內(nèi)部威脅引起關(guān)注

近年來(lái)，內(nèi)部威脅逐步成為新的研究熱點(diǎn)，“斯諾登事件”更是將其推向了一個(gè)高潮。其實(shí)，早在1969年針對(duì)計(jì)算機(jī)用戶權(quán)限濫用而提出的訪問控制理論就是屬于內(nèi)部威脅防范的范疇。隨后研究逐步系統(tǒng)化，尤其以美國(guó)特勤局與卡耐基梅隆大學(xué)聯(lián)合建立的CERT（計(jì)算機(jī)安全應(yīng)急響應(yīng)組）內(nèi)部威脅中心為代表，建立了著名的內(nèi)部威脅案例庫(kù)[1]。眾所周知，內(nèi)部威脅危害巨大，可以對(duì)個(gè)人造成傷害, 對(duì)組織造成經(jīng)濟(jì)損失、業(yè)務(wù)運(yùn)行中斷、聲譽(yù)受損, 嚴(yán)重時(shí)甚至?xí)：?guó)家安全。然而，鑒于其具有內(nèi)外勾結(jié)、合伙人參與、企業(yè)兼并時(shí)多發(fā)、員工文化差異等復(fù)雜性，內(nèi)部威脅的檢測(cè)發(fā)現(xiàn)相比外部威脅更加不易。

[[224337]]

知識(shí)竊取類內(nèi)部威脅

CERT將內(nèi)部威脅分為三類

• 信息系統(tǒng)破壞（IT sabotage）: 內(nèi)部人員使用信息技術(shù)對(duì)組織或個(gè)人進(jìn)行特定的破壞；
• 知識(shí)竊?。═heft of intellectual property (IP)）: 內(nèi)部人員使用信息技術(shù)竊取組織的知識(shí)產(chǎn)權(quán)，包括商業(yè)間諜；
• 電子欺詐（Fraud）：內(nèi)部人員使用信息技術(shù)對(duì)組織數(shù)據(jù)進(jìn)行非授權(quán)的修改、增加或刪除，或者進(jìn)行身份冒用。

 知識(shí)竊取作為一種重要的內(nèi)部威脅手段，危害程度不亞于其他兩種。從CERT數(shù)據(jù)庫(kù)顯示的數(shù)據(jù)來(lái)看，包括U.S. Munitions List（美國(guó)軍用品管制目錄 ）中的產(chǎn)品源代碼被共享給國(guó)外軍事組織，一個(gè)政府供應(yīng)商偷取密碼進(jìn)行對(duì)敏感信息的非授權(quán)訪問等案例，平均導(dǎo)致的實(shí)際經(jīng)濟(jì)損失為1千350萬(wàn)美元，而潛在經(jīng)濟(jì)損失高達(dá)1.09億美元。其中IT公司、電信公司、制藥公司、化學(xué)公司、生物科技公司是信息竊取高發(fā)行業(yè)，導(dǎo)致的經(jīng)濟(jì)損失都在1億美元以上，最高可達(dá)10億美元[1]。

述描述了CERT關(guān)于知識(shí)竊取類內(nèi)部威脅的定義。還有學(xué)者提出了基于“信任--承諾”的內(nèi)部威脅理論，通過“信任--承諾”的對(duì)應(yīng)關(guān)系來(lái)定義內(nèi)部人，基本的原則是正確行使受信獲得的組織資源的訪問權(quán), 維護(hù)授信主體的合法利益。特別地，給出了內(nèi)部威脅的形式化定義，表示為威脅函數(shù)δ: SM×B× O→ N( ST)。進(jìn)一步地，將知識(shí)竊取類內(nèi)部威脅定義為：若受信內(nèi)部人SM利用對(duì)授信主體信息資產(chǎn)的最小訪問權(quán)限Tm=(r), 做出損害授信主體經(jīng)濟(jì)利益的行為, 則該行為屬于知識(shí)竊取威脅[2]。

知識(shí)竊取類內(nèi)部威脅的特征[2]

1. 攻擊者特征: 此類威脅主要來(lái)源于能接觸到信息資產(chǎn)的內(nèi)部人員, 一般是具有核心數(shù)據(jù)訪問權(quán)的在職雇員, 如科學(xué)研究人員、技術(shù)工程人員、程序員以及銷售人員等；

2. 動(dòng)機(jī)與目標(biāo): 大多數(shù)攻擊者通過竊取的高價(jià)值信息跳槽到新單位就職, 或者自己創(chuàng)業(yè)。因此該類威脅常見目標(biāo)是通過竊取信息謀求更好的發(fā)展機(jī)會(huì)；

3. 攻擊方式: 信息竊取主要是利用自己和同謀者的合法數(shù)據(jù)訪問權(quán)限, 通過秘密拷貝到可移動(dòng)設(shè)備或發(fā)送郵件附件的方式將高價(jià)值信息帶出企業(yè)/組織。

CERT采用MERIT模型描述該類威脅，根據(jù)攻擊者的數(shù)量, 將此類內(nèi)部威脅分為個(gè)體或群體信息竊取, 關(guān)鍵區(qū)別在于后者無(wú)法獨(dú)立竊取信息, 必須通過收買、欺騙等方式獲得其他人的配合[1]。

個(gè)體信息竊取MERIT模型

群體信息竊取MERIT模型

經(jīng)過大量的案例數(shù)據(jù)分析發(fā)現(xiàn)，內(nèi)部個(gè)體首先覺得由其編寫的代碼或文檔歸其個(gè)人所有。其次，內(nèi)部人員感到了不滿意，部分竊取知識(shí)產(chǎn)權(quán)是為了獲取新的工作，當(dāng)然相當(dāng)一部分并非有明確目的，而只是習(xí)慣性保留以前用到的信息。因此，通常來(lái)講，一半的個(gè)體竊密者會(huì)在其離職前的一個(gè)月內(nèi)竊取信息，即“一月時(shí)間窗口”理論。這一個(gè)月包括離職前的一個(gè)月和離職后的一個(gè)月，其實(shí)是兩個(gè)月。雖然并不是所有竊密都發(fā)生在這個(gè)時(shí)間窗口內(nèi)，有的是隨著時(shí)間慢慢進(jìn)行的，但最終的竊取行為集中在這個(gè)時(shí)間內(nèi)，并且很少在超過這個(gè)窗口的時(shí)間內(nèi)還繼續(xù)竊取。采用的方式有郵件、電話、傳真外發(fā)、從組織內(nèi)服務(wù)器下載到個(gè)人電腦、通過移動(dòng)介質(zhì)拷貝、惡意代碼收集和傳播、打印或輸出成物理載體帶出等。

群體竊密與個(gè)體竊密相比，希望得到更多，比如整個(gè)生產(chǎn)線或整個(gè)軟件。個(gè)體竊取的大部分是其權(quán)限范圍內(nèi)的信息，而鑒于群體竊取的目標(biāo)更廣，群體領(lǐng)導(dǎo)者權(quán)限范圍內(nèi)可訪問的信息無(wú)法滿足需要，因此招攬更多的內(nèi)部人員幫助其實(shí)現(xiàn)目標(biāo)，組織過程較為復(fù)雜。或許在最開始，群體領(lǐng)導(dǎo)者就是個(gè)體竊密者。但隨著心理變化或者競(jìng)爭(zhēng)者的誘惑，逐步發(fā)展成群體竊密，其個(gè)體不滿意的跡象并不十分明顯，“一月時(shí)間窗口”也并不完全適用。但有利的是，群體竊密相比較個(gè)體竊密更易被發(fā)現(xiàn)，一方面是發(fā)現(xiàn)高等級(jí)風(fēng)險(xiǎn)的渠道更多，另一方面試圖提高訪問權(quán)限的行為非?？梢伞?/p>

英國(guó)牛津（Oxford）的網(wǎng)安團(tuán)隊(duì)分析了CERT數(shù)據(jù)庫(kù)中的內(nèi)部威脅案例，抽象攻擊鏈，提出了最全面的內(nèi)部威脅模型。該模型從內(nèi)部威脅的動(dòng)機(jī)開始建立攻擊鏈，描述了行為以及威脅目標(biāo)和資源客體等諸多屬性[3]。

上圖中刻畫了內(nèi)部威脅的四個(gè)方面：

• 觸發(fā)事件：刻畫內(nèi)部威脅的導(dǎo)火索，觸發(fā)事件通常是對(duì)內(nèi)部人的較大負(fù)面事件，造成不能勝任工作角色或職責(zé)；
• 攻擊者特征：刻畫攻擊者的心理狀態(tài)，從而刻畫出內(nèi)部威脅動(dòng)機(jī)，動(dòng)機(jī)可以從人格特征、行為特征及職能角色三個(gè)角度分析。內(nèi)部人員由于不滿或粗心導(dǎo)致工作效率低下、無(wú)視組織規(guī)定越權(quán)訪問、喪失工作興趣等，進(jìn)而引發(fā)事故，加之不同角色用戶具有不同權(quán)限，這些構(gòu)成了實(shí)施內(nèi)部威脅的條件；
• 攻擊特征：刻畫不同的攻擊類型，例如利用病毒入侵企業(yè)網(wǎng)絡(luò)，進(jìn)而非授權(quán)訪問站點(diǎn)、關(guān)閉殺毒軟件傳播病毒、非法獲取信息，造成系統(tǒng)癱瘓等；
• 組織特征：刻畫組織的安全程度，其脆弱性給了內(nèi)部攻擊者以可乘之機(jī)，內(nèi)部審計(jì)機(jī)制與訪問控制機(jī)制決定了內(nèi)部威脅的技術(shù)門檻。

知識(shí)竊取類內(nèi)部威脅檢測(cè)

內(nèi)部威脅檢測(cè)最常用也最有效的方法是用戶與實(shí)體行為分析（User and Entity Behavior Analysis, UEBA）。通過審計(jì)和分析用戶對(duì)于文件或應(yīng)用的訪問行為，建立用戶行為基線，據(jù)此檢測(cè)用戶的偏離行為，從而報(bào)警。該方法同樣適用于知識(shí)竊取類威脅檢測(cè)，可分為兩個(gè)方面：

用戶行為監(jiān)測(cè)（User Activity Monitoring: UAM）

面向用戶，監(jiān)測(cè)用戶行為來(lái)發(fā)現(xiàn)可疑趨勢(shì)，例如鍵盤監(jiān)控、屏幕監(jiān)控等，多數(shù)研究屬于該類型。例如CERT提出對(duì)即將離職的員工進(jìn)行針對(duì)知識(shí)產(chǎn)權(quán)的增強(qiáng)監(jiān)控，在“一月時(shí)間窗口”內(nèi)采取高于組織安全基線的檢測(cè)模式以發(fā)現(xiàn)惡意的內(nèi)部行為[4]。

攻擊樹也是一種典型的攻擊模式描述方法。抽取每種攻擊類型的攻擊步驟組成攻擊鏈，再將攻擊目標(biāo)相同的攻擊鏈合并形成攻擊樹。定義每個(gè)攻擊步驟對(duì)應(yīng)的異常，分為單活動(dòng)異常和多活動(dòng)異常，通過檢測(cè)異常進(jìn)而推斷攻擊的發(fā)生[5]。

數(shù)據(jù)行為監(jiān)測(cè)（Data Activity Monitoring: DAM）

面向數(shù)據(jù)，從知識(shí)竊取的客體--文件入手，進(jìn)行威脅檢測(cè)。例如從用戶遍歷文件系統(tǒng)以及訪問文件目錄的角度建立行為模型[6]；針對(duì)用戶遍歷文件系統(tǒng)時(shí)的文件順序表示文件訪問行為[7]；基于文件內(nèi)容建立群組，根據(jù)個(gè)體用戶自身行為以及組群間行為偏移檢測(cè)文件訪問中的異常行為[8]等。然而這些并非真正意義上數(shù)據(jù)自身的行為，仍然是用戶對(duì)于文件的行為。

將UAM與DAM結(jié)合，也是日漸增多的一種方法。將行為風(fēng)險(xiǎn)與實(shí)體風(fēng)險(xiǎn)結(jié)合起來(lái)，彼此分值相互影響，綜合評(píng)判威脅等級(jí)與事件概率[9]。

高安全等級(jí)網(wǎng)絡(luò)下的知識(shí)竊取類內(nèi)部威脅檢測(cè)

與互聯(lián)網(wǎng)相比，高安全等級(jí)網(wǎng)絡(luò)是功能相對(duì)單一的業(yè)務(wù)網(wǎng)絡(luò)，網(wǎng)絡(luò)之間的數(shù)據(jù)交換是一種目標(biāo)明確、邊界清楚、數(shù)據(jù)格式確定，并且用戶身份可追溯的網(wǎng)絡(luò)系統(tǒng)。然而也正是由于其具有一定的封閉性，使得內(nèi)部威脅相比外部攻擊更加成為一個(gè)突出的問題，并且失泄密是其重點(diǎn)關(guān)注與防范的內(nèi)容，故而知識(shí)竊取類內(nèi)部威脅尤為重要，不僅涉及經(jīng)濟(jì)利益，更關(guān)系到國(guó)家安全，對(duì)該類威脅的檢測(cè)在高安全等級(jí)網(wǎng)絡(luò)下十分迫切。

然而，在高安全等級(jí)網(wǎng)絡(luò)中，諸如員工離職等現(xiàn)象并不明顯，CERT提出的“一個(gè)月時(shí)間窗口”增強(qiáng)監(jiān)測(cè)并不能發(fā)揮積極作用，知識(shí)竊取呈現(xiàn)出更加隱蔽、隨意和長(zhǎng)期的趨勢(shì)。很多組織都認(rèn)同對(duì)信息缺少安全屬性的標(biāo)定是造成知識(shí)竊取威脅的一個(gè)根本性原因。正是因?yàn)樗接械幕蛎舾械男畔]有被標(biāo)記，或者沒有被正確標(biāo)記，才使得知識(shí)竊取輕而易舉的發(fā)生[10]。CERT也指出如果能夠識(shí)別大部分核心資產(chǎn)，像數(shù)字水印、數(shù)字權(quán)限管理和數(shù)據(jù)防泄漏系統(tǒng)就能夠阻止資產(chǎn)離開網(wǎng)絡(luò)[1]。

所以，對(duì)敏感文件添加安全標(biāo)志，既可清晰描繪文件的唯一性和繼承性，設(shè)置安全等級(jí)、訪問控制范圍，還可記錄操作主體、時(shí)間、行為等，結(jié)合文件的使用日志，使得對(duì)文件的畫像成為可能。一方面，可以作為信息管控和失泄密防護(hù)的依據(jù)；另一方面，可輔助發(fā)現(xiàn)知識(shí)竊取類內(nèi)部威脅，提高檢測(cè)的精確度及風(fēng)險(xiǎn)預(yù)判能力，利于還原竊密過程。

參考文獻(xiàn)：

[1] “The CERT Guide to Insider Threats 2012.”US CERT, http://www.cert.org/insider-threat/.

[2] 楊光,馬建剛 ,于愛民 , 孟丹。“內(nèi)部威脅檢測(cè)研究”。《信息安全學(xué)報(bào)》 , 2016 , 1 (3), PP21-36, 2016.7

[3] http://www.freebuf.com/news/topnews/104030.html

[4] Andrew P. Moore, alt. “A Pattern for Increased Monitoring for Intellectual Property Theft by Departing Insiders”. TECHNICAL REPORT, April 2012.

[5] Ioannis Agrafiotis, alt. “Identifying attack patterns for insider threat detection”. Computer Fraud & Security, PP9-17, July 2015.

[6] Rui Zhang, Xiaojun Chen, Jinqiao Shi, Fei Xu, and Yiguo Pu, “Detecting Insider Threat Based on Document Access Behavior Analysis,” The Asia Pacific Web Conference (APWeb) Workshops,8710:376-387,2014.

[7] J. B. Camina, R.Monroy, L.A. Trejo and E.Sanchez, “TowardsBuilding a Masquerade Detection Method Based on User File System Navigation, Mexican International Conference on Artificial (MICAI), pp. 174-186, 2011.

[8] Alex Memory, Henry G. Goldberg, “Context-Aware Insider Threat Detection Activity” In the Context-Aware System Architectures: Papers from the AAAI 2013 Workshop, PP 44-47, 2013.

[9] Mark Warren, “Modern IP theft and the insider threat”. Journal of Computer Fraud and Security. June, 2015, pp 5-10.

[10] RECENT INSIDER THEFT CASES. Report theft of trade secrets to your local FBI office or submit a tip online: tips.fbi.gov.

【本文為51CTO專欄作者“中國(guó)保密協(xié)會(huì)科學(xué)技術(shù)分會(huì)”原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)聯(lián)系原作者】

戳這里，看該作者更多好文