实施内部威胁计划的企业花了相当多的时间在担心攻击技术和恶意代码,但FBI专家告诉2013年RSA大会的与会者,内部威胁通常并不一定是黑客。
根据FBI上周发布的内部威胁计划(Insider Threat Program)中的反间谍情报显示,雇员、前雇员或承包商对企业构成最大的威胁,虽然这些人在加入时并没有恶意。
这些研究结果是基于对20年间的间谍案例的调查,结果表明,与流行的看法相反,当涉及到数据丢失和间谍活动时,现实世界的内部威胁并不是偷偷地从内部系统和网络窃取敏感信息的典型黑客。
FBI领导内部威胁计划的首席信息安全官Patrick Reidy表示,企业信任的授权用户构成最大的威胁,他们可能带着恶意目的进行合法活动。FBI的内部威胁计划创建于Robert Hanssen间谍事件后,在这个2001年的事件中,一名美国联邦调查局特工被发现向俄罗斯兜售情报和其他货物长达22年之久。
Reidy表示,自从维基解密开始公布机密信息以来,关于内部威胁的讨论就不绝于耳。在企业面临知识产权和敏感数据的欺诈或灾难性损失之前,安全专家应如何铲除内部威胁?
教育“无意的”内部人员
Reidy表示,首先要确保防火墙、防病毒软件、政策和其他系统控制采用了最佳做法。在FBI追踪的事故中,每年有四分之一的事件源自Reidy所谓的“傻”问题:员工因为没有遵循程序、丢失设备和敏感数据、点击垃圾邮件、不恰当的电子邮件或web链接、或者错误处理密码和账户而无意地造成系统被感染。
Reidy表示,FBI花了约35%的时间来响应这些类型的事件。重视教育可以帮助减少这些问题;他表示在过去一年中,这些事件在FBI下降了7%。内部威胁并不多,但从造成的损害来看,这是最昂贵的威胁。在10年间的超过1900个事件中,约有19%是恶意的内部人员威胁。基于多个“开源”数据泄露事故报告和数据丢失调查显示,每个事件的平均成本是41.2万美元,每个行业的平均损失为1500万美元。在一些情况下,损失甚至超过1亿美元。
从1996年到2012年起诉的案件(按照工业反间谍法案Title 18 U.S.C.第1831节—其中要求提供证据证明案件与外国政府的联系)的数据来看,平均损失为47200万美元(在法庭上确定的损失金额),中国涉及71%的案件,而29%则是来自其他国家。
“我认为具有良好的内部威胁和数据保护计划的企业将能够继续存在10年,”Reidy表示,“而那些没有这些计划的企业将无法维持这么久。企业应该要使用诊断分析来确定内部威胁的模式,因为FBI发现其使用了多年的预测分析并没有效果。造成内部威胁的人并不像其他人一样,他们很多都会达到一个临界点。”
使用多方论证的方法
良好的内部威胁计划需要的不只是政策合规和网络安全。FBI内部威胁分析师Kate Randal表示:“这不是一个技术问题。”其研究表明在90%的事件中,这个问题不能被恶意软件检测。“这是一个围绕人的问题,而人是多维的,所以你需要做的是采取多方论证方法。”
一个好的计划的目标是制止、检测和破坏内部威胁。计划实施者需要确定除网络安全外的人事和机密信息。
“重要的是把重点放在确定你的敌人、你的人员和你的数据上,”Randal表示,这个过程包括询问这样的问题,“谁会对你的公司感兴趣,他们会瞄准企业内的哪些人?”Randal称FBI会检查网络、内容(例如财务状况、旅游、报告)和社会心理信息的综合信息。在企业中,Randal认为安全专业人员应该与其法律部门合作来确定他们可以合法地收集的信息类型。
关键在于,企业需要了解其资产情况以及确定“企业的宝藏”所在。一个很好的开端是列出可能会损害公司的最糟糕的情况—包括资产和个人。Randal建议还应该询问另一个问题,“包含敏感数据的前五大系统是哪些?”然后从这里开始,跟踪这些系统中的用户数据、日志和文档。内部FBI安全日志显示,超过80%的数据移动是由不到2%的工作人员操作的。
Reidy称,良好的内部威胁计划应该主要侧重于制止,而不是检测,因为到那时往往为时已晚。FBI认为他们不可能确定每个潜在的内部威胁,于是,他们选择使用多种策略来防止内部威胁。
其中一种方法涉及创建一个环境,通过“群众包围”安全性来防止内部威胁,另一个是基于与用户的交互。通过向用户提供工具和技能来加密他们自己的数据,并提出办法来保护和分类他们的数据(这与很多企业实行的集中式政策不同),这样,信息安全的责任就被转移到了用户,同时企业还应使用积极的社会工程来提高用户意识。
Reidy表示,“整体的思路是,在道路上设置警示标语。”比如用户试图下载敏感文件到USB时弹出警告画面。这能够让用户知道,“我们在看着你哦”并让他们回答这个问题,“你真的要这样做吗?”
Reidy称这样做可能会导致内部抵触情绪,他们会认为一般人没有这种级别的责任。这种情况在FBI就发生了,但对于Reidy来说,这并不是问题。“在联邦调查局,我们有14000名员工每天都会带着枪械来上班,”Reidy表示,“你告诉我他们不会用USB?”
检测内部威胁应该使用数据挖掘和基于行为的技术,侧重于诊断分析和可观察的红色标记,例如行为的改变。根据FBI的调查,社会心理风险因素包括从不满的员工和高压力员工(正在处理离婚或财务问题的员工),到意识薄弱的个人和利己主义者。
初始步骤可能就像与人力资源共享信息一样简单。他建议尝试观察,例如是否有人在星期五下班后打印大量的文件,而此人原定于下周一被解雇。基于用户的基线计算机行为(数量、频率和模式)来检测,并使用策略来引出威胁。Reidy称:“在干草堆里找一根针更简单,但在一堆针中找一根针就很难,因为每个人都是相同的或者保持相同的行为。”
内部威胁检测和制止的研究仍然处于起步阶段,卡内基 - 梅隆大学的CERT内部威胁中心按照行业进行威胁建模作为其MERIT(内部威胁风险管理和教育)计划的一部分。DARPA的网络内部威胁(CINDER)同样也在做这方面的工作,可以作为企业的宝贵资源。安全专业人员可以使用这些研究来部署或改善其内部威胁计划,同时提供内部威胁事件的数据来帮助研究人员的研究工作。
