“Insider threat”是个什么鬼?
“Insider Threat”就是来自机构的“内鬼”。“内鬼”通常是来自机构的员工、前雇员、承包商或者服务提供商,这些人有机会访问机构内部的涉密业务、数据和计算机信息系统。这种威胁通常涉及涉密信息或者有价值的商业信息的窃取和欺诈,以及知识产权的窃取和计算机系统的破坏。美国国防高级研究计划局(DARPA)把“网络内鬼”称为CINDER(Cyber-Insider Threat),并专门立项研发用于美军网络“内鬼”的检测新方法。尽管有人将内部员工无意识的过错也归类于Insider threat,但无疑“内鬼”的威胁来得更大。
古今中外都对“内鬼”痛之入骨,也从来不缺少“内鬼”的案例。随着市场经济和信息化的快速发展,“内鬼”也出现上升的趋势。美国比较有名的“内鬼”有:美国得州胡德堡军事基地枪击案凶手心理医生哈桑(Robert-Hanssen)、前苏联间谍美中央情报局反情报人员埃姆斯(Aldrich-Ames)、古巴间谍美国防情报局高级分析师安娜,近年来有名的“内鬼”有曼宁和斯诺登,按照DARPA的提法,这两个八零后小伙子属于“网络内鬼CINDER”。
“内鬼”防范计划
“维基解密事件”中的曼宁曾是美国陆军上等兵,他利用职务之便,下载了二十五万份美国政府的机密资料,转交给“维基解密”网站。该事件促使2011年奥巴马总统签发第13587号总统令,专门成立内部威胁特别工作组(Insider Threat Task Force),专门研究和实施“内鬼”检测和防御计划,计划内容包括整合各机构的安全、反间谍、用户审计和监控等能力,研究开发新的政策、目标和重点项目。
DARPA防“内鬼”的科研项目
早在13587号总统令之前,DARPA就前瞻资助了一个为期2年“多尺度异常检测(ADAMS)”项目,预算3500万美元。该计划希望能够提前检测和防止“内鬼”的行为,比如“有杀人狂或自杀倾向”“内部人恶意报复”“雇员滥用职权泄密”等。其中有一个名为“利用图形分析研究主动发现内部威胁(PRODIGAL-PROactive Detection of Insider Threats with Graph Analysis and Learning)”的课题,该课题主要研究利用大规模数据集检测和发现异常特征与行为的新技术,数据集包括用户电子邮件、文本信息、登录、文件传输和军事网络浏览等信息。PRODIGAL每天可以扫描约250万份电子邮件、即时消息和文件传输,可帮助政府官员在信息泄露前寻找到泄密人员。真正促使DARPA开展此项研究的起因是美国得州胡德堡军事基地枪击案凶手哈桑、前苏联间谍埃姆斯和古巴间谍安娜,而“维基解密”事件的发生和曼宁、斯诺登的出现,也证明了该研究项目的必要性。
抓“内鬼”其实很难
“内鬼”出事后,通常证据痕迹看起来显而易见,而事前抓住这些痕迹却是非常困难的。通常,事中也会大量出现阴谋论和疑神疑鬼的各种腔调。ADAMS计划的项目经理瓦尔茨曼(Rand Waltzman)认为有4个难题:1.难以区分行为的正常和非正常;2.恶意行为在时空上的分布很广;3.异常行为是噪声背景下的微弱信号;4.涉及大量的数据。
比如,在美国得州胡德堡找到“内鬼”,将涉及6.5万个士兵,如果仅仅将每个士兵的电子邮件和短信流量关系画成图,一年就需要分析2,336,726个节点间的47,201,879,000个连接关系。如果在整个国防部范围,则需要分析37,387,616个节点间的755,230,064,000个连接关系。上面还不包括网站搜索、文件访问、程序运行和其它网络行为数据。
DARPA抓“内鬼”的研究方向
ADAMS项目确定了4个研究方向:
- 主题分析(Topic analysis):研究关注区域的特征,检测偏离主题或意想不到的内容;
- 系统使用(System use):研究系统和文件访问的时间序列和行为模式;
- 社交与网络(Social interactions and networks):研究指标和社会交往;
- 心理状态(psychological state):研究个人气质、心理健康、苦恼、不稳定或其他弱点。
美国总统成立抓“内鬼”工作组(ITTF)后,抓“内鬼”成为学术届的研究热点。其中图形分析(Graph Analytics)和机器学习成为解决问题的关键,出现了很多方案和思路。然而,DARPA报告指出,超过1000个节点的图形算法很难扩充,随着节点的增加,连接关系的检测将变得不稳定,对噪声数据的微小变化很敏感,需要新的图形分析技术支持不同噪声、采样偏差和规模条件下的极微弱信号的异常行为检测。
【本文为51CTO专栏作者“中国保密协会科学技术分会”原创稿件,转载请联系原作者】