根據(jù)注冊欺詐審核師協(xié)會(ACFE)的《Report to the Nations》報(bào)告顯示，每年企業(yè)因欺詐損失5%的收益。大多數(shù)欺詐者在為其雇主工作多年后才開始進(jìn)行數(shù)據(jù)盜竊。

雖然網(wǎng)絡(luò)欺詐只是內(nèi)部威脅的一部分，ACFE成員Anyck Turgeon認(rèn)為探討這個問題更為有意義。M-CAT Enterprises和The Fraud研究所創(chuàng)辦人兼首席執(zhí)行官Turgeon表示：“如果安全專業(yè)人員繼續(xù)談?wù)撈墼p，而沒有適當(dāng)?shù)呐嘤?xùn)、認(rèn)證和實(shí)踐經(jīng)驗(yàn)，并且金融專業(yè)人員繼續(xù)使用不同的術(shù)語，內(nèi)部威脅基本上無法避免。”

Turgeon是專注于網(wǎng)絡(luò)欺詐和洗黑錢的網(wǎng)絡(luò)安全數(shù)據(jù)科學(xué)家。曾在哈佛大學(xué)、加州大學(xué)伯克利分校、德克薩斯大學(xué)奧斯汀McCombs商學(xué)院以及甲骨文大學(xué)和McAfee研究所等組織參加廣泛的教育培訓(xùn)。在Turgeon在準(zhǔn)備發(fā)布網(wǎng)絡(luò)FRAML(欺詐和反洗錢)字典時，Marcus Ranum對她進(jìn)行了采訪。她稱，這本字典是首開先河。

感謝您抽出寶貴的時間來與我談?wù)撚?jì)算機(jī)安全領(lǐng)域的內(nèi)部威脅問題。我們都聽說過‘80%的攻擊來自內(nèi)部’，但我知道的事實(shí)是，這個統(tǒng)計(jì)數(shù)據(jù)是在行業(yè)發(fā)展初期的一次會議上由某個人突然提出。我們真正了解內(nèi)部攻擊的危害程度嗎?

Anyck Turgeon：在納秒級處理、背景感知安全、社會階層重新分配(中產(chǎn)階級消失)以及不安全互聯(lián)設(shè)備帶來挑戰(zhàn)的時代，我們很容易預(yù)測，內(nèi)部威脅不只是今天的挑戰(zhàn)，也會是未來的噩夢。

我看到很多人都拒絕接受這個事實(shí)，特別是被騙的受害者--他們在失業(yè)、破產(chǎn)以及無家可歸后打電話給我，這讓我很震驚。如果目前的技術(shù)可以抵御網(wǎng)絡(luò)欺詐，如果數(shù)據(jù)泄露無關(guān)緊要，那么，為什么每年三分之一的人都會受到欺詐的影響?

讓我非常痛苦的事實(shí)是，在很多銷售反欺詐和反洗錢解決方案的技術(shù)公司，沒有人是合格的注冊欺詐審核師、注冊反洗錢專家或注冊金融犯罪調(diào)查員，他們也沒有成功解決欺詐問題的實(shí)踐經(jīng)驗(yàn)。(我非常清楚地知道很多大型企業(yè)和個人在發(fā)布不符合實(shí)際情況的營銷統(tǒng)計(jì)數(shù)據(jù)。)為了扭轉(zhuǎn)這一趨勢，下面讓我們看看ACFE最新的《Report to the Nations》報(bào)告中一些令人震驚的統(tǒng)計(jì)數(shù)據(jù)：

• 42%的專業(yè)欺詐由員工執(zhí)行

• 36%的欺詐由中層管理人員執(zhí)行

• 只有5%的欺詐者此前因欺詐有關(guān)的罪行而被判定有罪

• 58%的受害企業(yè)無法恢復(fù)因欺詐造成的任何損失

• 只有14%的欺詐受害者可以完全恢復(fù)

• 只有3%的欺詐在傳統(tǒng)外部審計(jì)中被檢測到

有趣的是，在大多數(shù)專業(yè)欺詐中，至少有一位高管(通常是CFO和/或CEO)或者董事會成員作為沉默的觀察者或者作為有利的幫兇。對于更廣泛的安全泄漏事故(IP盜用、網(wǎng)絡(luò)勒索或被盜身份信息轉(zhuǎn)售)，我還注意到各種內(nèi)部威脅代理。

我覺得內(nèi)部數(shù)據(jù)泄露或網(wǎng)絡(luò)欺詐是一個巨大的問題，安全領(lǐng)域沒有人在這方面真正擁有實(shí)踐經(jīng)驗(yàn)，如果能提供幾個真實(shí)故事(當(dāng)然不涉及客戶具體情況)就好了。你能否給企業(yè)提供一些建議來幫助他們應(yīng)對這種情況嗎?

Turgeon：首先，作為技術(shù)人員，我能體會我的同行可能感覺我所說的有些‘風(fēng)牛馬不相及’，因?yàn)榫W(wǎng)絡(luò)欺詐畢竟只是內(nèi)部威脅的一部分。然而，只要安全專業(yè)人員繼續(xù)談?wù)撈墼p，而沒有適當(dāng)?shù)呐嘤?xùn)、認(rèn)證和實(shí)踐經(jīng)驗(yàn)，并且金融專業(yè)人員繼續(xù)使用不同的術(shù)語，內(nèi)部威脅基本上無法避免。因此，我團(tuán)隊(duì)的專家會審查公司的財(cái)務(wù)情況，并進(jìn)行欺詐比率分析，取證數(shù)據(jù)泄露事故蹤跡和合規(guī)性報(bào)告指標(biāo)經(jīng)常表明企業(yè)的不同部門就像航行在完全不同海域的船舶。

從我們正在制定與內(nèi)部威脅相關(guān)的網(wǎng)絡(luò)風(fēng)險(xiǎn)指標(biāo)的方式來看，我看到存在很多挑戰(zhàn)。

通常情況下，IT安全人員和相關(guān)的第三方(例如審計(jì)人員和欺詐審核師)在執(zhí)行多項(xiàng)任務(wù)，包括背景調(diào)查、攻擊取證、IT安全做法的法庭專家證詞，而他們并沒有獲得相關(guān)許可證。雖然我不認(rèn)同現(xiàn)有的規(guī)定(即考試與IT安全無關(guān))，我發(fā)現(xiàn)很有意思的是，大多數(shù)IT安全CISSP和風(fēng)險(xiǎn)管理從業(yè)人員要求每年完成一定量的道德培訓(xùn)以更新其認(rèn)證。然而，他們并不會進(jìn)行IT安全合規(guī)考核。

IT安全專業(yè)人員會進(jìn)行協(xié)作，并在Madoff旁氏騙局中被判有罪，他們通常可能是有利的幫兇。從這一點(diǎn)來看，監(jiān)管機(jī)構(gòu)應(yīng)該通過更高的標(biāo)準(zhǔn)來教導(dǎo)以及確保遵守法律，包括要求專業(yè)人士獲得許可證等。

還有很多‘鞋匠的孩子上學(xué)不穿鞋’的其他例子。然而，只要大多數(shù)安全從業(yè)人員不遵守這些要求，我們怎么能指望他們提供有關(guān)企業(yè)IT安全狀態(tài)的可靠的統(tǒng)計(jì)數(shù)據(jù)呢?鑒于目前的安全狀況，我認(rèn)為我們需要將教育責(zé)任轉(zhuǎn)移到更大更有影響力的群眾(例如投資者和消費(fèi)者)，這樣網(wǎng)絡(luò)安全最終會作為全面的挑戰(zhàn)來應(yīng)對，而不是現(xiàn)在這種狀況。

當(dāng)我們向企業(yè)展示網(wǎng)絡(luò)黑市中有關(guān)其客戶、員工和投資者的有效用戶ID、密碼、安全問題和答案的數(shù)量時，很多企業(yè)都感到震驚。如果企業(yè)專注于4%的常規(guī)互聯(lián)網(wǎng)，那么，風(fēng)險(xiǎn)報(bào)告統(tǒng)計(jì)數(shù)據(jù)將無法評估其企業(yè)數(shù)據(jù)泄露的實(shí)際情況以及確定數(shù)據(jù)泄露事故真正的長期成本。

我發(fā)現(xiàn)有些員工會竊取其雇主的數(shù)字資產(chǎn)來偷偷地幫自己支付網(wǎng)絡(luò)贖金以及保護(hù)自己的寶貴資產(chǎn)。很少企業(yè)會報(bào)告其數(shù)字資產(chǎn)的財(cái)務(wù)評估企業(yè)數(shù)據(jù)的價值是什么。

由于識別錯誤分配資金往往需要網(wǎng)絡(luò)欺詐、洗黑錢和企業(yè)財(cái)務(wù)專業(yè)知識，我經(jīng)常接到CISO的電話稱他們發(fā)現(xiàn)了數(shù)據(jù)泄露或攻擊，但不知道如何管理以下問題：

• 確定遇到的具體問題;

• 解決各種挑戰(zhàn)(民事、刑事、軍事、國際法庭、行政法院或使用其他方法)--律師往往無法應(yīng)對多個法庭，并且很多挑戰(zhàn)最好進(jìn)行談判;

• 確保恢復(fù)其資產(chǎn);

• 管理不同國家的執(zhí)法機(jī)構(gòu)的調(diào)查;

• 盡量減少危機(jī)管理中的企業(yè)責(zé)任

雖然執(zhí)法部門可以發(fā)揮關(guān)鍵的作用，但我們很少會看到受害者為所有未來損失得到賠償?？紤]一下心懷不滿的員工將你客戶和員工個人信息放在黑市轉(zhuǎn)售。你的IT安全團(tuán)隊(duì)可能能夠發(fā)現(xiàn)服務(wù)器泄露，并通過更高防火墻配置來阻止泄露。但對黑市正在進(jìn)行的交易進(jìn)行調(diào)查需要并行完成。

鑒于目前的重點(diǎn)是核查和預(yù)防，而不是協(xié)作解決，我們需要教育公眾，讓他們對IT安全有基本認(rèn)識。只要投資界繼續(xù)關(guān)注“零威脅滲透”方法，決策者選擇穩(wěn)住其職位的做法，背景感知情報(bào)、交換虛擬分區(qū)和液體計(jì)算帶來真正威懾所需要的創(chuàng)新將會停滯不前。

你以前做過網(wǎng)絡(luò)欺詐調(diào)查。你認(rèn)為網(wǎng)絡(luò)欺詐和內(nèi)部攻擊是同一件事情還是一個問題的不同方面呢?對于我來說，這種區(qū)別相當(dāng)于‘授權(quán)人員做未經(jīng)授權(quán)事情’與‘外部未經(jīng)授權(quán)人員竊取授權(quán)用戶的登錄憑證’。

Turgeon：作為注冊欺詐審核師、注冊委員會顧問和注冊CISO，欺詐被定義為‘非法或刑事欺騙以獲取財(cái)務(wù)或個人利益。’正如ACFE的統(tǒng)計(jì)數(shù)據(jù)所顯示，欺詐可能由內(nèi)部人員以及外部人員執(zhí)行，他們可以是授權(quán)人員，也可以是非授權(quán)人員，但都在做未經(jīng)授權(quán)的事情。

從計(jì)算機(jī)技術(shù)的角度來看，我將內(nèi)部攻擊定義為由具有授權(quán)系統(tǒng)訪問的人滲透網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)執(zhí)行的惡意攻擊。在這種情況下，授權(quán)以及未經(jīng)授權(quán)人員(例如使用授權(quán)用戶登錄憑證的外部人員)獲取對寶貴私人和企業(yè)資產(chǎn)的訪問權(quán)限。此外，內(nèi)部威脅也可能涉及物理綁架、企業(yè)污損和股市停盤等活動。對我來說，主要的區(qū)別是意圖和獲得的東西。

為了合法地解決這些問題，舉證的責(zé)任比對內(nèi)部威脅的指控更具挑戰(zhàn)性。但基于大多數(shù)法官和律師對計(jì)算機(jī)的認(rèn)識，在欺詐的案件中，更容易確保定罪。有趣的是，我的驚訝是，欺詐案件通常會以庭外解決和辯訴交易結(jié)束，而當(dāng)涉及更嚴(yán)重的判刑(例如坐牢)時，網(wǎng)絡(luò)安全指控才會在法庭解決。

當(dāng)然，作為CISSP、CPP和CIPP，我可以證明在定義這些術(shù)語時會有很多混淆。通常情況下，不同安全領(lǐng)域的專業(yè)人士可能會使用相同的術(shù)語，但有不同的含義。當(dāng)法官、律師、企業(yè)高管、董事會成員和投資者參與進(jìn)來后，事情會變得更加復(fù)雜。這也是為什么我花了五年時間研究不同學(xué)科以及編寫網(wǎng)絡(luò)FRAML字典的原因，該字典將解決這些實(shí)質(zhì)性的差異，并提供術(shù)語和解。在從懷疑到調(diào)查、檢查、發(fā)現(xiàn)、分析、解決、審計(jì)和破壞等階段，這將讓我們所有人進(jìn)行良好的溝通。

為有效溝通安全事故的程度，我們應(yīng)該把重點(diǎn)放在哪里?在我看來，安全行業(yè)媒體通常會專注‘信用卡泄露數(shù)量’或‘個人數(shù)據(jù)泄露數(shù)量’，但這并不是重點(diǎn)。這些數(shù)據(jù)并沒有真正告訴我們事情的嚴(yán)重程度，并且，這會讓人們繼續(xù)使用密碼和信任不值得信任的服務(wù)。你前面提到企業(yè)會損失5%的收益，這是很大一筆錢。我常說，新聞媒體應(yīng)該談?wù)撌∧Ｊ剑浩髽I(yè)未能執(zhí)行特權(quán)訪問管理的另一個數(shù)據(jù)泄露事故。但這對于非技術(shù)人員有些難。

Turgeon：每當(dāng)我看到電視記者談?wù)撍麄兺耆珱]有相關(guān)知識的話題時，我都會很崩潰，我感覺我們需要開始考慮技術(shù)使用許可。正如我們需要基本了解法律和運(yùn)輸標(biāo)準(zhǔn)才能開車一樣，我們是不是也應(yīng)該確保大家基本了解技術(shù)，當(dāng)安全事故發(fā)生時，我們可以通過情景化解決方案來解決危機(jī)。雖然這在近期不會成為現(xiàn)實(shí)，但現(xiàn)在應(yīng)該開始架構(gòu)情景化，讓預(yù)防和解決問題之間的巨大差距最終可以最小化。

我們還需要解決對網(wǎng)絡(luò)通信的網(wǎng)絡(luò)道德問題。在接下來的文章中，我會進(jìn)一步強(qiáng)調(diào)針對網(wǎng)絡(luò)攻擊進(jìn)行教育通信的重要性，以及總結(jié)過去網(wǎng)絡(luò)戰(zhàn)行動中遇到的通信挑戰(zhàn)問題。

最后，正如天氣和體育新聞是大多數(shù)新聞節(jié)目的一部分，我們需要所有媒體涵蓋技術(shù)教育。隨著物聯(lián)網(wǎng)的出現(xiàn)，我們更迫切地需要部署不同層次的網(wǎng)絡(luò)教育，讓我們最終能夠解決目前方式的錯誤。