[[440129]]

2021年10月，美國海軍核工程師喬納森·托比(Jonathan Toebbe)及其妻子戴安娜·托(Diana Toebbe)因試圖將核動力戰(zhàn)艦的設計出售給外國代表被以間諜罪逮捕。此次內(nèi)部威脅事件再次引發(fā)了一個問題：企業(yè)組織應該如何處理接受過內(nèi)部威脅培訓的內(nèi)部威脅者?

背景介紹

美國海軍工程師喬納森·托比因試圖以500萬美元出售敏感的核潛艇機密被捕入獄，如今，他正在西弗吉尼亞州的監(jiān)獄中等待12月份的最終審判。

我們只能想象海軍信息安全團隊在得知最敏感機密泄露后的慌亂場景，他們應該會組織談論以了解這些機密究竟是如何被人為帶出機密環(huán)境，帶回員工住所，然后傳遞給未經(jīng)授權(quán)的第三方。內(nèi)部威脅的縮影再次重現(xiàn)了!

那些參與過緩解內(nèi)部威脅項目的人幾乎一致認為，人們從工作場所竊取專有機密的傾向會隨著離職期接近而與日俱增。據(jù)法庭文件顯示，Toebbe曾希望獲取高額薪資，并從海軍工作中抽身。此次公開事件也許再次印證了他正考慮退出的想法。

注意!您的惡意內(nèi)部人員受過內(nèi)部威脅培訓!

Toebbe講述了自己是如何在不引起同事們懷疑的情況下竊取海軍機密的犯罪過程。他表示：“我在日常工作中非常小心地、慢慢地、自然地收集我擁有的文件，所以沒有人會懷疑我的計劃。而且，我們接受過內(nèi)部威脅培訓，我可以有針對性地避免觸發(fā)任何可疑行為。即便將來有調(diào)查，我也堅信我以前的任何同事都不會懷疑到我身上。”

法庭文件顯示，雖然他多年來拿走了10,000多頁的文件，但他堅稱只拿了自己可以自然接觸的文件。他還默記了部分信息，回家后重新繪制了圖表。此外，他還在多個海軍研究地點竊取了這些機密。他的信件和他執(zhí)行非個人間諜活動的嘗試表明，他正在借鑒其他成功竊取機密的內(nèi)部人員所使用的大量間諜歷史和方法論。

其他類似內(nèi)部威脅案例

就Toebbe的數(shù)據(jù)泄露方法而言，我聯(lián)想到了其他四起政府內(nèi)部威脅案例。所有這四個人都接受過反間諜培訓，其中包括有關(guān)內(nèi)部威脅的部分內(nèi)容。他們還被教育需要自我報告處理機密信息時的任何錯誤，并報告工作場所內(nèi)的任何可疑活動。

上世紀80年代中期，海軍分析師喬納森·波拉德(Jonathan Pollard)曾一周多天，每天兩至三次將文件帶離工作場所。他將文件統(tǒng)一存放在一個手提箱中，等待交付給他的以色列情報處理人員。在長達一年的時間里，Pollard盜竊文件的行為都沒有被發(fā)現(xiàn)。直到一位同事看到Pollard對機密材料處理不當并舉報。最終，政府認定Pollard已將相當于18立方英尺的機密材料帶離工作場所。

2015年，美國國家安全局(NSA)的承包商Reality Winner在她的工作場所打印了一份機密文件，并將其塞進連褲襪中，然后順利地躲過安檢，將其郵寄給了一家媒體。她同樣接受過內(nèi)部威脅培訓。直至媒體要求美國國家安全局確認發(fā)送給他們的數(shù)據(jù)時，她才被發(fā)現(xiàn)，美國國家安全局的調(diào)查顯示，Winner是有權(quán)限閱讀該文件的少數(shù)人之一，也是唯一一個打印文件的人。

然后是情報界的承包商哈羅德·馬丁(Harold Martin)，他被發(fā)現(xiàn)在1996年至2016年期間從不同的工作地點泄露信息。據(jù)悉，當他被發(fā)現(xiàn)時，聯(lián)邦調(diào)查局調(diào)查人員發(fā)現(xiàn)他保留的信息量超過50 TB。在審判期間，政府部門注意到他也接受過內(nèi)部威脅培訓。

安娜·貝倫·蒙特斯(Ana Belen Montes)于2002年被判入獄，她被捕時正是國防部(DoD)的首席分析員。在她擔任分析師的整個任期內(nèi)(大約17年)，她也是古巴政府的秘密間諜。 她天生具有近乎攝影般的記憶力，因此據(jù)信她從未從工作場所帶走任何文件。相反地，她記住了內(nèi)容，然后將其重新創(chuàng)建以傳遞給她的古巴情報人員。最終，一名古巴叛逃者提供了可以識別Montes的線索才將其逮捕入獄。

如何識別此類內(nèi)部威脅者?

Toebbe長期竊取文件是否足以觸發(fā)當今可用的內(nèi)部威脅監(jiān)控技術(shù)?是否足以觸發(fā)同事檢測到涉及機密文件的異常事件?毫無疑問，海軍內(nèi)部的損害評估正在努力回答這些問題。

Code42公司的Joe Payne指出，政府和私營部門之間存在差異。他觀察到，在設定對員工行為的期望以及在非常真實的期望范圍內(nèi)運作時，政府部門的標準比私營部門高得多，政府員工從一開始就接受過培訓，并且養(yǎng)成了“看到可疑，立即上報”的習慣。不過，只要作案總有痕跡可尋，調(diào)查人員可以以此來檢測Toebbe的行為。

那么，技術(shù)應該如何檢測Montes(上述擁有超凡記憶力的內(nèi)部威脅者)和Toebbe這種通過記住機密內(nèi)容，隨后重新創(chuàng)建副本的行為呢?DTEX Systems公司安全和商業(yè)智能總監(jiān)Armaan Mahbod指出，單純在閱讀/掃描的用戶不會長時間逗留。技術(shù)應該能夠判斷用戶與其他人相比在特定文檔中的用時長短，并在出現(xiàn)異常活動時發(fā)出警報。

從殘酷的內(nèi)部威脅現(xiàn)實中吸取教訓

問題的本質(zhì)仍然是人員匱乏。鑒于審計職能人員不足，那些竊取文件的內(nèi)部威脅者才有機會從職權(quán)訪問范圍緩慢且有條不紊地向其他領(lǐng)域滲透。如今，組織在人力資源、IT和安全等部門間已經(jīng)實現(xiàn)不同程度的跨部門溝通。不過，我們的最終目標是在整個組織內(nèi)加強他們的溝通，從而進一步加強安全性。

關(guān)注內(nèi)部威脅的CISO需要與企業(yè)和基礎設施的其他領(lǐng)域緊密合作，以確保當調(diào)查員工在一個領(lǐng)域的行為時，他們在所有領(lǐng)域的行為都能得到審查。此外，最高管理層應該鼓勵所有員工和承包商在與同事互動時接受“發(fā)現(xiàn)異常，立即上報”的心態(tài)。

最后，應該讓您的員工以受信任的方式完成他們的工作，并用一把“保護傘”將他們包裹起來，這樣如果他們冒險偏離流程和程序——例如，加載到基于Web的存儲——就會立即得到糾正。

本文翻譯自：https://www.csoonline.com/article/3641410/what-cisos-can-learn-from-the-navy-insider-who-went-undetected-stealing-us-nuclear-secrets.html如若轉(zhuǎn)載，請注明原文地址。