無論企業是剛剛開始制定計劃來緩解內部威脅風險，還是已經部署了這樣的計劃，如果沒有可靠的內部威脅檢測工具，企業的內部威脅緩解計劃將很難取得成功。

這是Raytheon Oakley Systems公司防御計劃主管Daniel Velez傳達的主要信息，他在RSA 2014大會上談到了成功的內部威脅管理計劃的基礎。

Velez表示，內部威脅檢測工具通常屬于數據丟失防護或端點監控產品的類別，這是部署在端點監控用戶如何與數據進行交互的工具;它們采用基于政策的技術控制來防止用戶的某些行為，例如轉發敏感電子郵件到個人賬戶或者復制專有數據到U盤。

Velez談到，在通常情況下，企業會被具有強大端點檢測代理的華而不實的工具所吸引，但他警告企業不要僅依據工具在端點可以檢測的內容來選擇工具。他建議，根據企業特有的情況來選擇產品，包括企業運行著什么端點平臺、端點平臺是否易于部署和管理、它提供怎樣的政策靈活性，以及事件響應和管理功能是否能順利整合到企業現有流程。

在產品選擇過程中，還有一些常常被忽視的標準。例如，Velez表示，很多大型企業或者具有成熟管理結構的企業在內部威脅管理過程中通常會牽扯很多利益相關者，包括審計委員會成員、合規利益相關者，以及人力資源和法律代表，所有這些利益相關者可能需要訪問內部威脅產品。

“我選擇的工具是否允許我有多個利益相關者?”Velez問道，“如果總法律顧問想要一個賬戶，或者人力資源想要一個賬戶，我能否滿足他們的要求?”

Velez表示，良好的內部威脅檢測工具還將幫助管理員正確地判斷事件，提供足夠的信息來幫助判斷員工是惡意試圖感染網絡或者只是簡單地插入他或她的U盤到電腦而不知道其中包含病毒。

“我從事反間諜威脅調查者工作長達8年，98%出現在我辦公桌上的事件是別人的問題，通常只是員工為了完成工作而違反規則，”Velez表示，“我們需要內容來幫助我們對員工進行培訓。”

他指出，一個產品應該要能夠對內部威脅檢測計劃中的變更迅速調整政策，特別是用戶和利益相關者如何反應。

“相信我，如果你隱蔽地進行部署，消息肯定會不脛而走，”Velez說道，“當你推出這個工具時，你會因為很多事情受到很多責備，請做好準備，并不斷審核你的政策。”

Velez還強調了必須確保內部威脅檢測工具可以提供讓人易懂的輸出結果。他表示，雖然對于某些人來說，關于單個事件的20頁紙的報告很有用，但好的工具應該能夠總結事件的關鍵點，讓***信息官或者其他高管及非技術型利益相關者可以快速輕松地了解發生了什么，并做出正確的決策來響應。

選擇合適內部威脅檢測工具的挑戰還包括，商業產品的成熟度千差萬別。Velez表示，企業不能根據研究公司推薦的一組產品列表來開始產品選擇過程，而是應該根據企業的審計需求。

“從提出基本問題開始，‘我想要這個工具做什么?’，然后再深入一點，”Velez表示，“與其他正在選擇產品的企業溝通，并探討他們的能力是什么。并且，你需要找已經從事這個行業一段時間而且不擔心你與現有客戶聯系的供應商。”

即使考慮了所有的因素，在實際部署工具前，我們不可能完全知道一個工具可以和不可以做什么，這也是Velez強烈建議在購買產品前進行試點部署的原因。他補充說，企業必須確保供應商不僅有堅實的部署計劃，而且還能夠支持企業的特定業務需求。

CareerBuilder.com信息安全和合規團隊位于亞特蘭大的成員Jim Butler表示，他的企業正在評估內部威脅檢測工具。

Butler表示，其企業在審計過程涉及廣泛的利益相關者群體，他們需要一個產品能夠幫助已經很忙碌的工作人員持續審計潛在內部威脅，而不是成為一個巨大的負擔。

他還指出，為高度協作網絡環境選擇合適的工具是很艱巨的挑戰，因為這些環境不斷會推出新產品和程序。

“我們很難說什么工具適合在什么環境運作，”Butler表示，“我們選擇產品的重點是，所選產品不能打擾或者減緩員工的工作，同時還為我們提供一定的可視性。”