内部人员攻击您的系统的唯一可靠证据是您是否用他们的手指在键盘上抓住了他们。

人们经常怀疑内部人员，因为他们花费了大量资金来构建极其复杂的防御系统，他们根本无法想象黑客能够驾驭它们。他们有宏伟的发布流程，确保只有通过 QA 的代码才会发布到生产环境中。他们拥有阻止攻击者的防火墙、寻找攻击的 NDIS 扫描仪、所有端点的防病毒工具以及用于监视数据泄露活动的 DLP 工具。他们拥有所有正确的流程、最佳实践、项目、计划、电子表格、审计和无穷无尽的清单。

同时，黑客对这些东西一无所知。他们只是利用漏洞，提升他们的特权；然后使用与任何其他合法用户一样的被盗凭据在网络上横向移动。最终，他们找到了通往包含有价值信息的机器的路。他们要么使用不触发 AV 或 NDIS 扫描仪的定制、修改工具，要么使用受害者机器上已经存在的操作系统自己的工具。一旦他们找到他们正在寻找的数据，他们就会对他们的赃物进行编码以避开 DLP 工具，对其进行伪装以使其看起来像普通流量，然后将其运送出去。

当您在构建一个看起来很强大的安全系统上投入了如此多的资金时，很难相信攻击者可能不是内部人员。与其跳到假设这是一项内部工作，不如继续挖掘，直到找到真正的线索。

您最好的选择是搜索独立的日志服务器，攻击者可能无法访问这些服务器来破坏日志。一旦您确定了凭据，请回溯到使用这些凭据的机器，寻找攻击的证据。路由器、NDIS 或防火墙日志也会有所帮助。

当一个问题听起来像一个赛博朋克情节点并且出现在一个最强烈地唤起变形金刚符号的小图标旁边时，人们会得出一个非常奇怪的解释。在我点击链接之前，我认为这一定是一个游戏问题。

考虑到根据定义，内部人员已经拥有对许多资产的合法访问权；被至少一名拥有更多访问权限的高管知道并可能信任；可能受到合同安全保护，免受普通干扰。他们可能能够破坏信任关系来执行单独看来是可取的或至少是无害的（甚至有害的，如果不是非常不经常），恶意的局外人可能希望这样做，但会被积极阻止尝试（与获得访问权或避免报复的机会很小）。除非内部人员犯了明显的错误（例如：与自己的恶意内部人员共谋），否则他们可能会无限期地避免被发现。

注意最大的政府信息泄露是如何发生的，这很有启发意义。在最大的维基解密案例中，似乎向相对较低级别的技术人员提供了几乎不受限制的访问权限。除了应有的工作，他没有被认出做任何事情，但他的目标是彻底破坏信息安全。他尝试的一切都是被允许的。

保护资产的最好方法是永远不让它可用。如果必须公开，则每次访问都需要与其重要性成正比的理由。人们不应该认为它可能会再次变得无法访问。