从近几年的信息泄露案件占比来看,内幕威胁呈快速上升趋势。其实圈内人的范围是很多的。传统上,安全会发现帐户泄漏和横向移动。但如果是商业间谍、蓄意破坏、内部诈骗等,基本上就没法管安全了。很多安全同学抱怨安全在公司不被重视,拿不到资源。在我看来,安全目前做的这些事情,相对于公司的大风险来说,实在是太小了。安全有了发现和遏制公司更大风险的能力,地位自然会上升。如果有能力抓到内幕,举报级别也会直线上升。这篇文章想告诉你的是:如何捕捉内部威胁。一、内鬼动机及范围内鬼动机一般包括:蓄意破坏、数据窃取、欺诈、商业间谍、无意失误、无意装模作样。知情人作案一般是一个持续的过程。在这个过程中,有逐渐的变化。最后,事件发生一次,成功多次。内部人员的范围不是“纯粹”的内部人员,还包括生态上下游合作伙伴、外包商、访客等任何拥有内部访问权限或数据的人。给个明确的定义,就是基于知识、访问和信任的角色。所谓知识,如果一个人知道系统所在的位置和可以绕过的防御措施,那么他就具有相关的知识。例如,系统的开发者可能知道产品的几个0DAY,前员工有测试系统的账号密码等。从技术角度来说,IT系统验证凭证的有效性,允许访问资源。因此,任何拥有凭证的人都可以被视为内部人员,即访问角色。即使系统具备多因素认证,内部人员也可以向其他人员提供短信验证码等验证要素,所以从这个角度来说,IT系统也很难做到完全杜绝。还有一个信任角色,可以最简单的理解为你的合作伙伴、外包等群体,还有内部人员。这些人获得了公司一定程度的信任,可以获得一些权威资源,以公司的名义行事。比如公司的用户数据泄露,从监管和舆论的角度来看,这是你的问题,不是外包或代理的问题。通常内部抓到的坏人都是公司的形象,不会公开,而且因为不会公开,所以实际案例可能比我们看到的要多得多。但实际上,从法院公开的裁判文书中,你可以查到很多案例。对付内部坏人的逻辑,首先是内部调查,确定他们的性质和行为。下一步就是走司法程序,但事实上,很多企业会在不公开的情况下被开除。1、破坏IT系统的破坏可能是大家最不关注的一个环节。这些人往往是技术人员,在工作中具有很高的系统权限,是比较值得信赖的人。如果这些人要删库跑路,很容易实施,这种情况在业内并不少见。动机主要是报复。不管是什么原因,总之,员工的期望没有达到。可能是加薪或升职,也可能是业绩,也可能是和主管关系不好。案件一般发生在离职前后。在某些情况下,系统会被放入后门并在辞职后进行操作。比如前段时间芜湖某网管的案例,他掌握了远程路由设备的密码,然后更改配置将其破坏。因此,可用性和完整性通常会受到损害。2.数据窃取对于很多公司来说,数据或核心信息的泄露是最令人担忧的。这样的案例不胜枚举,从全球最大的商业公司到政府部门。大公司还可以在数据泄露中幸存下来,但很多小公司可能会因为一个公式或过程的泄露而结束。设计师、工程师、程序员和销售人员最有可能并且通常会访问他们自己创建的信息。该行为可能发生在离职前后60天内。方式有很多种,邮箱、网盘、U盘、拍照、打印等都可以。3.内部舞弊这是公司最大的集团。与其他人不同,它的目标是金钱。在这部分,有相当多的人工资相对较低,非专业非技术人员。由于金钱的需要,如果有中低层管理人员参与的团伙,这些行为可以持续更长时间并且更容易成功。内部欺诈是通过破坏公司现有流程来实现的。比如客服给用户发红包,就存在内外勾结的可能。此外,拥有更多特权的人也是其中之一。另一种常见的情况是出售用户的敏感个人信息。例如,房地产公司会将用户的手机号码卖给装修公司。个人敏感信息套现比较容易,需求方也很清楚,获取难度不大。4.商业间谍活动不应被视为遥远的事情。在当前的商业竞争形势下,信息提取和内部渗透的案例很多,但很少被公开报道。商业间谍不是那种在电视上看到的那种养眼又丰富的高级间谍场面。实际上,它们可能来自竞争对手或黑产品。例如,某宝店雇用了一名在某宝操作方面具有相当经验的员工。在获取到用户的地址、联系方式等信息后,他立即退出去下一个。而这名员工是一类专门以获取情报为目的的间谍。商业间谍活动在犯罪时间上与其他活动不同。他们可能会偶然活跃一次,然后安静下来直到下一次。5.无意威胁前面的重点是恶意内部人员,无意威胁是那些可能没有恶意动机,但他们的行为会为攻击者提供访问权限,或对安全态势产生负面影响的人。比如乱下载软件、引入病毒木马、当社工、丢失U盘等,都属于此类。6.伪装者的特点是爱炫耀,尤其是在知名大公司工作,为的是向别人证明自己有内幕消息、地位高等。各大互联网公司,有人曾经截屏八卦。还有一些粉丝泄露公司公告,晒出自己的薪资表,利用职权查询男女朋友数据。二、捕捉内鬼的思路1.复杂性内鬼不是简单的技术和金钱需求问题,而是与外部环境和诱惑交织在一起。这些外部环境包括:内外勾结,内部人员可能一开始是好人,然后开始为竞争对手打工,黑灰产品等。合作伙伴,合作伙伴有很多信息,基于某些业务,他们可能有核心信息。组织架构的调整,如公司收购、裁员重组等,都会在员工的心理预期上产生不可预测性,尤其是当员工的利益受到损害时,变“坏”的可能性就会增加。跨国公司的文化差异,不同国家的宗教信仰和政治态度差异很大。一个典型的例子就是谷歌的某个项目因为某种原因被媒体泄露,导致项目终止。黑灰生产,员工参与黑灰生产也是一个信号。黑灰生产与内部员工的关系如何?不管员工是不是羊毛派对爱好者,这些都增加了风险。2.威胁时间线检测内部人员有一些共性。这些特征出现在访问日志、流量、文件等中,与正常活动混杂在一起,导致大量误报。这是一个需要解决的问题。特征分布在各个系统日志的时间轴上,需要进行数据融合清理,与人的行为关联。这个过程在这里是繁重的工作,需要多次修正才能使数据具有可解释性,具体取决于数据质量和系统架构,正确的方法,当然也需要数据人员的认真和细致。特征分为两类:技术指标和非技术指标。非技术指标会涉及HR、法务、管理等方面的参与,但在这一系列指标中有几点需要注意。第一,不要因为资历老、水平高而忽视它。人变了。二是要注意心理健康。对此,很多大公司都有心理测试,定期进行心理疏导。三是理解和帮助员工,给予人文关怀,而不是简单地指责和惩罚员工。不要把这个搞成一种官僚主义形式,这样不但于事无补,反而会让员工产生逆反心理。例如,员工绩效辅导不应该是办公室里的一种形式,而是至少一个小时的一对一聊天。每个人对工作和生活都有不同的看法。人力资源和领导者需要了解他们的个人风格、对工作的期望和目标,以及他们对同事和上司的看法。当技术指标发生变化时,需要人工干预以防止恶化。因此,应将这两类指标结合起来,发挥预防、检测和应对的作用。从事破坏、数据泄露和内部欺诈的人在时间线上是不同的。根据这一特点,可以更好地发现异常,加强对关键节点的监控。3.施工路线确实需要这样做。不是安全技术部主管那么简单。需要组织保障。这些信息安全技术还不足以保障。抓坏人可能会涉及到内控、信息安全、内监、内控、廉政、HR等部门,具体抓到哪个部门要看内部博弈,但一般情况下不会成立这样的组织在企业中开展活动。谁能做到,责任就落在他的头上。但总的来说,这是一项需要跨部门工作组才能完成的工作。另外,这个团队需要高层授权,才能解决“谁来监督监视器”的问题。该小组的工作是保密的,因此需要管理信任以确保监控观察者,因为该小组持有的信息过于敏感。你可以简单的理解为“东昌”这个角色,但是不能像东昌那样奔放,胡思乱想,人人自危。解决了前面的问题之后,接下来的路径是:建立风险管理体系,建立识别和评价方法。提高相关人员的能力。培训演练,提高员工安全意识。启动调查的程序有一些具体的操作需要特别列举:(1)背景调查一般是针对入职员工进行的,但这是静态的,只有在入职时才会进行外包调查。一旦人变了,之前的语气就没有用了。(2)纵深防御是信息安全领域的通行做法,但在管理上也需要纵深防御。(3)员工满意度员工满意度与公司规模有关。公司越大,江湖越深,不满情绪可能就越高,不满指数也会产生间接影响。(4)内部特权人员特权用户掌握了一些敏感、关键的权限,知道如何绕过监控和抵制调查。所以就是刚才监控器谁来监控的问题了。这就需要在公司的组织结构中具有相互制衡的能力。(5)必须绕过安全规则在商业组织中,安全是配角,赚钱才是核心业务。安全措施的叠加肯定会在一定程度上降低效率,而出于效率的考虑,一定不能完全遵守安全规则。要么以不打扰的方式实现安全,要么允许违规行为在必要时受到惩罚。在实践中,两者结合使用。(6)非故意行为危害非故意行为危害较为常见。例如,DLP抓到的大部分外出都是业务需要的无意的意外行为。真正的坏人可能会躲在这里被淹死。这需要依靠安全意识教育和直接接触警告来加强安全。3.可以通过不同维度的指标来监控发现内幕的检测指标。异常指标触发警报,从而提高员工的注意力。1.个人情况指标个人情况指标可能不会直接造成损害,但可以成为很多事情的诱因。这里最大的问题是您可能无法跟踪员工变动。这些信息可能被他的同事和HR知道了,这个信息渠道需要打通。例如,抑郁症是一种常见的职场精神疾病,会导致无意的错误和破坏。理论上,这些信息可以在年度体检报告中获得,但这是对个人隐私的侵犯,在严格的保密制度下才能使用。还有一点就是,绩效不佳的员工和待离职的员工离职动机很强,导致数据被窃取和破坏。这些数据是可以通过HR系统检测到的指标。2、背景和行为指标背景重在历史记录,很多公司都把敏感职位的背景作为招聘的必备条件。行为是根据员工在工作中的行为方式逐渐形成的。参与某些群体是指,例如国泰航空以往的事件、参与对飞行安全造成损害的社会事件、泄露用户信息等。至于前科,各种外包人员都要考虑。背景调查不仅在入职前进行,在晋升过程中也需要进行。其他类型不再详述。3、信息安全指标内部造假是利用工作流程掌握规则后牟利的行为。例如,风控部门的员工可能会掌握规则,绕过利润。检测难度大,但可以通过其他维度检测,比如与情报、钓鱼、黑灰产等相关。对于数据窃取,可能有一些反制措施可以绕过,比如加密数据,使用代理,等,并根据基线和阈值进行关联判断。商业间谍活动考虑帐户、设备、竞争对手协会和行为。4、终端指标终端是指用户的终端电脑、手机等,由于员工可以操作终端,可能会篡改数据,破坏监控代理。因此需要额外检查agent和日志的运行状态,尤其是当员工有离职等不良倾向时需要进行Key关联检测。数据盗窃可以通过打印和复制传出文件,并将此日志与后台行为指标相关联,从而可以检测到数据盗窃和工业间谍活动。如果内部人员登录其他同事的账户,其目的可能是为了隐藏自己、提升自己的权限或为其他员工操作。多次登录失败说明账号被暴力破解。多用户终端登录代表风险较大,但需要注意的是,一些岗位如三班倒、测试岗位等可能有公用设备,但排除这些岗位后,其他人员需要重点关注。当然还有其他的维度,比如不正常的工作时间,但是这个在互联网公司太普遍了,所以没有添加特征。终端检测很难发现内部欺诈,欺诈一般发生在业务层。5、服务器端指标对应用户在服务器端的操作行为:修改集中存储的审计日志,是有人试图擦除痕迹的明显信号。多个设备使用同一个账号说明账号可能被泄露,也可能是横向移动攻击。4.总结以上所有指标,单一观点可能只是一种异常,因此需要多个指标关联权重才能提取真正的风险。但指标不仅限于此,还可以根据自身业务数据形成更广阔的检测维度。比如一个销售从不上传新合同,却总是查询大量的历史合同。某员工手机号与采购供应商手机号相同,该员工与违规产品多次出现在同一地址,大量WIFI注册发生在同一时间维度,其他规则可形成单一指标。除了自身数据外,还可以接入外部数据验证,比如员工是否有长期借贷,历史工作单位验证是否一致等。最后还可以利用情报数据,反向验证犯罪行为内部人士所为。有很多空间,有很多事情要做。不要自己为信息安全设定界限。
