本文首发于微信公众号：大数据文摘。

被员工泄露，窃取和破坏信息已经成为一个主要的网络安全问题。某公司说他们可以通过读取所有员工的邮件，在事情发生之前，找出内部威胁。

在大型全国性银行，硅谷软件巨头或者政府机关，其安全官员可以向软件要一份关于她所在机构的工作人员的报告来开始她的一天。

“截至昨晚，哪些人最心怀不满？”，她可能会问，“向我说出头10位”。

EricShaw是情报界的一名心理学家和资深咨询师，他说，用他为网络安全公司Stroz Friedberg开发的一款软件工具，她就可以拥有这种能力。

这款软件通过梳理一个机构一天数百万份的邮件和文本消息，找到那些高频词和短语，心理语言学家把这些词和短语与特定的精神状态和个性特征关联在一起。

Shaw说，要一份不满意度得分高的员工列表，“你可以看到他们的姓名，也可以查看排名最靠前的一些邮件。”

许多公司已经有能力运行员工邮件的关键词搜索，寻找令人担心的词和短语像"贪污"和"我讨厌这个工作"。

但是Stroz Friedberg公司的软件Scout，志在更进一大步，通过无意识的句法和语法线索，间接检测到员工的愤怒，财务或个人压力，以及其他员工关于某个员工可能即将会辞职的举报。

为了衡量员工的不满，例如，它使用某种基于语言学的算法发现受害者心理，愤怒和指责感的暗示。Shaw说，比如，异常频繁地--高于正常值几个标准差--使用“我”这个字意味着受害者心理：“为什么是我”，“你怎么能对我做那样的事？”愤怒情绪的信号可以是高频使用否定词像“，no”, “not”,“never”和“n’t”，或者负面评价如“你真糟糕”和“你真是可怕”等，也可以是大量使用“状语加强词”像：

不满意并非不合法。但是，今天的失意员工可以策划明天的价值百万美元的数据泄露。Scout的市场定位是作为一个不断增长的武器库里划时代的武器，帮助公司打败内部威胁这种员工变坏的现象。实施诈骗或者挪用公款的员工是一个例子，但是坏的离职者也是，这些员工或者承包商，当他们离开时，会窃取知识产权或者其他的机密数据，破坏信息技术系统，或者为了得到回报威胁这样做。工作场所暴力越来越得到关注。

尽管公司常常武装自己免受黑客攻击，通常假定这些黑客来自遥远的俄罗斯和中国，但是他们越来越意识到有些攻击是公司内部发起的，比方说，一个坐在大厅那头合同没有被续约的安静的家伙。最引人注目的例子来自政府--2010年大量的数据泄露，超过700,000万份机密文件被切尔西·曼宁（ChelseaManning）泄漏到维基解密。（当时被称为一等兵布莱德利·曼宁）和2013年前中央情报局职员爱德华·斯诺登泄密事件。虽然这些事件虽然是偶发事件，但是他们打开了世界的眼界：这些机构的脆弱令人震惊。

根据最近的年度网络安全调查，大约27%的对公共和私人机构的电子攻击来源于内部，这个调查是由CSO 杂志, 美国特勤局,普华永道,和软件工程研究所CERT项目共同实施。（CERT是美国国防部资助的网络犯罪研究中心，位于卡内基·梅隆大学。）接受调查的562名参与者中，大约43%说，在过去的一年中，他们的机构已经遭受至少一次内部攻击。虽然这些被攻击对象通常对攻击事件秘而不宣，但是最近的著名的受害者包括：摩根斯坦利，美国电话电报公司，高盛和杜邦。

现在已经足够充分认识到，内部威胁的受害者，尤其是金融机构，可能会面临监管处罚以及因为没有采取足够的措施阻止攻击而造成的民事责任。在6月，美国证券交易委员会对摩根斯坦利罚款一百万美元，因为他们未能阻止一个流氓财务顾问入侵了730,000客户的账户，尽管银行自己抓住和公示了这个后来承认犯了联邦罪的员工。

这段文本来自一封实际的邮件，由一名某银行的合同制系统管理员写给他的上级。这个人被辞退以后，他破坏了该银行的服务器。下面的插图说明了如果今天来分析这封邮件，利用心理语言学的原理，StrozFriedberg公司的Scout软件会挑选哪些单词并记分。下面是一个解释，为什么这些词被标记出来，特别是当他们出现异常频繁时。

否定词像no,not,n’t也许表示愤怒，Scout把他们当做不满意的组成部分。

否定词像no,not,n’t也许表示愤怒，Scout把他们当做不满意的组成部分。

单词“我”被过度使用可以表示受害者心理，不满意的另一组成部分。

直接指引，特别是“你”，可以表示责备，也是不满意的组成部分。

单词全部大写是“强调语气”，表示愤怒。强有力的单词和短语（如垃圾和搅黄）是加强词和“负面的评估”，这都是愤怒的信号。

由于电子邮件中大量的愤怒和负面信息与婚姻冲突相关，这往往不是雇主关心的，Scout利用雇佣相关的词和短语，像解雇（fire），辞职（quit）和根访问权限（rootaccess）进行过滤。客户可以选择只看到包含此类单词的电子邮件。

自2011年起，处理机密情报的政府机构已经要求制定正式的内部威胁应对方案。并且在五月份，将该要求延伸到处理这些数据的私人承包商——6000到8000个公司，据CERT的内部威胁中心负责人Randall Trzeciak所说。随着这些问题越来越被重视，Trzeciak 注意到，以打击内部风险为目标市场的工具数量激增。他说，两年前的安全年度RSA大会上，只有约20家供应商展示商品。在今年2月，已经超过125个了。

绝大多数的这些工具，被称为技术指标，提供方法来监视计算机网络，防止数据丢失，安全警戒可疑行为，甚至记录键击，并获得个人电脑屏幕的视频。这种解决方案可以让一个机构看到，例如，是谁在反常的时间登录到她的电脑，将机密文件的电子标签弄乱，或者只是以某种突发的，显著的方式偏离常规。（看下面部分，“停止敌人内部攻击的工具”）

还有其它工具可以梳理员工的电子邮件，寻找关键词。但是Scout似乎是电子邮件扫描工具中最具体并巧妙定制，以试图在内部威胁发生之前就嗅出它。

63岁的Eric Shaw 正在攻读罕见的名为政治心理学的专业。在获得杜克大学博士学位后，他在1990年到1992年间为中央情报局工作，之后在其他情报机构担任顾问，在开始私人执业的同时他还在乔治华盛顿大学开展教学工作。（Shaw说他一周中仍然有两天是在情报机构做咨询顾问，虽然他不会指认这个机构，但他说该机构已经安装了Scout来监控工作人员。） 政治心理学家声称他们为外国领导人--比如金正日--编制心理健康档案是为了协助国务院、国防部、情报机构和白宫的决策者。敌对国家的元首是一个疯子，还是可与之讲道理？如果是后者，什么是接近他的最好方式？然而这些心理学家并不能在沙发上测试他们的病人。他们使用的其中一种工具就是语言。他们通过分析领导人在公开场合中被拍摄的无意识的言语模式来寻找其人格特质的线索。 上世纪90年代末，在发生几件惊人事件后，国防部要求Shaw研究内部网络攻击。其中一件事是海军医院的一个管理员加密了病人信息并且用来勒索。美国联邦调查局计算机犯罪小组在这些犯罪事件的处理上最有经验，所以Shaw被要求与后来领导位于曼哈顿的旗舰单位的Ed Stroz进行联络。

在作为联邦调查局特工调查白领犯罪时，Ed Stroz对心理语言学产生了兴趣。他说他的Scout软件是设计用于“保护自己免受自己伤害”。 （摄影 Spencer Heyfron） Stroz给Shaw看的第一个案件是关于一个银行系统管理员顶撞他的上级。他的上级最终辞退了他，迫使他在网络中遗留一个“逻辑炸弹”，这个“炸弹”爆炸并关闭了银行的服务器。Shaw检查了终止受雇前争论双方的电子邮件，然后手动做上标记，再给Stroz看标记出的警戒语言。 “这很有趣。”Stroz回忆。在联邦调查局，他专注于白领犯罪，而在这个领域中，罪犯的精神状态往往是唯一有争议的问题。Shaw的分析提供了这个领域的入口。“在某些点上，”Shaw继续说到，“Stroz看我编写电子邮件代码，然后他说，’你知道，我们现在有会做这个的电脑了。’ 这是开发心理语言学软件想法的开端。” 2000年Stroz离开调查局合伙成立了Stroz Friedberg。几个月后，在接到客户要求有司法语言学专业知识的电话之后，他联系了Shaw。这些客户收到威胁或要求的案件往往是“匿名作者”犯的案件。Shaw试图通过比较一系列嫌疑人写作风格中的独特方面来辨别出罪犯。他一部分依靠传统的取证技术-独特的格式，奇怪的措辞，暴露罪犯信息的拼写错误-也依靠政治心理学家使用的语言学原则。刊登在2005年纽约时报上的一个案件中，举例来说，有个网络敲诈犯曾经黑客攻击了一家专利和商标公司MicroPatent，并且勒索1700万美元。Shaw的工作是帮助辨别这个网络敲诈犯。（罪犯认罪并被判入狱。） 为了协助分析手稿，Stroz和Shaw开发了一个被称为WarmTouch的内部软件工具。“糟糕的名字。”Stroz承认，“但我们的想法是，键盘仅仅是因为人类需要有一种与计算机连接的方式而存在。人类触键的地方就是人类发源的地方。”同时，Shaw继续研究内部风险案件，钻研CERT内部威胁中心的案卷。他寻找这些罪行发生之前遗漏的警报，然后试图设计一些特征，可以使WarmTouch追踪到不良行为的语言前兆。 为了测试和完善假设，他把犯罪之前内部所写的实际的电子邮件在电子邮件数据库的一部分中，这个电子邮件数据库是大型公开可用的Enron语料库。（语料库包括175位Enron员工所写的600，000封电子邮件，员工中的绝大多数是无辜的，而他们的电子邮件在调查市场操纵期间被联邦能源监管委员会所收集。）然后Shaw同时用人工编码和WarmTouch这两种方法，后者应用语言心理学的使用原则，试图在避免捕获不可控数量的误报的情况下筛选出有标注的预警邮件。结果的一部分发表在同行评审的2013年《数字取证杂志》（Journal of Digital Forensics）上的两篇文章内，表明WarmTouch是一个虽不完美，但有用的筛选工具。2014年底，Stroz Friedberg已经准备好为客户提供最新的更名为Scout的版本。 Scout使用约60种算法及追踪约10000词的词汇表，虽然这个表会为每一个客户进行调整。约50种算法主攻内部威胁。而Stroz Friedberg认为其余的则可以用于各种目的，包括一些非司法类的-如发现办公室内斗，评估经理，及辨别新的领导人。Scout通常为客户附带提供一份服务合同，叫做“执业医师”-是Shaw监督的外部合约商-来解释结果。

网络安全的专业人员设计了一系列技术工具以应对内部威胁：数据被窃取，欺诈和破坏。这里有四种保护措施—Robert Hackett说

SIEMs：安全信息和事件管理是监测公司安全软件和应用所产生的所有数据的艺术。信息管理器存储需要以后进行研究的信息，事件管理器创建工作人员可实时追踪的数据。使用SIEM的公司包括Hewlett Packard Enterprise, IBM, andSplunk.

数据丢失预防（DLPs）：这个技术目击-和阻止-未经授权迁移敏感信息的尝试。RSA, 是EMC（很快是Dell）旗下的网络安全单元，一直在削减其DLP业务，但其他被广泛应用的产品有英特尔安全公司（IntelSecurity’s）的McAfee DLP，Comodo的MyDLP, 和免费的开源OpenDLP。

行为分析：这个新兴领域针对内部威胁和入侵账户，结合数据分析和机器学习进行分析。每当人们的行为偏离给定的规范时，分析工具就提高一个标记。提供这些分析产品的公司包括Rapid7, RedOwl, 和Securonix。

行为监测：比方说，一个员工删除文件上标明“公司最有价值的”数据标签而触发警报。监视工具将生效并开始录制他的按键，捕捉屏幕截图，或禁用向外传输的邮件流量。雷神公司（Raytheon）和数码卫士（DigitalGuardian）销售活动监控工具。 为了负责新产品，Stroz Friedberg聘请了ScottWeber，他曾是法律公司Patton Boggs的合伙人并在大数据公司Opera Solutions负责政府业务。“Scout不是决定性的，”Weber承认，“它不会说Carolyn明天要来偷窃或者Scott要在工作场所实施暴力行为。”它做的是，他继续说，是“抓取一个组织里的大量信息并把它们过滤到一个操作友好的数据池。” 举例来说，Weber展示了一个关于Scout使用界面的幻灯片，展示了Scout处理从超过69，000发送者处获得的近5100万电子邮件和短信内容。Weber说这展示了当时从政府客户处获得的一个完整的数据集。当直接搜索四个内部风险变量的异常高分时，Scout精选出137发送者的383条短信，占总数据集的0.0008%。 在现实生活中，人工诊断可以通过Scout界面拦截电子邮件，然后逐个检查。他会展示任何经过判断确定对客户不利的消息。Weber说，然后从管理员和人力资源、法律和安全部门输入数据之后，客户将决定采取什么行动。Scout目前正用于政府和金融部门，Weber声称，现在客户正在制造业、医药行业对其进行测试。然而他拒绝给出具体数据。 Shaw开玩笑说他一开始想叫Scout“大哥”，不是吗，事实上侵犯了员工隐私？“它非常尊重隐私权，”Weber坚持说。他强调只有一小部分的邮件被读过，其中大部分是由外部诊断机构来审查-永远不会让同事和主管看到。从法律角度看，Weber解释道，在美国，一家公司需要“知情同意”才能看员工的邮件。“如果你制定一个政策，告诉你员工这不是他们的电脑也不是他们的数据，是应该被查找的，这就没有隐私可言了-那你也包括在内。”他说。（大多数美国公司已经有这样的政策到位了。） Weber甚至争论隐私问题减少Scout的使用偏好。“在很多网络攻击案件中，”他说“隐私权显示人们是怎样被不公平对待的。入侵者浏览人们的网络，阅读内容，复制东西，拍摄他们，打开麦克风或者电脑里的摄像头，这些都是严重的隐私侵犯。” 在这种背景下，Stroz Friedberg团队解释Scout能很好解决严重棘手的问题。客户说，“我希望它不是令我羞于使用的东西，我想让它变为和谐工作环境的一部分。”Stroz说，“你必须不越过线，才能避免灾难，但是你必须要负责任地去做。

原文链接：http://fortune.com/insider-threats-email-scout/（转自：大数据文摘|bigdatadigest）

文章来源：微信公众号大数据文摘