根据注册欺诈审核师协会(ACFE)的《Report to the Nations》报告显示,每年企业因欺诈损失5%的收益。大多数欺诈者在为其雇主工作多年后才开始进行数据盗窃。
虽然网络欺诈只是内部威胁的一部分,ACFE成员Anyck Turgeon认为探讨这个问题更为有意义。M-CAT Enterprises和The Fraud研究所创办人兼首席执行官Turgeon表示:“如果安全专业人员继续谈论欺诈,而没有适当的培训、认证和实践经验,并且金融专业人员继续使用不同的术语,内部威胁基本上无法避免。”
Turgeon是专注于网络欺诈和洗黑钱的网络安全数据科学家。曾在哈佛大学、加州大学伯克利分校、德克萨斯大学奥斯汀McCombs商学院以及甲骨文大学和McAfee研究所等组织参加广泛的教育培训。在Turgeon在准备发布网络FRAML(欺诈和反洗钱)字典时,Marcus Ranum对她进行了采访。她称,这本字典是首开先河。
感谢您抽出宝贵的时间来与我谈论计算机安全领域的内部威胁问题。我们都听说过‘80%的攻击来自内部’,但我知道的事实是,这个统计数据是在行业发展初期的一次会议上由某个人突然提出。我们真正了解内部攻击的危害程度吗?
Anyck Turgeon:在纳秒级处理、背景感知安全、社会阶层重新分配(中产阶级消失)以及不安全互联设备带来挑战的时代,我们很容易预测,内部威胁不只是今天的挑战,也会是未来的噩梦。
我看到很多人都拒绝接受这个事实,特别是被骗的受害者--他们在失业、破产以及无家可归后打电话给我,这让我很震惊。如果目前的技术可以抵御网络欺诈,如果数据泄露无关紧要,那么,为什么每年三分之一的人都会受到欺诈的影响?
让我非常痛苦的事实是,在很多销售反欺诈和反洗钱解决方案的技术公司,没有人是合格的注册欺诈审核师、注册反洗钱专家或注册金融犯罪调查员,他们也没有成功解决欺诈问题的实践经验。(我非常清楚地知道很多大型企业和个人在发布不符合实际情况的营销统计数据。)为了扭转这一趋势,下面让我们看看ACFE最新的《Report to the Nations》报告中一些令人震惊的统计数据:
• 42%的专业欺诈由员工执行
• 36%的欺诈由中层管理人员执行
• 只有5%的欺诈者此前因欺诈有关的罪行而被判定有罪
• 58%的受害企业无法恢复因欺诈造成的任何损失
• 只有14%的欺诈受害者可以完全恢复
• 只有3%的欺诈在传统外部审计中被检测到
有趣的是,在大多数专业欺诈中,至少有一位高管(通常是CFO和/或CEO)或者董事会成员作为沉默的观察者或者作为有利的帮凶。对于更广泛的安全泄漏事故(IP盗用、网络勒索或被盗身份信息转售),我还注意到各种内部威胁代理。
我觉得内部数据泄露或网络欺诈是一个巨大的问题,安全领域没有人在这方面真正拥有实践经验,如果能提供几个真实故事(当然不涉及客户具体情况)就好了。你能否给企业提供一些建议来帮助他们应对这种情况吗?
Turgeon:首先,作为技术人员,我能体会我的同行可能感觉我所说的有些‘风牛马不相及’,因为网络欺诈毕竟只是内部威胁的一部分。然而,只要安全专业人员继续谈论欺诈,而没有适当的培训、认证和实践经验,并且金融专业人员继续使用不同的术语,内部威胁基本上无法避免。因此,我团队的专家会审查公司的财务情况,并进行欺诈比率分析,取证数据泄露事故踪迹和合规性报告指标经常表明企业的不同部门就像航行在完全不同海域的船舶。
从我们正在制定与内部威胁相关的网络风险指标的方式来看,我看到存在很多挑战。
通常情况下,IT安全人员和相关的第三方(例如审计人员和欺诈审核师)在执行多项任务,包括背景调查、攻击取证、IT安全做法的法庭专家证词,而他们并没有获得相关许可证。虽然我不认同现有的规定(即考试与IT安全无关),我发现很有意思的是,大多数IT安全CISSP和风险管理从业人员要求每年完成一定量的道德培训以更新其认证。然而,他们并不会进行IT安全合规考核。
IT安全专业人员会进行协作,并在Madoff旁氏骗局中被判有罪,他们通常可能是有利的帮凶。从这一点来看,监管机构应该通过更高的标准来教导以及确保遵守法律,包括要求专业人士获得许可证等。
还有很多‘鞋匠的孩子上学不穿鞋’的其他例子。然而,只要大多数安全从业人员不遵守这些要求,我们怎么能指望他们提供有关企业IT安全状态的可靠的统计数据呢?鉴于目前的安全状况,我认为我们需要将教育责任转移到更大更有影响力的群众(例如投资者和消费者),这样网络安全最终会作为全面的挑战来应对,而不是现在这种状况。
当我们向企业展示网络黑市中有关其客户、员工和投资者的有效用户ID、密码、安全问题和答案的数量时,很多企业都感到震惊。如果企业专注于4%的常规互联网,那么,风险报告统计数据将无法评估其企业数据泄露的实际情况以及确定数据泄露事故真正的长期成本。
我发现有些员工会窃取其雇主的数字资产来偷偷地帮自己支付网络赎金以及保护自己的宝贵资产。很少企业会报告其数字资产的财务评估企业数据的价值是什么。
由于识别错误分配资金往往需要网络欺诈、洗黑钱和企业财务专业知识,我经常接到CISO的电话称他们发现了数据泄露或攻击,但不知道如何管理以下问题:
• 确定遇到的具体问题;
• 解决各种挑战(民事、刑事、军事、国际法庭、行政法院或使用其他方法)--律师往往无法应对多个法庭,并且很多挑战最好进行谈判;
• 确保恢复其资产;
• 管理不同国家的执法机构的调查;
• 尽量减少危机管理中的企业责任
虽然执法部门可以发挥关键的作用,但我们很少会看到受害者为所有未来损失得到赔偿。考虑一下心怀不满的员工将你客户和员工个人信息放在黑市转售。你的IT安全团队可能能够发现服务器泄露,并通过更高防火墙配置来阻止泄露。但对黑市正在进行的交易进行调查需要并行完成。
鉴于目前的重点是核查和预防,而不是协作解决,我们需要教育公众,让他们对IT安全有基本认识。只要投资界继续关注“零威胁渗透”方法,决策者选择稳住其职位的做法,背景感知情报、交换虚拟分区和液体计算带来真正威慑所需要的创新将会停滞不前。
你以前做过网络欺诈调查。你认为网络欺诈和内部攻击是同一件事情还是一个问题的不同方面呢?对于我来说,这种区别相当于‘授权人员做未经授权事情’与‘外部未经授权人员窃取授权用户的登录凭证’。
Turgeon:作为注册欺诈审核师、注册委员会顾问和注册CISO,欺诈被定义为‘非法或刑事欺骗以获取财务或个人利益。’正如ACFE的统计数据所显示,欺诈可能由内部人员以及外部人员执行,他们可以是授权人员,也可以是非授权人员,但都在做未经授权的事情。
从计算机技术的角度来看,我将内部攻击定义为由具有授权系统访问的人渗透网络或计算机系统执行的恶意攻击。在这种情况下,授权以及未经授权人员(例如使用授权用户登录凭证的外部人员)获取对宝贵私人和企业资产的访问权限。此外,内部威胁也可能涉及物理绑架、企业污损和股市停盘等活动。对我来说,主要的区别是意图和获得的东西。
为了合法地解决这些问题,举证的责任比对内部威胁的指控更具挑战性。但基于大多数法官和律师对计算机的认识,在欺诈的案件中,更容易确保定罪。有趣的是,我的惊讶是,欺诈案件通常会以庭外解决和辩诉交易结束,而当涉及更严重的判刑(例如坐牢)时,网络安全指控才会在法庭解决。
当然,作为CISSP、CPP和CIPP,我可以证明在定义这些术语时会有很多混淆。通常情况下,不同安全领域的专业人士可能会使用相同的术语,但有不同的含义。当法官、律师、企业高管、董事会成员和投资者参与进来后,事情会变得更加复杂。这也是为什么我花了五年时间研究不同学科以及编写网络FRAML字典的原因,该字典将解决这些实质性的差异,并提供术语和解。在从怀疑到调查、检查、发现、分析、解决、审计和破坏等阶段,这将让我们所有人进行良好的沟通。
为有效沟通安全事故的程度,我们应该把重点放在哪里?在我看来,安全行业媒体通常会专注‘信用卡泄露数量’或‘个人数据泄露数量’,但这并不是重点。这些数据并没有真正告诉我们事情的严重程度,并且,这会让人们继续使用密码和信任不值得信任的服务。你前面提到企业会损失5%的收益,这是很大一笔钱。我常说,新闻媒体应该谈论失败模式:企业未能执行特权访问管理的另一个数据泄露事故。但这对于非技术人员有些难。
Turgeon:每当我看到电视记者谈论他们完全没有相关知识的话题时,我都会很崩溃,我感觉我们需要开始考虑技术使用许可。正如我们需要基本了解法律和运输标准才能开车一样,我们是不是也应该确保大家基本了解技术,当安全事故发生时,我们可以通过情景化解决方案来解决危机。虽然这在近期不会成为现实,但现在应该开始架构情景化,让预防和解决问题之间的巨大差距最终可以最小化。
我们还需要解决对网络通信的网络道德问题。在接下来的文章中,我会进一步强调针对网络攻击进行教育通信的重要性,以及总结过去网络战行动中遇到的通信挑战问题。
最后,正如天气和体育新闻是大多数新闻节目的一部分,我们需要所有媒体涵盖技术教育。随着物联网的出现,我们更迫切地需要部署不同层次的网络教育,让我们最终能够解决目前方式的错误。