在當(dāng)今的信息安全環(huán)境中，我們經(jīng)常聽到來自外部攻擊者(例如有組織的犯罪和國(guó)家)的高級(jí)持續(xù)威脅然而，信息安全從業(yè)人員還需要擔(dān)心內(nèi)部威脅。這種威脅關(guān)系到那些能訪問組織數(shù)據(jù)、文件和IT系統(tǒng)的員工、承包商或是分包商，他們可能心懷不滿或是感覺“有責(zé)任”來偷取有價(jià)值的知識(shí)產(chǎn)權(quán)信息。他們的動(dòng)機(jī)可能有所不同，從政治原因到個(gè)人忿怒、或是單純的貪婪。

本文提供了廣泛的總結(jié)，涉及內(nèi)部威脅及內(nèi)部威脅檢測(cè)最佳方法的關(guān)鍵問題。企業(yè)可能需要更新一些公司策略和實(shí)踐來更好地保護(hù)IT系統(tǒng)及知識(shí)產(chǎn)權(quán)資產(chǎn)。

內(nèi)容目錄

內(nèi)部威脅的類別

如何識(shí)別高風(fēng)險(xiǎn)的員工

數(shù)據(jù)是如何被竊取并拿走的?

如何應(yīng)對(duì)增長(zhǎng)的內(nèi)部威脅風(fēng)險(xiǎn)

解決內(nèi)部威脅風(fēng)險(xiǎn)的實(shí)際方法

內(nèi)部威脅的類別：

據(jù)卡耐基梅隆大學(xué)的CERT內(nèi)部威脅中心(該中心提供關(guān)于內(nèi)部威脅的全面和權(quán)威的研究結(jié)果)以及我的個(gè)人經(jīng)驗(yàn)來說，內(nèi)部威脅的關(guān)鍵類別包括下述內(nèi)容：

蓄意破壞IT系統(tǒng)——破壞公司的IT系統(tǒng)或是偷取IT資產(chǎn)(例如偷取源代碼、私有程序等等)來進(jìn)行報(bào)復(fù)。

業(yè)務(wù)優(yōu)勢(shì)驅(qū)動(dòng)——員工或是承包商偷竊公司的數(shù)據(jù)以便在他們新的雇主那里擁有優(yōu)勢(shì)，后者通常是公司的競(jìng)爭(zhēng)對(duì)象、或是計(jì)劃在他們開始的新業(yè)務(wù)上獲得優(yōu)勢(shì)的雇主。

經(jīng)濟(jì)利益驅(qū)動(dòng)——這種類型犯罪通常涉及到欺詐，例如竊取社會(huì)保險(xiǎn)號(hào)、信用卡和CVV編號(hào)等信息，掙錢是首要目標(biāo)。

商業(yè)間諜活動(dòng)——主要的動(dòng)機(jī)是為別的公司或國(guó)家做間諜，并且為了政治上的利益直接將偷取的資產(chǎn)給“敵人”;在此類案例中也經(jīng)常涉及到金錢，這把我們又帶回到了經(jīng)濟(jì)利益驅(qū)動(dòng)類型。

如何識(shí)別高風(fēng)險(xiǎn)的員工

為什么公司的內(nèi)部人員想竊取數(shù)據(jù)、程序、源代碼、銷售策略等信息呢?動(dòng)機(jī)通常是主要由兩個(gè)本能的問題所驅(qū)使：自我和貪婪。

識(shí)別高風(fēng)險(xiǎn)員工的最佳做法是觀察他們的行為。他們敵視他們的上司和同事嗎?他們?cè)诼殭?quán)方面有沖突嗎?他們的工作表現(xiàn)有下滑、或他們遲到或缺席比平時(shí)多嗎?在正常的工作時(shí)間之外，是否有他們?nèi)魏芜^度的工作、或是網(wǎng)絡(luò)上活動(dòng)的證據(jù)?

同樣對(duì)于經(jīng)濟(jì)利益驅(qū)動(dòng)類型來說，員工是否欠債累累?他們是否在濫用毒品?他們是否開新的、昂貴的汽車，或是通過穿戴珠寶、昂貴的服裝，甚至是昂貴的小玩意來炫耀?這些可能是暴露真相的跡象，他們可能是潛在的竊取數(shù)據(jù)的內(nèi)部威脅人員。

誰造成最大的風(fēng)險(xiǎn)?內(nèi)部威脅心理學(xué)

以下類型的員工、承包商和分包商應(yīng)引起企業(yè)的關(guān)注。尋找以下特征，將其作為你進(jìn)行員工風(fēng)險(xiǎn)評(píng)估的一部分：

心懷不滿的員工——這些通常是感覺自己不被尊重的員工，可能是由于錯(cuò)過期望的薪水提升機(jī)會(huì)，或是在個(gè)人利益、休息時(shí)間、降職、職位調(diào)動(dòng)或是其它類似的問題上與管理者發(fā)生負(fù)面沖突。在這種情況下，報(bào)復(fù)是員工的動(dòng)機(jī)。

尋求利益的員工——對(duì)于許多人來說這是簡(jiǎn)單的動(dòng)機(jī)。他們?yōu)榱诵剿ぷ鳎欢ㄟ^竊取信息他們能售賣偷到的信息給有組織的罪犯、或是修改數(shù)據(jù)來竊取別人的身份從而獲得更多的錢。對(duì)員工來說，這些信息很容易訪問并竊取，再加上偷竊行為可能被合理化，因?yàn)閻阂獾膬?nèi)部人員可能對(duì)自己說“公司也不會(huì)覺察到”。這種情況下，個(gè)人動(dòng)機(jī)可能包括大型的金融，或是與毒品相關(guān)的債務(wù)。

員工打算跳到競(jìng)爭(zhēng)對(duì)手那里或是自己創(chuàng)業(yè)——對(duì)于打算在同一領(lǐng)域自己創(chuàng)業(yè)的人來說，竊取客戶名單、商業(yè)計(jì)劃、甚至是簡(jiǎn)單的表格或是模版都很有誘惑力的。此外，想象一下員工離開公司為競(jìng)爭(zhēng)對(duì)手工作?？赡芨?jìng)爭(zhēng)對(duì)象已經(jīng)暗示員工，在入職時(shí)信息的交換能讓他得到更好的位置。

認(rèn)為他們自己擁有源代碼或是產(chǎn)品——在這種情況下，員工對(duì)于他們寫的源代碼或是開發(fā)的產(chǎn)品有一種擁有權(quán)的感覺。因此他們帶走源代碼用于未來或是下一份工作使用。

據(jù)CERT內(nèi)部威脅研究中心的研究，對(duì)于內(nèi)部人員威脅/偷竊來說造成最大風(fēng)險(xiǎn)的員工包括技術(shù)職員，如工程師和科學(xué)家，管理人員，銷售人員和程序員。雇主應(yīng)特別關(guān)注那些在部署的IT系統(tǒng)上擁有管理員權(quán)限或是特定用戶的員工。這些員工了解系統(tǒng)的強(qiáng)處和弱點(diǎn)。他們可能是“心懷不滿的怪人”在系統(tǒng)內(nèi)植入邏輯炸彈或是破壞數(shù)據(jù)，這些造成的問題直到他們離開公司數(shù)月或是數(shù)年后才會(huì)被發(fā)現(xiàn)。#p#

數(shù)據(jù)是如何被竊取并被帶走的?

一旦數(shù)據(jù)、源代碼或是知識(shí)產(chǎn)權(quán)被竊取，必須被轉(zhuǎn)移到一個(gè)能夠?qū)嵤﹩T工計(jì)劃的地方。以下是途徑列表，用于提取將被惡意使用的信息：

電子郵件——對(duì)于小于10GB的數(shù)據(jù)來說，電子郵件是最簡(jiǎn)單的傳輸方法。員工可能使用公司的郵件將信息發(fā)送到個(gè)人或是同伙的郵箱賬戶。此外，web郵箱(網(wǎng)頁郵箱)可以被用來訪問個(gè)人的郵箱賬戶并且郵寄數(shù)據(jù)給別的賬戶。當(dāng)然，數(shù)據(jù)可能需要發(fā)送給別的目標(biāo)如某個(gè)國(guó)家，所以郵件服務(wù)能再次用于直接給目標(biāo)發(fā)送數(shù)據(jù)，或是通過個(gè)人郵箱賬戶發(fā)送給目標(biāo)的國(guó)家或有組織的罪犯。

文件傳輸協(xié)議(FTP)——竊取的數(shù)據(jù)可以上傳到由員工、或是目標(biāo)罪犯建立的某個(gè)FTP站點(diǎn)。對(duì)于更大的文件這是最佳的方法。

可移動(dòng)媒介——隨著可移動(dòng)媒體設(shè)備的普及，這是從雇主的系統(tǒng)中帶走數(shù)據(jù)最容易的方法。USB驅(qū)動(dòng)器、CD/DVD燒錄器、移動(dòng)硬盤、內(nèi)存卡、便攜式音樂播放器甚至于手機(jī)都能用來拷貝信息并帶出辦公室。偷偷摸摸地使用物理存儲(chǔ)意味著信息可能被郵寄給員工或是壞人。

移動(dòng)設(shè)備——下載信息到公司配備的便攜電腦或是員工自己的智能手機(jī)、平板電腦、或是其它移動(dòng)設(shè)備上，是另外一種拷貝數(shù)據(jù)并且?guī)ё叩氖侄巍?/p>

遠(yuǎn)程訪問——遠(yuǎn)程訪問公司的網(wǎng)絡(luò)是另一種訪問網(wǎng)絡(luò)以便竊取信息的方式。在CISO分配給我的某個(gè)任務(wù)中，一名員工在他的家里搭建自己的SSH服務(wù)器，并且能夠遠(yuǎn)程地連接到公司網(wǎng)絡(luò)、或是反向連接到他的服務(wù)器來帶走數(shù)據(jù)。他是公司的“技術(shù)發(fā)燒友”之一，所以技術(shù)上他是精湛的，并且知道為了他的目標(biāo)如何打開端口、建立服務(wù)等等。

紙張——打印數(shù)據(jù)和復(fù)印知識(shí)產(chǎn)權(quán)是一種快速、簡(jiǎn)單的收集數(shù)據(jù)并帶走數(shù)據(jù)的方法。

拍攝和截屏——在辦公室手機(jī)照相機(jī)已經(jīng)泛濫。除非系統(tǒng)規(guī)定阻攔，員工能夠進(jìn)行簡(jiǎn)單的屏幕拍攝并且隨后離線郵寄或是下載。

諸如即時(shí)信息、或是短消息服務(wù)(SMS)的方法也可能包括在上述列表中。不要忘記加密是很容易實(shí)施的方式。免費(fèi)工具諸如TrueCryt能夠使用AES、Serpent、Twofish或是組合的算法加密數(shù)據(jù)，因此防止員工看到竊取的信息。

如何應(yīng)對(duì)增長(zhǎng)的內(nèi)部威脅風(fēng)險(xiǎn)

公司需要持續(xù)關(guān)注內(nèi)部威脅。即使是在最好的公司，也存在員工的人力資源問題。然而當(dāng)宣布人員解雇或是解聘時(shí)，管理層應(yīng)該特別警惕內(nèi)部偷竊行為。同樣，如果好幾個(gè)員工打算跳槽到正在積極地招聘、或是打算進(jìn)入公司業(yè)務(wù)領(lǐng)域的競(jìng)爭(zhēng)對(duì)手那里怎么辦?如果一組承包商完成了他們的工作并且打算離開該怎么辦?那些懷有怒氣并且感覺他們的權(quán)利被侵犯的不滿員工怎么應(yīng)對(duì)?這些情形都應(yīng)該引起對(duì)內(nèi)部威脅的警惕立場(chǎng)。

記得提早建立一個(gè)管理內(nèi)部威脅問題的計(jì)劃。早在威脅發(fā)生前應(yīng)該采取下面這些步驟：

1.確保組織遵守聯(lián)邦和各州的法律和規(guī)章關(guān)于隱私權(quán)、個(gè)人權(quán)利等。在歐盟的讀者要確保組織遵守歐盟的隱私要求。

2.讓董事會(huì)管理層包括CEO，以及其他團(tuán)隊(duì)包括IT、信息安全、隱私、物理安全、法律和人力資源的管理層參與進(jìn)來。使他們意識(shí)到任何隱約出現(xiàn)或是可能的威脅(可能的話讓他們閱讀本文!)。

3.決定恰當(dāng)?shù)臅r(shí)間來讓外部顧問、法律執(zhí)行機(jī)構(gòu)、FBI、秘密服務(wù)等介入。無論這些團(tuán)體是否遲早晚要參與進(jìn)來，或者如果是正在執(zhí)行任何聯(lián)邦的敏感工作永遠(yuǎn)不會(huì)取決于公司的合同。

據(jù)CERT內(nèi)部威脅中心進(jìn)行的研究，IT系統(tǒng)最可能發(fā)生內(nèi)部偷竊/惡意破壞的時(shí)間是在員工離職的30天內(nèi)。因此可能需要額外的關(guān)注包括使用技術(shù)上的監(jiān)控手段(例如日志)以及行為監(jiān)控，它們?cè)谶@個(gè)期間內(nèi)是恰當(dāng)?shù)摹?p#

解決內(nèi)部威脅風(fēng)險(xiǎn)的實(shí)用方法

對(duì)于大多數(shù)的信息安全方法來說，需要實(shí)施分層防御手段來減少內(nèi)部威脅的發(fā)生。技術(shù)上，可以用先進(jìn)的日志及日志過濾技術(shù)來監(jiān)控高風(fēng)險(xiǎn)的員工。要監(jiān)控的活動(dòng)包括傳輸或是郵寄的大文件，給競(jìng)爭(zhēng)對(duì)手的郵件、發(fā)往他們個(gè)人郵箱地址的大量郵件和文件，以及發(fā)往不合情理的國(guó)家或是異常站點(diǎn)的文件。

對(duì)于此類監(jiān)控行為必須再次重申，所有的活動(dòng)需要遵守法律規(guī)定。

以下是組織內(nèi)不同部門的其它工作思路的列表，能夠用于保護(hù)組織的數(shù)據(jù)免于內(nèi)部威脅：

人力資源部門

對(duì)所有可能的員工、承包商和分包商進(jìn)行背景檢查。確保包括工作經(jīng)歷驗(yàn)證、犯罪記錄檢查以及相關(guān)的推薦人驗(yàn)證。

對(duì)于任何將要處理金錢、金融設(shè)備、高價(jià)值資產(chǎn)等等的員工進(jìn)行信用檢查。坦率地說，隨著所有人關(guān)注我們艱難的經(jīng)濟(jì)，對(duì)新員工、承包商、分包商進(jìn)行信用檢查也許是有用的審核過程。這能確保新員工不是高風(fēng)險(xiǎn)的，因?yàn)樗麄兘^對(duì)不會(huì)需要金錢來還債。

監(jiān)控異常的財(cái)務(wù)狀態(tài)變化

為監(jiān)督人/經(jīng)理以及員工建立關(guān)于內(nèi)部威脅的定期培訓(xùn)機(jī)制，并且培訓(xùn)秘密地報(bào)告可疑行為或是個(gè)人的方法。

監(jiān)控并報(bào)告搗亂的或是可疑的活動(dòng)。甚至在雇用期間對(duì)涉及任何破壞行為的人進(jìn)行背景檢查。

對(duì)可能影響工作場(chǎng)所的負(fù)面消息或是謠言提前采取行動(dòng)并管理。

一旦雇用關(guān)系中止，則禁用員工的計(jì)算機(jī)訪問和遠(yuǎn)程訪問。值得注意的是，一些公司一旦收到辭職申請(qǐng)后就立刻禁用計(jì)算機(jī)訪問，以便更好地保護(hù)數(shù)據(jù)和系統(tǒng)免于傷害。

制定內(nèi)部威脅事件的應(yīng)急預(yù)案。這可能是你的工作場(chǎng)所破壞計(jì)劃中的一部分。

報(bào)告外部人員在工作場(chǎng)所的可疑聯(lián)系。這可能是有組織的罪犯或是間諜代理人在收集/移動(dòng)數(shù)據(jù)或資金。

管理部門

創(chuàng)建清晰明了的文檔并強(qiáng)制執(zhí)行策略、流程以及控制措施來防范內(nèi)部偷竊/威脅。

強(qiáng)制執(zhí)行職責(zé)分離和最小權(quán)限。不允許員工訪問沒有理由查看、獲取或是下載的信息。同樣，確保財(cái)務(wù)上的任務(wù)是分隔開來的，例如保持對(duì)應(yīng)付賬款和應(yīng)收賬款的訪問是分隔和不同的。簡(jiǎn)單來說，組織不想讓某人根據(jù)以欺騙手段寫的賬單來開發(fā)票。

?限制使用便攜媒體，或是在某些環(huán)境下禁止使用。

提醒員工——并且讓他們簽署確認(rèn)聲明：他們創(chuàng)建、管理、使用的知識(shí)產(chǎn)權(quán)屬于公司而不是員工。

審計(jì)關(guān)鍵的行為(例如支票和支付準(zhǔn)備工作以及郵件)，并且審計(jì)任何可能用于操縱帶走資金的異常過程。

對(duì)IT資產(chǎn)和數(shù)據(jù)實(shí)施并強(qiáng)制執(zhí)行恰當(dāng)?shù)氖褂貌呗浴?qiáng)調(diào)對(duì)敏感或是有價(jià)值的信息進(jìn)行恰當(dāng)?shù)奶幚砗凸芾怼?/p>

技術(shù)實(shí)踐

從技術(shù)上限制員工只能訪問系統(tǒng)上完成工作需要的文件和數(shù)據(jù)。

最小化或是限制管理員的權(quán)限，并且不使用共享的用戶名和密碼。

記錄、監(jiān)控和審計(jì)員工線上的行為。同樣要確保此類活動(dòng)的合法性。

實(shí)施安全備份和恢復(fù)機(jī)制，并且確保備份數(shù)據(jù)沒有被破壞。

阻攔對(duì)個(gè)人郵箱、web郵箱和競(jìng)爭(zhēng)對(duì)象郵箱的訪問。

自動(dòng)標(biāo)識(shí)不匹配的數(shù)據(jù)(例如給某公司的付款與發(fā)票的數(shù)額)。

未來的挑戰(zhàn)

我們必須面對(duì)的事實(shí)是，內(nèi)部威脅可以(很可能已經(jīng))在每個(gè)企業(yè)內(nèi)發(fā)生。隨著不斷增長(zhǎng)的業(yè)務(wù)競(jìng)爭(zhēng)全球化本質(zhì)，內(nèi)部威脅挑戰(zhàn)的增長(zhǎng)不會(huì)讓我感到驚訝，同樣還有對(duì)于我們的IT系統(tǒng)來說，不斷增長(zhǎng)的外部信息安全威脅。組織必須始終保持對(duì)內(nèi)部威脅的警惕，包括為系統(tǒng)不可避免的風(fēng)險(xiǎn)制定計(jì)劃。熟知這些風(fēng)險(xiǎn)，并為這種可能性做好準(zhǔn)備，良好的組織將受益于知曉如何快速地響應(yīng)，以便減少或是防范內(nèi)部威脅的發(fā)生。

【編輯推薦】

1. 如何高效地執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估
2. 如何簡(jiǎn)化企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估工作
3. 內(nèi)部威脅檢測(cè)的監(jiān)測(cè)策略
4. 信息安全風(fēng)險(xiǎn)評(píng)估需注重細(xì)化威脅