“Insider threat”是個什么鬼?

[[193648]]

“Insider Threat”就是來自機構(gòu)的“內(nèi)鬼”。“內(nèi)鬼”通常是來自機構(gòu)的員工、前雇員、承包商或者服務(wù)提供商，這些人有機會訪問機構(gòu)內(nèi)部的涉密業(yè)務(wù)、數(shù)據(jù)和計算機信息系統(tǒng)。這種威脅通常涉及涉密信息或者有價值的商業(yè)信息的竊取和欺詐，以及知識產(chǎn)權(quán)的竊取和計算機系統(tǒng)的破壞。美國國防高級研究計劃局(DARPA)把“網(wǎng)絡(luò)內(nèi)鬼”稱為CINDER(Cyber-Insider Threat)，并專門立項研發(fā)用于美軍網(wǎng)絡(luò)“內(nèi)鬼”的檢測新方法。盡管有人將內(nèi)部員工無意識的過錯也歸類于Insider threat，但無疑“內(nèi)鬼”的威脅來得更大。

古今中外都對“內(nèi)鬼”痛之入骨，也從來不缺少“內(nèi)鬼”的案例。隨著市場經(jīng)濟和信息化的快速發(fā)展，“內(nèi)鬼”也出現(xiàn)上升的趨勢。美國比較有名的“內(nèi)鬼”有：美國得州胡德堡軍事基地槍擊案兇手心理醫(yī)生哈桑(Robert-Hanssen)、前蘇聯(lián)間諜美中央情報局反情報人員埃姆斯(Aldrich-Ames)、古巴間諜美國防情報局高級分析師安娜，近年來有名的“內(nèi)鬼”有曼寧和斯諾登，按照DARPA的提法，這兩個八零后小伙子屬于“網(wǎng)絡(luò)內(nèi)鬼CINDER”。

[[193649]]

[[193650]]

“內(nèi)鬼”防范計劃

“維基解密事件”中的曼寧曾是美國陸軍上等兵，他利用職務(wù)之便，下載了二十五萬份美國政府的機密資料，轉(zhuǎn)交給“維基解密”網(wǎng)站。該事件促使2011年奧巴馬總統(tǒng)簽發(fā)第13587號總統(tǒng)令，專門成立內(nèi)部威脅特別工作組(Insider Threat Task Force)，專門研究和實施“內(nèi)鬼”檢測和防御計劃，計劃內(nèi)容包括整合各機構(gòu)的安全、反間諜、用戶審計和監(jiān)控等能力，研究開發(fā)新的政策、目標(biāo)和重點項目。

[[193651]]

[[193652]]

DARPA防“內(nèi)鬼”的科研項目

早在13587號總統(tǒng)令之前，DARPA就前瞻資助了一個為期2年“多尺度異常檢測(ADAMS)”項目，預(yù)算3500萬美元。該計劃希望能夠提前檢測和防止“內(nèi)鬼”的行為，比如“有殺人狂或自殺傾向”“內(nèi)部人惡意報復(fù)”“雇員濫用職權(quán)泄密”等。其中有一個名為“利用圖形分析研究主動發(fā)現(xiàn)內(nèi)部威脅(PRODIGAL-PROactive Detection of Insider Threats with Graph Analysis and Learning)”的課題，該課題主要研究利用大規(guī)模數(shù)據(jù)集檢測和發(fā)現(xiàn)異常特征與行為的新技術(shù)，數(shù)據(jù)集包括用戶電子郵件、文本信息、登錄、文件傳輸和軍事網(wǎng)絡(luò)瀏覽等信息。PRODIGAL每天可以掃描約250萬份電子郵件、即時消息和文件傳輸，可幫助政府官員在信息泄露前尋找到泄密人員。真正促使DARPA開展此項研究的起因是美國得州胡德堡軍事基地槍擊案兇手哈桑、前蘇聯(lián)間諜埃姆斯和古巴間諜安娜，而“維基解密”事件的發(fā)生和曼寧、斯諾登的出現(xiàn)，也證明了該研究項目的必要性。

抓“內(nèi)鬼”其實很難

“內(nèi)鬼”出事后，通常證據(jù)痕跡看起來顯而易見，而事前抓住這些痕跡卻是非常困難的。通常，事中也會大量出現(xiàn)陰謀論和疑神疑鬼的各種腔調(diào)。ADAMS計劃的項目經(jīng)理瓦爾茨曼(Rand Waltzman)認(rèn)為有4個難題：1.難以區(qū)分行為的正常和非正常;2.惡意行為在時空上的分布很廣;3.異常行為是噪聲背景下的微弱信號;4.涉及大量的數(shù)據(jù)。

比如，在美國得州胡德堡找到“內(nèi)鬼”，將涉及6.5萬個士兵，如果僅僅將每個士兵的電子郵件和短信流量關(guān)系畫成圖，一年就需要分析2,336,726個節(jié)點間的47,201,879,000個連接關(guān)系。如果在整個國防部范圍，則需要分析37,387,616個節(jié)點間的755,230,064,000個連接關(guān)系。上面還不包括網(wǎng)站搜索、文件訪問、程序運行和其它網(wǎng)絡(luò)行為數(shù)據(jù)。

DARPA抓“內(nèi)鬼”的研究方向

ADAMS項目確定了4個研究方向：

• 主題分析(Topic analysis)：研究關(guān)注區(qū)域的特征，檢測偏離主題或意想不到的內(nèi)容;
• 系統(tǒng)使用(System use)：研究系統(tǒng)和文件訪問的時間序列和行為模式;
• 社交與網(wǎng)絡(luò)(Social interactions and networks)：研究指標(biāo)和社會交往;
• 心理狀態(tài)(psychological state)：研究個人氣質(zhì)、心理健康、苦惱、不穩(wěn)定或其他弱點。

美國總統(tǒng)成立抓“內(nèi)鬼”工作組(ITTF)后，抓“內(nèi)鬼”成為學(xué)術(shù)屆的研究熱點。其中圖形分析(Graph Analytics)和機器學(xué)習(xí)成為解決問題的關(guān)鍵，出現(xiàn)了很多方案和思路。然而，DARPA報告指出，超過1000個節(jié)點的圖形算法很難擴充，隨著節(jié)點的增加，連接關(guān)系的檢測將變得不穩(wěn)定，對噪聲數(shù)據(jù)的微小變化很敏感，需要新的圖形分析技術(shù)支持不同噪聲、采樣偏差和規(guī)模條件下的極微弱信號的異常行為檢測。

【本文為51CTO專欄作者“中國保密協(xié)會科學(xué)技術(shù)分會”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文