風險評估公司Continuum Worldwide的專家Don Kohtz和Bill Dixon說,由于目前數據泄露案件像流行病一樣普遍,安全專業人員越來越多地參與他們以前從來沒有想到的調查任務中,他們沒有接受過執行這種任務的培訓。學習適當的審查技巧是很有必要的。
Continuum Worldwide調查和遵守法規解決方案部門經理Kohtz以及該公司確認評估部門經理Dixon表示,你可以利用許多調查技術從口頭審查內部威脅嫌疑人的過程中得到最多的收獲。同時兩人將于下星期在華盛頓舉行的計算機安全學院(CSI)會議上交流有關這方面的技巧。
專家表示,這是以來于了解如何解釋非口頭線索和語言方式的問題,以及提出問題和限定回答問題時間以便從回答中獲得最多信息的方法。Kohtz說,這些技巧和技術也許是信息安全人員從來沒有學到過的。
例如,抓鼻子習慣可能是焦慮的一種心理反應。Kohtz解釋說,血管擴張,皮膚緊張,從而引起瘙癢。其它危險信號包括煩燥、清嗓子、過分出汗、掩蓋嘴的一部分或者細看自己手指甲或者表皮。由于缺氧,他們可能打許多呵欠或者嘆氣。當身體處于緊張狀態時,你會忘記呼吸。
但是,對于那些在口頭審查中感到神經緊張的無辜的IT人員該怎么辦呢?你需要查看這些一連串的癥狀。你在開始的時候要詢問一些沒有威脅的問題,如姓名、地址等等,以便建立一個基準。如果他們開始顯示出這些緊張的癥狀,你已經建立的基準可以用來當作一個線索。
眼球移動方式是另一個線索。當要求回憶一個事件的時候,用右手的人在回顧這個事情的時候一般都把眼球向上或者向左邊移動。用左手的人一般都把眼球向上和向右移動。有些撒謊的人眼球一般都向下移動。90%以上的人使用眼睛溝通,因此使用“眼睛移動”是一個有效的線索。
口頭線索是另一種方法。Dixon說,使用名詞能夠告訴一個人有罪還是無辜的許多情況。說“我”做這個事情或者做那個事情,一般來說顯示你與那個事情之間的聯系是真實的。當他們開始擺脫自己與這個事情的聯系時,他們使用“the”和非所有格代詞。我們可以把它作為試圖擺脫自己的一種跡象。
Kohtz說,如果一個接受調查的人避免直接回答有關他或者她參與數據突破事件的直接問題時,要以不同的方式再一次提出這個問題。大多數人都是在第二次提問時回答問題。因此,要重復提出這個問題。如果需要的話,可以第三次提出這個問題以便得到答案。要有耐心。
如果你的內部威脅嫌疑人用“我知道的就這么多”這句話來結束口頭調查,你可以試驗一下“故事倒敘”的技術。Kohtz說,讓他們以倒過來的順序重新講述一下這個故事。你問他關于他記住的最后的時間點之前發生了什么事情,然后那個事情之前又發生了什么,等等。這個技術能夠顯示這個主題故事中的矛盾。如果他們說的是實話,所有的主要事件和里程碑應該是一樣的。
根據調查人員在這個案子中的角色,有時候口頭調查變成了盤問。這需要采取另一種技巧。一般是提出4、5個切中要害的、要求快速回答的問題。撒謊的人一般反應速度都不快。每一個人第一次都會說他們沒有做那個事。
Kohtz說,叫這個人的名字,他會把頭轉過來看著你。然后,如果你要讓他坦白的話,你講話的速度要比他的速度快。你要縮小這個對象參與的責任,這樣他們很容易承認說“是我干的”。
