得益于數字技術和遠程辦公，如今換工作比以往任何時候都更加容易。美國勞工統計局表示，2021年至2023年期間，勞動力流動率仍然很高。在這種環(huán)境中，重要的是要保持警惕，以保護組織免受離職員工竊取數據的風險。

當員工辭職時，他們通常會去同一行業(yè)的公司（甚至可能是您的直接競爭對手）擔任類似的職位。雖然他們大多數時候只會帶著自己的經驗和個人物品離開，但有些員工也會順走雇主的寶貴數據。

與此同時，Code42的《2022年數據暴露報告》顯示，71%的組織對離職員工將哪些數據以及/或者多少敏感數據帶到其他公司缺乏可視性。同一份報告強調，需要更好的網絡安全方法來保護數據免受此類內部風險。

不幸的是，過去一年并沒有任何改善的跡象。根據Code42的《2023年數據暴露報告》顯示，數據暴露事件的數量在前一年增加了32%，受訪者估計，數據泄露的平均修復成本高達1600萬美元。

在離職員工竊取數據的情況下，您的組織可能面臨的主要負面結果包括：

因違規(guī)行為而遭受罰款和處罰。敏感的財務數據、醫(yī)療數據和個人記錄受到各種網絡安全法規(guī)和標準的保護。如果員工成功竊取了這些數據，他們的雇主可能會面臨外部審計和高額罰款。

機密外泄。當客戶與組織簽訂保密協議（NDA）時，他們希望交易的細節(jié)是私密的。然而，離職的員工可能會向新雇主透露保密協議的細節(jié)，從而喪失客戶的信任。

失去競爭優(yōu)勢。知識產權（IP）是離職員工最常竊取的數據類型之一。離職的員工可以把他們參與過的設計、軟件代碼和文檔帶到下一個工作場所。這樣，您的競爭對手就可以發(fā)現并利用您的商業(yè)秘密。知識產權盜竊的另一種可能情況是打亂您的工作。如果員工在離開前竊取并刪除項目信息，就會發(fā)生這種情況。

客戶流失。對許多客戶來說，有關數據和機密泄露的新聞都是危險信號。即便他們沒有受到數據泄露的影響，客戶也可能會對你的組織失去信任，并開始尋找其他合作伙伴。

正如您所看到的，一個離職的員工會對一個組織產生很大的影響。還應該指出的是，離職員工通常有強烈的動機和必備的知識來竊取數據。讓我們來看看離職員工數據盜竊背后的主要原因。

手腳不干凈的離職員工的動機與常規(guī)的內部威脅行為者略有不同。以下是離職員工竊取數據的主要原因： 

對IP的所有權感。當員工長期致力于某項知識產權時，他們便會開始覺得這是屬于自己的知識產權。員工離開公司時可能會帶著它，就像他們帶著咖啡杯一樣。

谷歌自動駕駛汽車工程師Anthony Levandowski的案件是最著名的數據盜竊案件之一。2021年初，Levandowski因從谷歌竊取自動駕駛汽車軟件被指控，這些軟件是他在被解雇前從事的工作。最終，法院判決他向谷歌賠償1.79億美元。

渴望獲得更好的職位。當跳槽到同一行業(yè)的公司時，離職的員工可能會認為，向新公司提供競爭對手的機密數據將有助于他們獲得更好的工作機會。或者，員工可能希望使用機密信息來創(chuàng)業(yè)。

2022年5月，雅虎研究科學家Qian Sang在獲得競爭對手The Trade Desk的工作機會后不久，竊取了有關雅虎AdLearn產品的機密信息。據報道，Sang下載了多達57萬頁的雅虎知識產權到自己的個人設備上，意圖利用這些信息在他的新職位上為自己謀利。

向雇主復仇。如果員工在被解雇前與雇主發(fā)生了沖突，他們可以利用自己的訪問權限和對組織的了解進行報復。例如，員工可以創(chuàng)建后門，竊取有價值的數據或破壞關鍵流程。

這正是Century 21公司人力資源系統管理員Hector Navarro在被解雇前的做法。Hector創(chuàng)建了一個超級用戶帳戶，用于刪除數據、更改其他用戶的訪問權限和編輯公司的工資政策。此舉導致Century 21不得不重新制定其網絡安全策略來封堵漏洞。而由于此次事故，他們還損失了5萬多美元的潛在利潤。

個人經濟收益。員工可能不想追求自己的事業(yè)，而是想把竊取的數據賣給黑客或競爭對手。他們還可以利用竊取的個人、財務和醫(yī)療信息來欺騙人們。

這類事件似乎在特斯拉員工身上反復發(fā)生。特斯拉已經起訴了幾名竊取公司數據并將其出售給其他組織的前員工。2021年，特斯拉對一名前質量保證工程師提起訴訟，指控他將公司后端軟件的代碼和文件復制到他的私人Dropbox賬戶中。

對數據安全的理解不足。離職員工竊取或破壞數據可能并非出于惡意，而是出于疏忽。他們可能會忘記哪些數據是機密的，或者不小心在個人設備或電子郵件帳戶上留下了公司敏感數據的副本。

并非所有的內部威脅都是故意的，正如2022年8月微軟數據泄露事件所證明的那樣。一群員工不小心將登錄憑證暴露在公司的GitHub存儲庫中，此舉可能會授予對Azure服務器和其他關鍵系統的未經授權的訪問權限。幸運的是，網絡安全公司SpiderSilk及時發(fā)現了這一漏洞，微軟也采取了積極措施，防止對企業(yè)和客戶造成任何傷害。

所有這些事件都凸顯了保護公司數據的重要性，以及與離職員工相關的風險。幸運的是，不管離職動機如何，離職員工通常都會留下他們內部活動的數字痕跡。有了合適的網絡安全軟件，你就能找到這些痕跡，阻止行為不端的員工。讓我們看看哪些操作可以作為數據盜竊的危險信號。

調查任何可疑活動以防止數據被盜是很重要的。以下幾個危險信號可能表明您的員工正在試圖竊取數據：

插入未知的USB設備。將數據復制到USB閃存驅動器或個人智能手機是一種常規(guī)行為，可能不會引起網絡安全人員的注意，特別是如果組織實施了自帶設備（BYOD）策略。但是，USB設備可能是竊取數據或攻擊組織的工具，因此必須仔細控制其使用。

無故訪問敏感文件。隨著員工距離離職日期越來越近，他們可能會開始偏離平時的行為。例如，他們可能會開始訪問他們以前從未或很少處理的文件，或者他們已經委托給其他員工的文件。這種行為的原因可能是想要竊取這些文件。

使用公共云存儲服務。將公司數據上傳到Dropbox或Google Drive等個人云存儲服務是竊取數據的一種簡單方法。但是，即使員工不打算竊取信息，將其保存到公共云也是一種危險的網絡安全實踐。

向私人賬戶發(fā)送帶有附件的電子郵件。將工作數據發(fā)送到個人郵件通常是一種糟糕的網絡安全實踐。然而，有些員工這樣做是為了能夠在家做額外的工作。但離職員工通常不需要如此，因此他們將敏感數據發(fā)送到非公司賬戶是值得懷疑的。

創(chuàng)建新帳戶。上述Century 21公司的黑客攻擊就是一個完美的例子，說明為什么離職的員工永遠不應該創(chuàng)建新的用戶檔案或修改訪問權限。如果他們這么做了，很有可能是在試圖創(chuàng)造一個后門，供以后利用。如果創(chuàng)建新的用戶配置文件是員工職責的一部分，請驗證該員工只創(chuàng)建所需的帳戶。

刪除文件和備份。在您的組織中工作了很長時間的員工知道您將關鍵數據和備份存儲在哪里。對于被解雇的員工來說，刪除這些數據或搞亂內部服務器和配置似乎是一個簡單而有效的選擇，以報復或掩蓋他們的蹤跡。

及時發(fā)現這些指標可以幫助您防止離職員工竊取數據。接下來，我們將研究如何防止員工竊取數據。

1. 實現零信任方法

零信任是一種不信任任何試圖訪問敏感資源的用戶或設備的方法。為了獲得訪問權限，用戶必須證明自己的身份和設備的有效性。之后，他們只能與他們任務所需的數據進行交互。如果離職員工試圖竊取數據，這種方法可以減少攻擊面。

2. 加強對離職員工的活動監(jiān)控

如果被解雇的員工決定不空手而歸，他們通常會在被解雇前開始行動。這就是加強員工活動監(jiān)控的原因所在。通過使用專業(yè)軟件，不僅可以實時監(jiān)控用戶活動并記錄會話，還可以為可疑操作設置警報，在用戶每次觸發(fā)這些警報時獲得通知，以便組織及時查看用戶是否做了可疑的事情。

3. 使用用戶和實體行為分析（UEBA）

UEBA工具使用機器學習和人工智能算法來創(chuàng)建正常員工行為的基線，并在員工行為異常時向安全人員發(fā)出警報。UEBA可以幫助組織檢測到可能的內部攻擊的最早階段，并在員工出現不尋常行為的時候發(fā)出警報。

4. 實施USB設備管理

將數據復制到USB設備是竊取信息最簡單的方法之一。USB設備管理解決方案通過檢測用戶何時連接可疑或未知的設備，控制對設備的訪問并阻止設備，從而防止員工復制文件。

5. 審查訪問權限和最近的活動

這種審查是離職程序的一部分。公司要求被解雇的員工在離職前確認沒有違反網絡安全規(guī)定。建議組織使用專業(yè)的工具，以審查記錄的用戶會話和訪問權限，并自動生成用戶活動報告來幫助組織進行此類審查。

6. 離職后及時撤銷特權和憑據

當員工離開時，您需要刪除該員工的個人賬戶、撤銷訪問權限，以及更改共享賬戶憑據，以防止員工竊取數據。手動完成這項工作需要做很多工作，建議使用特權訪問管理工具來幫助完成大部分工作。

7. 提前計劃好響應活動

當發(fā)現內部攻擊時，您需要快速有效地采取行動，以防止員工在離職時竊取數據。分析您的事件響應選項，并決定在攻擊之前使用哪些選項。