來(lái)欺騙人們。

這類事件似乎在特斯拉員工身上反復(fù)發(fā)生。特斯拉已經(jīng)起訴了幾名竊取公司數(shù)據(jù)并將其出售給其他組織的前員工。2021年，特斯拉對(duì)一名前質(zhì)量保證工程師提起訴訟，指控他將公司后端軟件的代碼和文件復(fù)制到他的私人Dropbox賬戶中。

對(duì)數(shù)據(jù)安全的理解不足。離職員工竊取或破壞數(shù)據(jù)可能并非出于惡意，而是出于疏忽。他們可能會(huì)忘記哪些數(shù)據(jù)是機(jī)密的，或者不小心在個(gè)人設(shè)備或電子郵件帳戶上留下了公司敏感數(shù)據(jù)的副本。

并非所有的內(nèi)部威脅都是故意的，正如2022年8月微軟數(shù)據(jù)泄露事件所證明的那樣。一群?jiǎn)T工不小心將登錄憑證暴露在公司的GitHub存儲(chǔ)庫(kù)中，此舉可能會(huì)授予對(duì)Azure服務(wù)器和其他關(guān)鍵系統(tǒng)的未經(jīng)授權(quán)的訪問(wèn)權(quán)限。幸運(yùn)的是，網(wǎng)絡(luò)安全公司SpiderSilk及時(shí)發(fā)現(xiàn)了這一漏洞，微軟也采取了積極措施，防止對(duì)企業(yè)和客戶造成任何傷害。

所有這些事件都凸顯了保護(hù)公司數(shù)據(jù)的重要性，以及與離職員工相關(guān)的風(fēng)險(xiǎn)。幸運(yùn)的是，不管離職動(dòng)機(jī)如何，離職員工通常都會(huì)留下他們內(nèi)部活動(dòng)的數(shù)字痕跡。有了合適的網(wǎng)絡(luò)安全軟件，你就能找到這些痕跡，阻止行為不端的員工。讓我們看看哪些操作可以作為數(shù)據(jù)盜竊的危險(xiǎn)信號(hào)。

調(diào)查任何可疑活動(dòng)以防止數(shù)據(jù)被盜是很重要的。以下幾個(gè)危險(xiǎn)信號(hào)可能表明您的員工正在試圖竊取數(shù)據(jù)：

插入未知的USB設(shè)備。將數(shù)據(jù)復(fù)制到USB閃存驅(qū)動(dòng)器或個(gè)人智能手機(jī)是一種常規(guī)行為，可能不會(huì)引起網(wǎng)絡(luò)安全人員的注意，特別是如果組織實(shí)施了自帶設(shè)備（BYOD）策略。但是，USB設(shè)備可能是竊取數(shù)據(jù)或攻擊組織的工具，因此必須仔細(xì)控制其使用。

無(wú)故訪問(wèn)敏感文件。隨著員工距離離職日期越來(lái)越近，他們可能會(huì)開(kāi)始偏離平時(shí)的行為。例如，他們可能會(huì)開(kāi)始訪問(wèn)他們以前從未或很少處理的文件，或者他們已經(jīng)委托給其他員工的文件。這種行為的原因可能是想要竊取這些文件。

使用公共云存儲(chǔ)服務(wù)。將公司數(shù)據(jù)上傳到Dropbox或Google Drive等個(gè)人云存儲(chǔ)服務(wù)是竊取數(shù)據(jù)的一種簡(jiǎn)單方法。但是，即使員工不打算竊取信息，將其保存到公共云也是一種危險(xiǎn)的網(wǎng)絡(luò)安全實(shí)踐。

向私人賬戶發(fā)送帶有附件的電子郵件。將工作數(shù)據(jù)發(fā)送到個(gè)人郵件通常是一種糟糕的網(wǎng)絡(luò)安全實(shí)踐。然而，有些員工這樣做是為了能夠在家做額外的工作。但離職員工通常不需要如此，因此他們將敏感數(shù)據(jù)發(fā)送到非公司賬戶是值得懷疑的。

創(chuàng)建新帳戶。上述Century 21公司的黑客攻擊就是一個(gè)完美的例子，說(shuō)明為什么離職的員工永遠(yuǎn)不應(yīng)該創(chuàng)建新的用戶檔案或修改訪問(wèn)權(quán)限。如果他們這么做了，很有可能是在試圖創(chuàng)造一個(gè)后門，供以后利用。如果創(chuàng)建新的用戶配置文件是員工職責(zé)的一部分，請(qǐng)驗(yàn)證該員工只創(chuàng)建所需的帳戶。

刪除文件和備份。在您的組織中工作了很長(zhǎng)時(shí)間的員工知道您將關(guān)鍵數(shù)據(jù)和備份存儲(chǔ)在哪里。對(duì)于被解雇的員工來(lái)說(shuō)，刪除這些數(shù)據(jù)或搞亂內(nèi)部服務(wù)器和配置似乎是一個(gè)簡(jiǎn)單而有效的選擇，以報(bào)復(fù)或掩蓋他們的蹤跡。

及時(shí)發(fā)現(xiàn)這些指標(biāo)可以幫助您防止離職員工竊取數(shù)據(jù)。接下來(lái)，我們將研究如何防止員工竊取數(shù)據(jù)。

1. 實(shí)現(xiàn)零信任方法

零信任是一種不信任任何試圖訪問(wèn)敏感資源的用戶或設(shè)備的方法。為了獲得訪問(wèn)權(quán)限，用戶必須證明自己的身份和設(shè)備的有效性。之后，他們只能與他們?nèi)蝿?wù)所需的數(shù)據(jù)進(jìn)行交互。如果離職員工試圖竊取數(shù)據(jù)，這種方法可以減少攻擊面。

2. 加強(qiáng)對(duì)離職員工的活動(dòng)監(jiān)控

如果被解雇的員工決定不空手而歸，他們通常會(huì)在被解雇前開(kāi)始行動(dòng)。這就是加強(qiáng)員工活動(dòng)監(jiān)控的原因所在。通過(guò)使用專業(yè)軟件，不僅可以實(shí)時(shí)監(jiān)控用戶活動(dòng)并記錄會(huì)話，還可以為可疑操作設(shè)置警報(bào)，在用戶每次觸發(fā)這些警報(bào)時(shí)獲得通知，以便組織及時(shí)查看用戶是否做了可疑的事情。

3. 使用用戶和實(shí)體行為分析（UEBA）

UEBA工具使用機(jī)器學(xué)習(xí)和人工智能算法來(lái)創(chuàng)建正常員工行為的基線，并在員工行為異常時(shí)向安全人員發(fā)出警報(bào)。UEBA可以幫助組織檢測(cè)到可能的內(nèi)部攻擊的最早階段，并在員工出現(xiàn)不尋常行為的時(shí)候發(fā)出警報(bào)。

4. 實(shí)施USB設(shè)備管理

將數(shù)據(jù)復(fù)制到USB設(shè)備是竊取信息最簡(jiǎn)單的方法之一。USB設(shè)備管理解決方案通過(guò)檢測(cè)用戶何時(shí)連接可疑或未知的設(shè)備，控制對(duì)設(shè)備的訪問(wèn)并阻止設(shè)備，從而防止員工復(fù)制文件。

5. 審查訪問(wèn)權(quán)限和最近的活動(dòng)

這種審查是離職程序的一部分。公司要求被解雇的員工在離職前確認(rèn)沒(méi)有違反網(wǎng)絡(luò)安全規(guī)定。建議組織使用專業(yè)的工具，以審查記錄的用戶會(huì)話和訪問(wèn)權(quán)限，并自動(dòng)生成用戶活動(dòng)報(bào)告來(lái)幫助組織進(jìn)行此類審查。

6. 離職后及時(shí)撤銷特權(quán)和憑據(jù)

當(dāng)員工離開(kāi)時(shí)，您需要?jiǎng)h除該員工的個(gè)人賬戶、撤銷訪問(wèn)權(quán)限，以及更改共享賬戶憑據(jù)，以防止員工竊取數(shù)據(jù)。手動(dòng)完成這項(xiàng)工作需要做很多工作，建議使用特權(quán)訪問(wèn)管理工具來(lái)幫助完成大部分工作。

7. 提前計(jì)劃好響應(yīng)活動(dòng)

當(dāng)發(fā)現(xiàn)內(nèi)部攻擊時(shí)，您需要快速有效地采取行動(dòng)，以防止員工在離職時(shí)竊取數(shù)據(jù)。分析您的事件響應(yīng)選項(xiàng)，并決定在攻擊之前使用哪些選項(xiàng)。