内网安全如何调查
来源:IT专家网 更新时间:2012-04-13

 您的数据库管理员是否泄露了您公司敏感客户的数据?如何找出自己公司的内鬼呢?这听起来似乎很奇怪,但是,据安全调查与取证专家称,在口头审查有关系统泄密案件的内部嫌疑人时,口头交流是观察的一个重要因素。

  风险评估公司Continuum Worldwide的专家Don Kohtz和Bill Dixon说,由于目前数据泄露案件像流行病一样普遍,安全专业人员越来越多地参与他们以前从来没有想到的调查任务中,他们没有接受过执行这种任务的培训。学习适当的审查技巧是很有必要的。

  Continuum Worldwide调查和遵守法规解决方案部门经理Kohtz以及该公司确认评估部门经理Dixon表示,你可以利用许多调查技术从口头审查内部威胁嫌疑人的过程中得到最多的收获。同时两人将于下星期在华盛顿举行的计算机安全学院(CSI)会议上交流有关这方面的技巧。

  专家表示,这是以来于了解如何解释非口头线索和语言方式的问题,以及提出问题和限定回答问题时间以便从回答中获得最多信息的方法。Kohtz说,这些技巧和技术也许是信息安全人员从来没有学到过的。

  例如,抓鼻子习惯可能是焦虑的一种心理反应。Kohtz解释说,血管扩张,皮肤紧张,从而引起瘙痒。其它危险信号包括烦燥、清嗓子、过分出汗、掩盖嘴的一部分或者细看自己手指甲或者表皮。由于缺氧,他们可能打许多呵欠或者叹气。当身体处于紧张状态时,你会忘记呼吸。

  但是,对于那些在口头审查中感到神经紧张的无辜的IT人员该怎么办呢?你需要查看这些一连串的症状。你在开始的时候要询问一些没有威胁的问题,如姓名、地址等等,以便建立一个基准。如果他们开始显示出这些紧张的症状,你已经建立的基准可以用来当作一个线索。

  眼球移动方式是另一个线索。当要求回忆一个事件的时候,用右手的人在回顾这个事情的时候一般都把眼球向上或者向左边移动。用左手的人一般都把眼球向上和向右移动。有些撒谎的人眼球一般都向下移动。90%以上的人使用眼睛沟通,因此使用“眼睛移动”是一个有效的线索。

  口头线索是另一种方法。Dixon说,使用名词能够告诉一个人有罪还是无辜的许多情况。说“我”做这个事情或者做那个事情,一般来说显示你与那个事情之间的联系是真实的。当他们开始摆脱自己与这个事情的联系时,他们使用“the”和非所有格代词。我们可以把它作为试图摆脱自己的一种迹象。

  Kohtz说,如果一个接受调查的人避免直接回答有关他或者她参与数据突破事件的直接问题时,要以不同的方式再一次提出这个问题。大多数人都是在第二次提问时回答问题。因此,要重复提出这个问题。如果需要的话,可以第三次提出这个问题以便得到答案。要有耐心。

  如果你的内部威胁嫌疑人用“我知道的就这么多”这句话来结束口头调查,你可以试验一下“故事倒叙”的技术。Kohtz说,让他们以倒过来的顺序重新讲述一下这个故事。你问他关于他记住的最后的时间点之前发生了什么事情,然后那个事情之前又发生了什么,等等。这个技术能够显示这个主题故事中的矛盾。如果他们说的是实话,所有的主要事件和里程碑应该是一样的。

  根据调查人员在这个案子中的角色,有时候口头调查变成了盘问。这需要采取另一种技巧。一般是提出4、5个切中要害的、要求快速回答的问题。撒谎的人一般反应速度都不快。每一个人第一次都会说他们没有做那个事。

  Kohtz说,叫这个人的名字,他会把头转过来看着你。然后,如果你要让他坦白的话,你讲话的速度要比他的速度快。你要缩小这个对象参与的责任,这样他们很容易承认说“是我干的”。