智慧城市的建設(shè)推動著我國生產(chǎn)模式的變革，隨著經(jīng)濟(jì)數(shù)字化、政府?dāng)?shù)字化的建設(shè)，數(shù)據(jù)和網(wǎng)絡(luò)已經(jīng)成為我國政府和企業(yè)不可或缺的一部分。合資企業(yè)、跨境貿(mào)易、多廠商全球合作的模式變遷，不斷增加了關(guān)鍵數(shù)字和物理資產(chǎn)被攻擊的風(fēng)險，同時全球合作需要滿足不同國家當(dāng)?shù)匕踩O(jiān)管的要求，這些復(fù)雜因素都指向同一個結(jié)果：企業(yè)單位所面臨的內(nèi)部威脅正在急劇增加。

內(nèi)部威脅網(wǎng)絡(luò)安全事件層出不窮，但仍舊很難引起企業(yè)的重視。企業(yè)往往會想當(dāng)然地認(rèn)為攻擊者都來自于外部，但事實上，超過一半的安全攻擊都是由內(nèi)部員工造成的，或是由心懷不軌者惡意為之，或是由員工的粗心錯誤操作導(dǎo)致。由受信員工產(chǎn)生的內(nèi)部威脅極有可能導(dǎo)致重大經(jīng)濟(jì)損失，并伴隨公信力下降。

企業(yè)主要的安全防御措施(例如防火墻、訪問控制、智能物聯(lián)監(jiān)控設(shè)備等)通常是為不受信的外部攻擊者而設(shè)，這使得受信員工或承包商有機(jī)可乘。同時，內(nèi)部員工了解企業(yè)的防御手段，因而能夠在從事惡意活動時輕松繞過。為了應(yīng)對這種投機(jī)取巧的行為并切實解決內(nèi)部威脅，應(yīng)當(dāng)做好環(huán)境感知、高級行為異常檢測和基于時序分析的調(diào)查取證。

斯諾登網(wǎng)絡(luò)安全事件作為全球典型內(nèi)部威脅代表，促使許多單位和企業(yè)自省，是否也會發(fā)生此類事件。凡是有價值信息皆為誘惑，都可能遭受內(nèi)部威脅入侵，雖然企業(yè)敏感數(shù)據(jù)被盜或損壞可能不會像斯諾登事件一樣引起嚴(yán)重的國家安全危害，但仍然會對企業(yè)造成重大損害。

[[322551]]

什么是內(nèi)部威脅?

內(nèi)部威脅是指具備企業(yè)資產(chǎn)合法訪問權(quán)的用戶利用該權(quán)限對企業(yè)造成危害的行為。造成內(nèi)部威脅的并不一定是企業(yè)在職員工，也可能是具有系統(tǒng)或數(shù)據(jù)訪問權(quán)限的離職員工、承包商或合作伙伴。

內(nèi)部威脅不同于由憑證泄露引起的攻擊，后者是由外部攻擊者使用被盜取的有效賬戶憑證冒充合法用戶訪問網(wǎng)絡(luò)。內(nèi)部威脅通常是用戶采取的主觀行動，并且可能知道自己正在違反規(guī)定，甚至違反法律。

內(nèi)部威脅可能來自于：

• 心懷不滿的員工——共享敏感信息以獲取個人利益或報復(fù)。
• 惡意員工——故意濫用網(wǎng)絡(luò)、系統(tǒng)或數(shù)據(jù)的訪問權(quán)限以造成損害。
• 失陷員工——無意間將系統(tǒng)暴露給攻擊者或惡意軟件(例如單擊帶有惡意軟件的電子郵件，使攻擊者能夠竊取訪問憑證)。
• 第三方(承包商、合作伙伴和客戶)——受信訪問敏感數(shù)據(jù)并表現(xiàn)和上述類型相同的威脅。

多數(shù)情況下，這些用戶可能具有不合理的訪問權(quán)限。例如，在很多企業(yè)單位中，員工轉(zhuǎn)崗或職責(zé)變更時，并不會撤銷其原有的系統(tǒng)訪問權(quán)限，使用戶的權(quán)限有增無減。隨著時間推移，這些用戶會累積大量的權(quán)限。這一現(xiàn)象導(dǎo)致，老員工可以更容易地越權(quán)訪問系統(tǒng)。此外，不完整的離職交接流程及權(quán)限回收，也會使得前員工仍然可以遠(yuǎn)程訪問敏感的應(yīng)用程序或服務(wù)器。簡而言之，潛在的惡意內(nèi)部人員群體往往比大多數(shù)CISO想象的要大得多，也難以識別。

內(nèi)部惡意人員暴露的敏感數(shù)據(jù)迅速增長，大有燎原之勢。其中不乏財務(wù)報告數(shù)據(jù)(提前獲知，從而進(jìn)行公司股票的非法交易)，客戶數(shù)據(jù)(對競爭對手有價值)，產(chǎn)品或技術(shù)文檔(同樣對競爭對手有價值)，員工數(shù)據(jù)等等。這些原本存儲于不同系統(tǒng)的數(shù)據(jù)(如備份、基線、開發(fā)/測試，報告等數(shù)據(jù))，正在被人整合利用從事非法活動。例如：

• 銷售經(jīng)理在加入競爭對手之前拷貝當(dāng)前的客戶和銷售渠道。
• 工程師決定成立一家與雇主競爭的初創(chuàng)公司，并在離開之前拷貝產(chǎn)品計劃和設(shè)計文檔。
• IT經(jīng)理在報告日期之前查看季度收益數(shù)據(jù)，目的是非法買賣其公司的股票。
• 一位科學(xué)家復(fù)制了數(shù)千份設(shè)計和技術(shù)文檔，出售給國外(2012年，陶氏化學(xué)的一位科學(xué)家因這樣做而被判處五年徒刑)。
• 情報機(jī)構(gòu)的承包商下載了大量內(nèi)部程序數(shù)據(jù)，以泄露給媒體。
• ……

內(nèi)部威脅的動機(jī)

攻擊背后總是由多種因素驅(qū)動，具體動機(jī)可分為以下四種。

• 經(jīng)濟(jì)利益：經(jīng)濟(jì)利益是造成多數(shù)內(nèi)部違規(guī)行為的主要因素，獲取的可能是微利(例如，門衛(wèi)在電商平臺上出售筆記本電腦賺取快錢)，也可能是暴利(例如，較低級別員工在暗網(wǎng)上出售個人身份信息)。
• 商業(yè)利益：知識產(chǎn)權(quán)可用于增進(jìn)企業(yè)產(chǎn)品、消除競爭優(yōu)勢或幫助行為不端者進(jìn)行業(yè)務(wù)交易，因此知識產(chǎn)權(quán)通常是以商業(yè)利益為動機(jī)的攻擊者的主要目標(biāo)。此類威脅不僅會提升竊取知識產(chǎn)權(quán)一方的競爭力，還會給受害一方帶來生產(chǎn)力損失和聲譽(yù)損害。
• 員工報復(fù)：出于對工作不滿、受到不公平待遇、與同事發(fā)生沖突、被視為潛在裁員對象等原因，員工可能出現(xiàn)負(fù)面情緒，并做出極端的報復(fù)行為。
• 種族信仰：政治、宗教和社會信仰也可能是內(nèi)部威脅的強(qiáng)烈動機(jī)。

內(nèi)部威脅對CISO企業(yè)安全管理的危害?

內(nèi)部員工持有組織數(shù)據(jù)資產(chǎn)的合法訪問權(quán)限，且通常知道企業(yè)敏感數(shù)據(jù)的存放位置，因此，對于安全團(tuán)隊而言，檢測內(nèi)部威脅并非易事，區(qū)分用戶的正?；顒雍蜐撛诘膼阂饣顒訕O具挑戰(zhàn)。

Ponemon研究所2020年發(fā)布的《內(nèi)部威脅成本全球報告》顯示內(nèi)部威脅的成本和頻率在過去兩年內(nèi)都急劇增加。內(nèi)部威脅事件的平均成本為1145萬美元，較2018年的876萬美元增長了近31%，威脅事件數(shù)量為4716起，較2018年的3200起增長了47%。

內(nèi)部威脅的成本通常和企業(yè)規(guī)模呈正相關(guān)。員工總數(shù)在25001和75000之間的大型企業(yè)在過去一年里平均花費1792萬美元解決與內(nèi)部威脅相關(guān)的事件。

內(nèi)部威脅增長最快的行業(yè)分別是零售業(yè)(兩年增長38.2%)和金融服務(wù)業(yè)(兩年增長20.3%)。損失最嚴(yán)重的三個行業(yè)分別是金融服務(wù)業(yè)(1450萬美元)、服務(wù)業(yè)(1231萬美元)以及IT行業(yè)(1230萬美元)。

處理內(nèi)部威脅事件的平均周期為77天，這其中只有13%的事件能夠在30天之內(nèi)得到控制。

4716起事件中，2962起事件是由內(nèi)部員工或承包商的疏忽過失操作導(dǎo)致的，1105起事件是由攻擊團(tuán)隊或惡意的內(nèi)部員工發(fā)起的，649起事件是由賬號失陷引起的，其中191起事件涉及特權(quán)用戶的憑證竊取。

以上數(shù)據(jù)顯示，企業(yè)的內(nèi)部威脅仍是揮之不去且十分棘手的網(wǎng)絡(luò)安全威脅。

UEBA技術(shù)應(yīng)對高級內(nèi)部威脅

大部分公司主要通過購買具備簽名認(rèn)證和規(guī)則分析的安全設(shè)備檢測和防御外部威脅，企業(yè)在為來自外部網(wǎng)絡(luò)空間攻擊團(tuán)伙(例如國家犯罪集團(tuán)和流氓國家)的威脅做好應(yīng)對措施的同時，也需更加深刻的意識到內(nèi)部威脅的暗流涌動，一些戴著員工證貌似忠良的人群中，不乏害群之馬，他們往往是一群披著內(nèi)部員工、合作伙伴以及供應(yīng)商的合法外衣而從事非法活動的攻擊者或內(nèi)鬼。

傳統(tǒng)安全防護(hù)系統(tǒng)，諸如FW、SIME、IDS、IPS、漏掃、沙盒等，主要采用預(yù)設(shè)規(guī)則方式監(jiān)測外部威脅，內(nèi)置已知攻擊特征庫、漏洞庫等方式實現(xiàn)對惡意流量的攔截、安全攻擊的阻斷。以規(guī)則檢測為主的方案，解決了大部分的外部威脅，但無法捕獲內(nèi)部惡意人員的違規(guī)行為。傳統(tǒng)防御手段不會檢測這些具備訪問企業(yè)數(shù)據(jù)庫、服務(wù)器、應(yīng)用程序/代碼以及敏感信息權(quán)限(確切的說具備合法的數(shù)字ID)的內(nèi)部員工行為。眾所周知，斯諾登正是利用了美國國家安全局的這種防護(hù)機(jī)制，從而獲取了大量的敏感數(shù)據(jù)。

一個成熟的UEBA解決方案應(yīng)當(dāng)具備一定的預(yù)測能力，可以輔助識別內(nèi)部人員的惡意行為，如暴力破解、可疑的密碼重置、賬戶共享以及異常設(shè)備或異地登錄等。這其中包括內(nèi)部員工的異常行為檢測，網(wǎng)絡(luò)駭客、文件爬蟲和路徑識別能力，以及應(yīng)當(dāng)具備檢測內(nèi)部惡意人員試圖訪問企業(yè)核心業(yè)務(wù)(如知識產(chǎn)權(quán)、敏感信息、客戶數(shù)據(jù)等)的能力。

UEBA解決方案應(yīng)當(dāng)具備對敏感的個人身份信息/個人合規(guī)信息訪問或異常/頻繁數(shù)據(jù)下載等行為的檢測能力，以及具備針對企業(yè)打印機(jī)、郵件系統(tǒng)、云存儲或USB設(shè)備滲透而導(dǎo)致的數(shù)據(jù)泄露行為的識別能力。

同時，為了方便企業(yè)管理員使用，檢測模型可根據(jù)企業(yè)的風(fēng)控級別、信息系統(tǒng)重要性、員工類型等進(jìn)行檢測特征權(quán)重和風(fēng)險評分調(diào)整。

一個UEBA解決方案的價值不僅在于具備基于用戶和實體已知威脅檢測，還應(yīng)具備檢測未知威脅的能力，同時應(yīng)當(dāng)具備前沿的數(shù)據(jù)處理和機(jī)器學(xué)習(xí)的分析技術(shù)，旨在為客戶解決繞過傳統(tǒng)檢測和防護(hù)系統(tǒng)的威脅。UEBA技術(shù)利用機(jī)器學(xué)習(xí)算法自學(xué)習(xí)和插件式擴(kuò)展學(xué)習(xí)能力，使用非監(jiān)督、半監(jiān)督和監(jiān)督式學(xué)習(xí)等方式不斷優(yōu)化各類模型，同時可利用深度學(xué)習(xí)和自然語言處理等高級技術(shù)實現(xiàn)情感學(xué)習(xí)，以檢測內(nèi)部威脅。

分析引擎可為企業(yè)內(nèi)部每個身份(用戶和實體)構(gòu)建動態(tài)基線，通過基線偏差分析，以實現(xiàn)對內(nèi)部異常行為的檢測和預(yù)測。異常檢測模型同時可結(jié)合威脅情報、外部系統(tǒng)生成告警的上下文信息，對每個身份提供整體的風(fēng)險評分，輔助事件的進(jìn)一步調(diào)查。

UEBA可使用機(jī)器學(xué)習(xí)實現(xiàn)賬號變更、行為變更以及異常操作的快速檢測，并在安全漏洞可能發(fā)生之前主動預(yù)警，幫助企業(yè)止損，同時為企業(yè)降低在訴訟中浪費的時間和金錢，降低公關(guān)危機(jī)。

UEBA技術(shù)關(guān)鍵：收集多源異構(gòu)數(shù)據(jù)

在常見的內(nèi)部威脅違規(guī)場景中，用戶通常采用明顯異?；蚱髽I(yè)明令禁止的方式訪問系統(tǒng)?；叵肫饋?，這些違規(guī)行為是顯而易見的，但卻屢屢得手，以陶氏化學(xué)的科學(xué)家為例，他訪問安全文件服務(wù)器的次數(shù)比其他人高10倍。因為企業(yè)內(nèi)部異常行為的線索存在于不同的信息系統(tǒng)中，且較難組合分析，導(dǎo)致無法及時偵測。

UEBA能夠收集多源異構(gòu)數(shù)據(jù)，進(jìn)行關(guān)聯(lián)分析，及時檢測異常行為。具體數(shù)據(jù)源包括：

• 訪問日志：VPN、域控制器和Wifi接入點日志，可為風(fēng)險活動檢測提供強(qiáng)有力的線索。
• 認(rèn)證系統(tǒng)：活動目錄、LDAP(統(tǒng)一身份認(rèn)證)及其他服務(wù)數(shù)據(jù)，提供有關(guān)位置、角色等高價值信息。
• DLP掃描：提供利用網(wǎng)絡(luò)泄露核心數(shù)據(jù)的相關(guān)檢測信息。
• 終端接入：提供有關(guān)用戶文件活動的有效上下文以及系統(tǒng)配置信息。
• 網(wǎng)絡(luò)接入：NetFlow，作為SIEM和終端檢測數(shù)據(jù)的強(qiáng)力有補(bǔ)充。
• 數(shù)據(jù)庫行為數(shù)據(jù)：數(shù)據(jù)庫日志和數(shù)據(jù)庫防火墻日志數(shù)據(jù)，提供對敏感數(shù)據(jù)訪問的高價值線索。
• 應(yīng)用程序行為數(shù)據(jù)：訪問日志、應(yīng)用運行日志。
• 云平臺行為數(shù)據(jù)：鑒于大多數(shù)企業(yè)已實現(xiàn)部分業(yè)務(wù)上云，可從云服務(wù)或CASB解決方案中獲取相關(guān)用戶行為數(shù)據(jù)。
• U盤接入數(shù)據(jù)：本地文件副本(通常是U盤或USB外接存儲)，可提供大量有效數(shù)據(jù)，特別是與DLP文件掃描數(shù)據(jù)結(jié)合使用等場景。
• 打印服務(wù)器：打印服務(wù)器日志數(shù)據(jù)，惡意內(nèi)部人員可能會打印出表格，以繞過網(wǎng)絡(luò)監(jiān)測。
• 門禁或其他智能物聯(lián)網(wǎng)設(shè)備：出入辦公樓、機(jī)房等場所的門禁記錄。

UEBA技術(shù)關(guān)鍵：選取正確的關(guān)鍵特征

區(qū)分惡意活動和日常工作極具挑戰(zhàn)性，例如，具有較高訪問權(quán)限的用戶日常正常工作需訪問敏感數(shù)據(jù)，難以區(qū)分這些行為是否具備惡意性。

高權(quán)限用戶從事惡意活動時，通常會刪除或篡改活動日志，從而偽裝成其他用戶，來掩蓋自己的痕跡。內(nèi)部審計的另外一個痛點是被審計到的用戶往往聲稱自己是無意的或人為錯誤。

UEBA技術(shù)關(guān)鍵：選取合適的自適應(yīng)機(jī)器學(xué)習(xí)模型算法

• 行為基線：為每個用戶和系統(tǒng)創(chuàng)建正常的活動基線，并通過基線構(gòu)建模型用于判斷是否存在異常行為或潛在的風(fēng)險。
• 群體畫像分析：將具有相同或相似行為和訪問模式的用戶構(gòu)建群體畫像，并具備組內(nèi)對比分析能力。
• 特權(quán)賬號分析：在建模分析時中應(yīng)當(dāng)考慮特權(quán)賬號的存在，如管理員通常具有較高的訪問權(quán)限，并且可以訪問大量敏感數(shù)據(jù)，這部分賬號應(yīng)該單獨分析。
• 共享帳戶分析：共享賬號是UEBA分析中需要重點關(guān)注的場景，鑒于共享賬號的特殊性，難以識別真正的風(fēng)險活動用戶，甚至企業(yè)不知道這些賬戶有多少人在使用。UEBA解決方案應(yīng)當(dāng)可識別共享賬號，并通過技術(shù)手段，識別使用這些賬戶的具體的人，并構(gòu)建特定的風(fēng)險評分模型用于檢測這些共享賬號的活動。
• 鎖定賬號分析：賬號鎖定的原因包括良性和惡意的，對于內(nèi)部威脅分析而言，應(yīng)當(dāng)具備識別首次嘗試登錄帳戶的用戶以及可能涉及的相關(guān)角色或關(guān)聯(lián)賬號。良好的UEBA解決方案可以識別賬戶鎖定相關(guān)的異?；顒?，從而提示企業(yè)安全運營分析人員重點關(guān)注企業(yè)內(nèi)部潛在的惡意人員。

立良策，謀善治。企業(yè)和單位可以通過與專業(yè)的UEBA解決方案提供商合作，不斷加強(qiáng)網(wǎng)絡(luò)安全建設(shè)的頂層設(shè)計，合理規(guī)劃和部署各類安全產(chǎn)品，在內(nèi)部威脅可能發(fā)生之前主動預(yù)警，助力企業(yè)和單位有效規(guī)避內(nèi)部威脅，幫助滿足安全合規(guī)要求，同時提高企業(yè)生產(chǎn)力和單位公信力。