根據注冊欺詐審核師協會(ACFE)的《Report to the Nations》報告顯示，每年企業因欺詐損失5%的收益。大多數欺詐者在為其雇主工作多年后才開始進行數據盜竊。

雖然網絡欺詐只是內部威脅的一部分，ACFE成員Anyck Turgeon認為探討這個問題更為有意義。M-CAT Enterprises和The Fraud研究所創辦人兼首席執行官Turgeon表示：“如果安全專業人員繼續談論欺詐，而沒有適當的培訓、認證和實踐經驗，并且金融專業人員繼續使用不同的術語，內部威脅基本上無法避免。”

Turgeon是專注于網絡欺詐和洗黑錢的網絡安全數據科學家。曾在哈佛大學、加州大學伯克利分校、德克薩斯大學奧斯汀McCombs商學院以及甲骨文大學和McAfee研究所等組織參加廣泛的教育培訓。在Turgeon在準備發布網絡FRAML(欺詐和反洗錢)字典時，Marcus Ranum對她進行了采訪。她稱，這本字典是首開先河。

感謝您抽出寶貴的時間來與我談論計算機安全領域的內部威脅問題。我們都聽說過‘80%的攻擊來自內部’，但我知道的事實是，這個統計數據是在行業發展初期的一次會議上由某個人突然提出。我們真正了解內部攻擊的危害程度嗎?

Anyck Turgeon：在納秒級處理、背景感知安全、社會階層重新分配(中產階級消失)以及不安全互聯設備帶來挑戰的時代，我們很容易預測，內部威脅不只是今天的挑戰，也會是未來的噩夢。

我看到很多人都拒絕接受這個事實，特別是被騙的受害者--他們在失業、破產以及無家可歸后打電話給我，這讓我很震驚。如果目前的技術可以抵御網絡欺詐，如果數據泄露無關緊要，那么，為什么每年三分之一的人都會受到欺詐的影響?

讓我非常痛苦的事實是，在很多銷售反欺詐和反洗錢解決方案的技術公司，沒有人是合格的注冊欺詐審核師、注冊反洗錢專家或注冊金融犯罪調查員，他們也沒有成功解決欺詐問題的實踐經驗。(我非常清楚地知道很多大型企業和個人在發布不符合實際情況的營銷統計數據。)為了扭轉這一趨勢，下面讓我們看看ACFE最新的《Report to the Nations》報告中一些令人震驚的統計數據：

• 42%的專業欺詐由員工執行

• 36%的欺詐由中層管理人員執行

• 只有5%的欺詐者此前因欺詐有關的罪行而被判定有罪

• 58%的受害企業無法恢復因欺詐造成的任何損失

• 只有14%的欺詐受害者可以完全恢復

• 只有3%的欺詐在傳統外部審計中被檢測到

有趣的是，在大多數專業欺詐中，至少有一位高管(通常是CFO和/或CEO)或者董事會成員作為沉默的觀察者或者作為有利的幫兇。對于更廣泛的安全泄漏事故(IP盜用、網絡勒索或被盜身份信息轉售)，我還注意到各種內部威脅代理。

我覺得內部數據泄露或網絡欺詐是一個巨大的問題，安全領域沒有人在這方面真正擁有實踐經驗，如果能提供幾個真實故事(當然不涉及客戶具體情況)就好了。你能否給企業提供一些建議來幫助他們應對這種情況嗎?

Turgeon：首先，作為技術人員，我能體會我的同行可能感覺我所說的有些‘風牛馬不相及’，因為網絡欺詐畢竟只是內部威脅的一部分。然而，只要安全專業人員繼續談論欺詐，而沒有適當的培訓、認證和實踐經驗，并且金融專業人員繼續使用不同的術語，內部威脅基本上無法避免。因此，我團隊的專家會審查公司的財務情況，并進行欺詐比率分析，取證數據泄露事故蹤跡和合規性報告指標經常表明企業的不同部門就像航行在完全不同海域的船舶。

從我們正在制定與內部威脅相關的網絡風險指標的方式來看，我看到存在很多挑戰。

通常情況下，IT安全人員和相關的第三方(例如審計人員和欺詐審核師)在執行多項任務，包括背景調查、攻擊取證、IT安全做法的法庭專家證詞，而他們并沒有獲得相關許可證。雖然我不認同現有的規定(即考試與IT安全無關)，我發現很有意思的是，大多數IT安全CISSP和風險管理從業人員要求每年完成一定量的道德培訓以更新其認證。然而，他們并不會進行IT安全合規考核。

IT安全專業人員會進行協作，并在Madoff旁氏騙局中被判有罪，他們通常可能是有利的幫兇。從這一點來看，監管機構應該通過更高的標準來教導以及確保遵守法律，包括要求專業人士獲得許可證等。

還有很多‘鞋匠的孩子上學不穿鞋’的其他例子。然而，只要大多數安全從業人員不遵守這些要求，我們怎么能指望他們提供有關企業IT安全狀態的可靠的統計數據呢?鑒于目前的安全狀況，我認為我們需要將教育責任轉移到更大更有影響力的群眾(例如投資者和消費者)，這樣網絡安全最終會作為全面的挑戰來應對，而不是現在這種狀況。

當我們向企業展示網絡黑市中有關其客戶、員工和投資者的有效用戶ID、密碼、安全問題和答案的數量時，很多企業都感到震驚。如果企業專注于4%的常規互聯網，那么，風險報告統計數據將無法評估其企業數據泄露的實際情況以及確定數據泄露事故真正的長期成本。

我發現有些員工會竊取其雇主的數字資產來偷偷地幫自己支付網絡贖金以及保護自己的寶貴資產。很少企業會報告其數字資產的財務評估企業數據的價值是什么。

由于識別錯誤分配資金往往需要網絡欺詐、洗黑錢和企業財務專業知識，我經常接到CISO的電話稱他們發現了數據泄露或攻擊，但不知道如何管理以下問題：

• 確定遇到的具體問題;

• 解決各種挑戰(民事、刑事、軍事、國際法庭、行政法院或使用其他方法)--律師往往無法應對多個法庭，并且很多挑戰最好進行談判;

• 確保恢復其資產;

• 管理不同國家的執法機構的調查;

• 盡量減少危機管理中的企業責任

雖然執法部門可以發揮關鍵的作用，但我們很少會看到受害者為所有未來損失得到賠償。考慮一下心懷不滿的員工將你客戶和員工個人信息放在黑市轉售。你的IT安全團隊可能能夠發現服務器泄露，并通過更高防火墻配置來阻止泄露。但對黑市正在進行的交易進行調查需要并行完成。

鑒于目前的重點是核查和預防，而不是協作解決，我們需要教育公眾，讓他們對IT安全有基本認識。只要投資界繼續關注“零威脅滲透”方法，決策者選擇穩住其職位的做法，背景感知情報、交換虛擬分區和液體計算帶來真正威懾所需要的創新將會停滯不前。

你以前做過網絡欺詐調查。你認為網絡欺詐和內部攻擊是同一件事情還是一個問題的不同方面呢?對于我來說，這種區別相當于‘授權人員做未經授權事情’與‘外部未經授權人員竊取授權用戶的登錄憑證’。

Turgeon：作為注冊欺詐審核師、注冊委員會顧問和注冊CISO，欺詐被定義為‘非法或刑事欺騙以獲取財務或個人利益。’正如ACFE的統計數據所顯示，欺詐可能由內部人員以及外部人員執行，他們可以是授權人員，也可以是非授權人員，但都在做未經授權的事情。

從計算機技術的角度來看，我將內部攻擊定義為由具有授權系統訪問的人滲透網絡或計算機系統執行的惡意攻擊。在這種情況下，授權以及未經授權人員(例如使用授權用戶登錄憑證的外部人員)獲取對寶貴私人和企業資產的訪問權限。此外，內部威脅也可能涉及物理綁架、企業污損和股市停盤等活動。對我來說，主要的區別是意圖和獲得的東西。

為了合法地解決這些問題，舉證的責任比對內部威脅的指控更具挑戰性。但基于大多數法官和律師對計算機的認識，在欺詐的案件中，更容易確保定罪。有趣的是，我的驚訝是，欺詐案件通常會以庭外解決和辯訴交易結束，而當涉及更嚴重的判刑(例如坐牢)時，網絡安全指控才會在法庭解決。

當然，作為CISSP、CPP和CIPP，我可以證明在定義這些術語時會有很多混淆。通常情況下，不同安全領域的專業人士可能會使用相同的術語，但有不同的含義。當法官、律師、企業高管、董事會成員和投資者參與進來后，事情會變得更加復雜。這也是為什么我花了五年時間研究不同學科以及編寫網絡FRAML字典的原因，該字典將解決這些實質性的差異，并提供術語和解。在從懷疑到調查、檢查、發現、分析、解決、審計和破壞等階段，這將讓我們所有人進行良好的溝通。

為有效溝通安全事故的程度，我們應該把重點放在哪里?在我看來，安全行業媒體通常會專注‘信用卡泄露數量’或‘個人數據泄露數量’，但這并不是重點。這些數據并沒有真正告訴我們事情的嚴重程度，并且，這會讓人們繼續使用密碼和信任不值得信任的服務。你前面提到企業會損失5%的收益，這是很大一筆錢。我常說，新聞媒體應該談論失敗模式：企業未能執行特權訪問管理的另一個數據泄露事故。但這對于非技術人員有些難。

Turgeon：每當我看到電視記者談論他們完全沒有相關知識的話題時，我都會很崩潰，我感覺我們需要開始考慮技術使用許可。正如我們需要基本了解法律和運輸標準才能開車一樣，我們是不是也應該確保大家基本了解技術，當安全事故發生時，我們可以通過情景化解決方案來解決危機。雖然這在近期不會成為現實，但現在應該開始架構情景化，讓預防和解決問題之間的巨大差距最終可以最小化。

我們還需要解決對網絡通信的網絡道德問題。在接下來的文章中，我會進一步強調針對網絡攻擊進行教育通信的重要性，以及總結過去網絡戰行動中遇到的通信挑戰問題。

最后，正如天氣和體育新聞是大多數新聞節目的一部分，我們需要所有媒體涵蓋技術教育。隨著物聯網的出現，我們更迫切地需要部署不同層次的網絡教育，讓我們最終能夠解決目前方式的錯誤。