扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在当今的信息安全环境中,我们经常听到来自外部攻击者(例如有组织的犯罪和国家)的高级持续威胁(advanced persistent threats,APT)。然而,信息安全从业人员还需要担心内部威胁。这种威胁关系到那些能访问组织数据、文件和IT系统的员工、承包商或是分包商,他们可能心怀不满或是感觉“有责任”来偷取有价值的知识产权信息。他们的动机可能有所不同,从政治原因到个人忿怒、或是单纯的贪婪。
本文提供了广泛的总结,涉及内部威胁及内部威胁检测最佳方法的关键问题。企业可能需要更新一些公司策略和实践来更好地保护IT系统及知识产权资产。
内容目录
内部威胁的类别
如何识别高风险的员工
数据是如何被窃取并拿走的?
如何应对增长的内部威胁风险
解决内部威胁风险的实际方法
内部威胁的类别:
据卡耐基梅隆大学的CERT内部威胁中心(该中心提供关于内部威胁的全面和权威的研究结果)以及我的个人经验来说,内部威胁的关键类别包括下述内容:
• 蓄意破坏IT系统——破坏公司的IT系统或是偷取IT资产(例如偷取源代码、私有程序等等)来进行报复。
• 业务优势驱动——员工或是承包商偷窃公司的数据以便在他们新的雇主那里拥有优势,后者通常是公司的竞争对象、或是计划在他们开始的新业务上获得优势的雇主。
• 经济利益驱动——这种类型犯罪通常涉及到欺诈,例如窃取社会保险号、信用卡和CVV编号等信息,挣钱是首要目标。
• 商业间谍活动——主要的动机是为别的公司或国家做间谍,并且为了政治上的利益直接将偷取的资产给“敌人”;在此类案例中也经常涉及到金钱,这把我们又带回到了经济利益驱动类型。
如何识别高风险的员工
为什么公司的内部人员想窃取数据、程序、源代码、销售策略等信息呢?动机通常是主要由两个本能的问题所驱使:自我和贪婪。
识别高风险员工的最佳做法是观察他们的行为。他们敌视他们的上司和同事吗?他们在职权方面有冲突吗?他们的工作表现有下滑、或他们迟到或缺席比平时多吗?在正常的工作时间之外,是否有他们任何过度的工作、或是网络上活动的证据?
同样对于经济利益驱动类型来说,员工是否欠债累累?他们是否在滥用毒品?他们是否开新的、昂贵的汽车,或是通过穿戴珠宝、昂贵的服装,甚至是昂贵的小玩意来炫耀?这些可能是暴露真相的迹象,他们可能是潜在的窃取数据的内部威胁人员。
谁造成最大的风险?内部威胁心理学
以下类型的员工、承包商和分包商应引起企业的关注。寻找以下特征,将其作为你进行员工风险评估的一部分:
• 心怀不满的员工——这些通常是感觉自己不被尊重的员工,可能是由于错过期望的薪水提升机会,或是在个人利益、休息时间、降职、职位调动或是其它类似的问题上与管理者发生负面冲突。在这种情况下,报复是员工的动机。
• 寻求利益的员工——对于许多人来说这是简单的动机。他们为了薪水工作,然而通过窃取信息他们能售卖偷到的信息给有组织的罪犯、或是修改数据来窃取别人的身份从而获得更多的钱。对员工来说,这些信息很容易访问并窃取,再加上偷窃行为可能被合理化,因为恶意的内部人员可能对自己说“公司也不会觉察到”。这种情况下,个人动机可能包括大型的金融,或是与毒品相关的债务。
• 员工打算跳到竞争对手那里或是自己创业——对于打算在同一领域自己创业的人来说,窃取客户名单、商业计划、甚至是简单的表格或是模版都很有诱惑力的。此外,想象一下员工离开公司为竞争对手工作。可能竞争对象已经暗示员工,在入职时信息的交换能让他得到更好的位置。
• 认为他们自己拥有源代码或是产品——在这种情况下,员工对于他们写的源代码或是开发的产品有一种拥有权的感觉。因此他们带走源代码用于未来或是下一份工作使用。
据CERT内部威胁研究中心的研究,对于内部人员威胁/偷窃来说造成最大风险的员工包括技术职员,如工程师和科学家,管理人员,销售人员和程序员。雇主应特别关注那些在部署的IT系统上拥有管理员权限或是特定用户的员工。这些员工了解系统的强处和弱点。他们可能是“心怀不满的怪人”在系统内植入逻辑炸弹或是破坏数据,这些造成的问题直到他们离开公司数月或是数年后才会被发现。
数据是如何被窃取并被带走的?
一旦数据、源代码或是知识产权被窃取,必须被转移到一个能够实施员工计划的地方。以下是途径列表,用于提取将被恶意使用的信息:
• 电子邮件——对于小于10GB的数据来说,电子邮件是最简单的传输方法。员工可能使用公司的邮件将信息发送到个人或是同伙的邮箱账户。此外,web邮箱(网页邮箱)可以被用来访问个人的邮箱账户并且邮寄数据给别的账户。当然,数据可能需要发送给别的目标如某个国家,所以邮件服务能再次用于直接给目标发送数据,或是通过个人邮箱账户发送给目标的国家或有组织的罪犯。
• 文件传输协议(FTP)——窃取的数据可以上传到由员工、或是目标罪犯建立的某个FTP站点。对于更大的文件这是最佳的方法。
• 可移动媒介——随着可移动媒体设备的普及,这是从雇主的系统中带走数据最容易的方法。USB驱动器、CD/DVD烧录器、移动硬盘、内存卡、便携式音乐播放器甚至于手机都能用来拷贝信息并带出办公室。偷偷摸摸地使用物理存储意味着信息可能被邮寄给员工或是坏人。
• 移动设备——下载信息到公司配备的便携电脑或是员工自己的智能手机、平板电脑、或是其它移动设备上,是另外一种拷贝数据并且带走的手段。
• 远程访问——远程访问公司的网络是另一种访问网络以便窃取信息的方式。在CISO分配给我的某个任务中,一名员工在他的家里搭建自己的SSH服务器,并且能够远程地连接到公司网络、或是反向连接到他的服务器来带走数据。他是公司的“技术发烧友”之一,所以技术上他是精湛的,并且知道为了他的目标如何打开端口、建立服务等等。
• 纸张——打印数据和复印知识产权是一种快速、简单的收集数据并带走数据的方法。
• 拍摄和截屏——在办公室手机照相机已经泛滥。除非系统规定阻拦,员工能够进行简单的屏幕拍摄并且随后离线邮寄或是下载。
诸如即时信息、或是短消息服务(SMS)的方法也可能包括在上述列表中。不要忘记加密是很容易实施的方式。免费工具诸如TrueCryt能够使用AES、Serpent、Twofish或是组合的算法加密数据,因此防止员工看到窃取的信息。
如何应对增长的内部威胁风险
公司需要持续关注内部威胁。即使是在最好的公司,也存在员工的人力资源问题。然而当宣布人员解雇或是解聘时,管理层应该特别警惕内部偷窃行为。同样,如果好几个员工打算跳槽到正在积极地招聘、或是打算进入公司业务领域的竞争对手那里怎么办?如果一组承包商完成了他们的工作并且打算离开该怎么办?那些怀有怒气并且感觉他们的权利被侵犯的不满员工怎么应对?这些情形都应该引起对内部威胁的警惕立场。
记得提早建立一个管理内部威胁问题的计划。早在威胁发生前应该采取下面这些步骤:
1. 确保组织遵守联邦和各州的法律和规章关于隐私权、个人权利等。在欧盟的读者要确保组织遵守欧盟的隐私要求。
2. 让董事会管理层包括CEO,以及其他团队包括IT、信息安全、隐私、物理安全、法律和人力资源的管理层参与进来。使他们意识到任何隐约出现或是可能的威胁(可能的话让他们阅读本文!)。
3. 决定恰当的时间来让外部顾问、法律执行机构、FBI、秘密服务等介入。无论这些团体是否迟早晚要参与进来,或者如果是正在执行任何联邦的敏感工作永远不会取决于公司的合同。
据CERT内部威胁中心进行的研究,IT系统最可能发生内部偷窃/恶意破坏的时间是在员工离职的30天内。因此可能需要额外的关注包括使用技术上的监控手段(例如日志)以及行为监控,它们在这个期间内是恰当的。
解决内部威胁风险的实用方法
对于大多数的信息安全方法来说,需要实施分层防御手段来减少内部威胁的发生。技术上,可以用先进的日志及日志过滤技术来监控高风险的员工。要监控的活动包括传输或是邮寄的大文件,给竞争对手的邮件、发往他们个人邮箱地址的大量邮件和文件,以及发往不合情理的国家或是异常站点的文件。
对于此类监控行为必须再次重申,所有的活动需要遵守法律规定。
以下是组织内不同部门的其它工作思路的列表,能够用于保护组织的数据免于内部威胁:
人力资源部门
• 对所有可能的员工、承包商和分包商进行背景检查。确保包括工作经历验证、犯罪记录检查以及相关的推荐人验证。
• 对于任何将要处理金钱、金融设备、高价值资产等等的员工进行信用检查。坦率地说,随着所有人关注我们艰难的经济,对新员工、承包商、分包商进行信用检查也许是有用的审核过程。这能确保新员工不是高风险的,因为他们绝对不会需要金钱来还债。
• 监控异常的财务状态变化。
• 为监督人/经理以及员工建立关于内部威胁的定期培训机制,并且培训秘密地报告可疑行为或是个人的方法。
• 监控并报告捣乱的或是可疑的活动。甚至在雇用期间对涉及任何破坏行为的人进行背景检查。
• 对可能影响工作场所的负面消息或是谣言提前采取行动并管理。
• 一旦雇用关系中止,则禁用员工的计算机访问和远程访问。值得注意的是,一些公司一旦收到辞职申请后就立刻禁用计算机访问,以便更好地保护数据和系统免于伤害。
• 制定内部威胁事件的应急预案。这可能是你的工作场所破坏计划中的一部分。
• 报告外部人员在工作场所的可疑联系。这可能是有组织的罪犯或是间谍代理人在收集/移动数据或资金。
管理部门
• 创建清晰明了的文档并强制执行策略、流程以及控制措施来防范内部偷窃/威胁。
• 强制执行职责分离和最小权限。不允许员工访问没有理由查看、获取或是下载的信息。同样,确保财务上的任务是分隔开来的,例如保持对应付账款和应收账款的访问是分隔和不同的。简单来说,组织不想让某人根据以欺骗手段写的账单来开发票。
• 限制使用便携媒体,或是在某些环境下禁止使用。
• 提醒员工——并且让他们签署确认声明:他们创建、管理、使用的知识产权属于公司而不是员工。
• 审计关键的行为(例如支票和支付准备工作以及邮件),并且审计任何可能用于操纵带走资金的异常过程。
• 对IT资产和数据实施并强制执行恰当的使用策略。强调对敏感或是有价值的信息进行恰当的处理和管理。
技术实践
• 从技术上限制员工只能访问系统上完成工作需要的文件和数据。
• 最小化或是限制管理员的权限,并且不使用共享的用户名和密码。
• 记录、监控和审计员工线上的行为。同样要确保此类活动的合法性。
• 实施安全备份和恢复机制,并且确保备份数据没有被破坏。
• 阻拦对个人邮箱、web邮箱和竞争对象邮箱的访问。
• 自动标识不匹配的数据(例如给某公司的付款与发票的数额)。
未来的挑战
我们必须面对的事实是,内部威胁可以(很可能已经)在每个企业内发生。随着不断增长的业务竞争全球化本质,内部威胁挑战的增长不会让我感到惊讶,同样还有对于我们的IT系统来说,不断增长的外部信息安全威胁。组织必须始终保持对内部威胁的警惕,包括为系统不可避免的风险制定计划。熟知这些风险,并为这种可能性做好准备,良好的组织将受益于知晓如何快速地响应,以便减少或是防范内部威胁的发生。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。