内部威脅那些事兒(一(yī))

發布日期:2016-05-30首頁 > 安全資(zī)訊

什麽是内部威脅?

2016年4月,某涉密科研單位職員(yuán)黃某,由于平時工(gōng)作态度不認真,績效考評落後被原單位解職後,出于報複将之前利用職務之便複制的工(gōng)作中(zhōng)的涉密内容出賣給國外(wài)間諜機關;之後設法策反老同事、伺機從同在涉密單位的妻子與姐夫處獲取機密進行倒賣。最終,包括軍用短波機技術參數在内的多項國家秘密被出賣給境外(wài)間諜機關,嚴重威脅國家安全。黃某被以間諜罪判處死刑,其妻子和姐夫也因過失洩露國家機密罪被判處有期徒刑,而黃某原單位有29人受到不同程度處分(fēn)。

上述案例是離(lí)職人員(yuán)洩露機密的典型内部威脅事件。無獨有偶,早在2011年4月,韓國三星前雇員(yuán)竊取家電(diàn)部門核心技術信息,通過下(xià)載高度機密文件,打印後拍照保存照片信息,存儲到筆記本中(zhōng)帶出。2013年6月斯諾登“棱鏡門(PRISM)”事件轟動全球。作爲參與美國涉密安全工(gōng)作的一(yī)名承包商(shāng)雇員(yuán),斯諾登利用其職務便利獲得了對關鍵性系統的訪問權,随後從美國國家安全局拷貝了數十萬份機密文件,并将這些資(zī)料提供媒體(tǐ)記者進行發表。結果揭露了美國國家安全局與聯邦調查局于2007年就啓動的一(yī)個美國有史以來最大(dà)規模的秘密監控項目。借助在美國主要互聯網企業服務數據的挖掘分(fēn)析,美國情報機構得以從包括音視頻(pín)、圖片、文檔、郵件等多種數據形式中(zhōng)關聯分(fēn)析個體(tǐ)的行爲,以達到監視監聽(tīng)民衆通話(huà)與網絡活動的目的。2014年1月,韓國信用局内部員(yuán)工(gōng)竊取了2000萬銀行和信用卡用戶的個人數據,造成韓國曆史上最嚴重的數據洩露事件,等等。

上述内部威脅(Insider Threat)是信息化下(xià)内部管控風險的新表現。過去(qù)我(wǒ)們将此類人稱爲“細作、内鬼”,在信息系統領域則統稱爲“内部人(Insider)”。簡單來說内部威脅就是由内部人威脅企業或組織安全的行爲。内部威脅定義的關鍵在于定義内部人的内涵與外(wài)延,過去(qù)的認識往往将内部人看作是具有計算機登錄權限的用戶、數據庫登錄用戶以及網絡可訪問用戶等具體(tǐ)的虛拟身份憑證,2012年美國CERT提出了一(yī)個内部威脅的完整定義,基于豐富的内部威脅案例數據,明确了内部威脅中(zhōng)的主體(tǐ)與客體(tǐ),在實際中(zhōng)具有很好的适用性,可以作爲參考:

内部威脅攻擊者一(yī)般是企業或組織的員(yuán)工(gōng)(在職或離(lí)職)、承包商(shāng)以及商(shāng)業夥伴等,其應當具有組織的系統、網絡以及數據的訪問權;内部威脅就是内部人利用合法獲得的訪問權對組織信息系統中(zhōng)信息的機密性、完整性以及可用性造成負面影響的行爲。

上述定義内部人外(wài)延是與企業或組織具有某種社會關系的個體(tǐ),如在職員(yuán)工(gōng),離(lí)職員(yuán)工(gōng)(如黃某),值得注意的是承包商(shāng)與商(shāng)業夥伴擴展了内部人的範圍,即“合夥人”也是潛在的内部攻擊者;内涵則是具有系統訪問權。内部威脅的結果是對數據安全造成了破壞,如機密性(如數據竊取)、完整性(如數據篡改)以及可用性(如系統攻擊)等。

爲什麽要重視内部威脅?

2.1 内部威脅特征

我(wǒ)們從CERT的内部威脅定義中(zhōng),可以分(fēn)析、提取出内部威脅的關鍵特征,而這些特征也是内部威脅與外(wài)部威脅區别的最主要因素。通常來說,内部威脅具有以下(xià)特征,如圖1:

1 透明性:攻擊者來自安全邊界内部,因此攻擊者可以躲避防火(huǒ)牆等外(wài)部安全設備的檢測,導緻多數内部攻擊對于外(wài)部安全設備具有透明性;

2 隐蔽性:内部攻擊者的惡意行爲往往發生(shēng)在正常工(gōng)作的間隙,導緻惡意行爲嵌入在大(dà)量的正常行爲數據中(zhōng),提高了數據挖掘分(fēn)析的難度;同時内部攻擊者具有組織安全防禦的相關知(zhī)識,因此可以采取措施逃避安全檢測。所以内部攻擊者對于内部安全檢測具有一(yī)定的隐蔽性;

3 高危性:内部威脅往往比外(wài)部威脅造成更嚴重的後果,主要原始是攻擊者自身具有組織的相關知(zhī)識,可以接觸到組織的核心資(zī)産(如知(zhī)識産權等),從而對組織的經濟資(zī)産、業務運行以及組織信譽進行破壞,對組織造成巨大(dà)損失;如2014年的美國CERT發布的網絡安全調查顯示僅占28%的内部攻擊卻造成了46%的損失

内部威脅因爲攻擊者具備内部知(zhī)識,因此可以直接訪問核心信息資(zī)産,對企業造成嚴重危害;同時,透明性與隐蔽性卻使得這種威脅難以檢測發現,難以防範,因此我(wǒ)們說内部威脅要比外(wài)部威脅更需要重視,采取切實有效地應對方法。

2.2 内部威脅形勢

雖然國内媒體(tǐ)常年被娛樂信息占據,對關系國計民生(shēng)的重要信息報道少之又(yòu)少,但是内部威脅卻始終不曾消失,攻擊形式升級,事件頻(pín)發,造成了巨大(dà)危害。

攻擊升級方面,CERT統計了現有的内部威脅案例,發現其複雜(zá)性逐漸提升,當前的内部威脅已經具有相當的複雜(zá)度,如圖2:

其中(zhōng)複雜(zá)性主要表現在四個方面:

  1. 内外(wài)勾結:越來越多的内部威脅動機與外(wài)部對手關聯,并且得到外(wài)部的資(zī)金等幫助;
  2. 合夥人:商(shāng)業合作夥伴引發的内部威脅事件日益增多,監控對象群體(tǐ)擴大(dà);
  3. 企業兼并:當企業發生(shēng)兼并、重組時最容易發生(shēng)内部威脅,而此時内部檢測難度較大(dà);
  4. 文化差異:不同行爲人的文化背景會影響其同類威脅時的行爲特征;

威脅損失方面,除了之前介紹過的内部威脅案例,美國CSI/FBI在2008年公布的《計算機犯罪和安全調查》中(zhōng)對信息安全事件當中(zhōng)的事件來源做了統計,發現内部安全事件所造成的損失明顯要高于外(wài)部事件,如圖3:

2013年英國一(yī)家安全公司的年度報告指出,58%的安全事件來自于企業自身内部,其中(zhōng)部分(fēn)根據主觀惡意程度進一(yī)步區分(fēn)爲誤用操作與惡意操作;斯諾登的“棱鏡門”對美國安全部門無疑是沉重打擊,是一(yī)起非常嚴重的内部威脅事件,其影響已經無法簡單用經濟、聲譽損失來衡量;2015年普華永道的調查顯示,大(dà)陸與香港地區的企業信息安全事件同比增長517%,而其中(zhōng)50以上是内部員(yuán)工(gōng)造成的威脅。

盡管内部威脅形式嚴峻,但是企業現有的安全機制對于内部威脅而言作用微乎其微。2014年Vormetric内部威脅調查顯示,隻有9%的歐洲IT經理與安全人員(yuán)表示對内部威脅感到安全;26%的歐洲受訪者與47%的美國受訪者認爲很容易遭受内部威脅攻擊。企業的大(dà)部分(fēn)IT安全預算花在了數據保護、訪問控制與用戶監控技術,然而并沒有提升對内部威脅的安全感。不同國家容易受到内部威脅攻擊的組織比例如圖4:

因此,内部威脅危害巨大(dà),現有安全機制作用卻又(yòu)微乎其微,内部威脅形式嚴峻,需要引起社會各界高度重視。

内部威脅分(fēn)析

内部威脅應對形式嚴峻,需要社會各界的高度重視。首要工(gōng)作是分(fēn)析内部威脅的特征,從而研究可能的應對方案。學界曾經對内部威脅提出過諸多的行爲模型,希望可以從中(zhōng)提取出行爲模式,這部分(fēn)主要的工(gōng)作開(kāi)始于早期提出的SKRAM模型與CMO模型,兩個模型都從内部攻擊者的角度入手,分(fēn)析攻擊者成功實施一(yī)次攻擊所需要具備的要素,其中(zhōng)的主觀要素包括動機、職業角色具備的資(zī)源訪問權限以及技能素養,客觀要素則包括目标的内部缺陷的訪問控制策略以及缺乏有效的安全監管等。延續SKRAM與CMO模型的思想,當前代表性的工(gōng)作分(fēn)别來自于兩個團隊:美國CMU大(dà)學的CERT内部威脅研究團隊與英國Oxford的網絡安全團隊。

美國CERT中(zhōng)心是迄今爲止最富有成效的内部威脅研究中(zhōng)心,其不僅建立了2001年至今的700多例内部威脅數據庫,還基于豐富的案例分(fēn)析不同内部威脅的特征,提出了系統破壞、知(zhī)識産權竊取與電(diàn)子欺詐三類基本的攻擊類型,由此組合形成複合攻擊以及商(shāng)業間諜攻擊;此外(wài)CERT還建立了内部威脅評估與管理系統MERIT用于培訓安全人員(yuán)識别、處理内部威脅。三類基本的威脅模型我(wǒ)們會在之後的章節中(zhōng)分(fēn)别詳細介紹。

英國Oxford的網安團隊分(fēn)析了CERT數據庫中(zhōng)的内部威脅案例,抽象攻擊鏈,提出了最全面的内部威脅模型。該模型從内部威脅的動機開(kāi)始建立攻擊鏈,描述了行爲以及威脅目标和資(zī)源客體(tǐ)等諸多屬性。具體(tǐ)如圖5:

上圖中(zhōng)刻畫了内部威脅的四個方面:觸發事件、攻擊者特征、攻擊特征以及組織特征,分(fēn)别分(fēn)析如下(xià):

  1. 觸發事件:主要用于刻畫内部威脅的導火(huǒ)索,前提是内部攻擊者的特征決定了觸發事件成爲了攻擊實施的“最後一(yī)根稻草”。此類觸發事件通常是對内部人的較大(dà)負面事件,如降職、解雇、家庭劇變或與上司激烈争吵等;
  2. 攻擊者特征:主要用于刻畫攻擊者的心理狀态,從而刻畫出内部威脅動機;動機可以從人格特征、行爲特征及職能角色三個角度分(fēn)析。人格特征主要可以用大(dà)五人格來分(fēn)析,即OCEAN-開(kāi)放(fàng)性、盡責性、外(wài)傾性、宜人性及神經質性五類具體(tǐ)的人格度量;行爲特征主要分(fēn)爲當前行爲與曆史行爲兩類,當前行爲需分(fēn)析其工(gōng)作績效表現、出勤率等,而曆史行爲則是犯罪曆史、精神病史等檔案信息;職能角色分(fēn)主要決定了内部人具有的技能等級、訪問權限以及工(gōng)作區的門禁權限等,這些共同構成了内部威脅實施的“機會”條件;
  3. 攻擊特征:主要刻畫不同的攻擊類型,如系統破壞攻擊則主要是在系統中(zhōng)埋設邏輯炸彈,還原系統等;而産權竊取與欺詐則需要進一(yī)步入侵服務器與數據庫,訪問關鍵信息;
  4. 組織特征:主要刻畫組織的安全程度,其脆弱性給了内部攻擊者以可乘之機,内部審計機制與訪問控制機制決定了内部威脅的技術門檻;

通過以上四點特征,可以從攻擊鏈各個角度刻畫内部威脅。現有研究的焦點在于攻擊者行爲特征的刻畫,忽視了人格、角色等特征的分(fēn)析,因此對于攻擊鏈中(zhōng)動機因素重視不夠,導緻單純分(fēn)析行爲存在誤報,且無法建立有效的威脅預測系統。可以說,上述模型全面反映了内部威脅的各個要素,爲進一(yī)步研究提供了分(fēn)析基礎。

本章小(xiǎo)結

本節主要介紹了内部威脅基本知(zhī)識,首先從現實案例引入内部威脅的定義,便于從攻擊者與結果兩個維度把握内部威脅;之後從内部威脅透明、隐蔽以及高危的特征出發,結合形式複雜(zá)演變與攻擊事件頻(pín)發說明了内部威脅正極具加重,而企業現有安全機制作用微乎其微無疑使得形式更加嚴峻;接下(xià)來我(wǒ)們從Oxford安全團隊的模型分(fēn)析了内部威脅攻擊鏈中(zhōng)各個因素,從而對内部威脅有了全面的認識。接下(xià)來的章節我(wǒ)們将分(fēn)别詳細分(fēn)析三類基本的内部威脅,提出針對性的解決方案。

在結束本章之前,我(wǒ)覺得有必要說明當前國内的内部威脅研究早已落後于國際,以美國CERT爲例,2000年即由美國國防部贊助開(kāi)啓内部威脅檢測項目,2011年又(yòu)進行了ADAMS項目,将其發展軌迹表示如下(xià),對比國内零散冷門的研究現狀,差距可窺一(yī)斑:

五 參考文獻

1 科研人員(yuán)偷賣90項國家絕密情報 http://news.sina.com.cn/o/2016-04-19/doc-ifxriqqv6232884.shtml

2 維基百科:https://en.wikipedia.org/wiki/PRISM%28surveillanceprogram%29

3 Lawrence A. Gordon, Martin P. Loeb, William Lucyshyn, and Robert Richardson. CSI/FBI computer crime and security survey, 2006

4 Kroll and Economist Intelligence Unit, “Annual Global Fraud Survey, 2011/2012,” 2012

5 The Seven Largest Insider-Caused Data Breaches of 2014, C Preimesberger, , 2014

6 2014 US State of Cybercrime Survey, US CERT, Camegie Mellon University, 2014

7 基于文件訪問行爲的内部威脅,北(běi)京郵電(diàn)大(dà)學,張銳,2015

8 The CERT Guide to Insider Threats, 2012

 

轉載:freebuf