造堵墙,墙头堆满各种边界防御措施,再投入大量资源维护?没问题,你可以这么干。但如果你的敌人来自内部,这墙没啥用处。
不同的战场
内部敌人,你早晚会遇到,或者,现在就遇到了。老牌安全公司迈克菲表示,43%的数据泄露都是内部人干的。ISF信息安全论坛则将内部人所致数据泄露的比例定在了54%。无论你觉得哪个数字靠谱,邪恶的内部人员都是真实存在的问题。
保护自己的领地不受内部人威胁侵害是与正面战场完全不同的战争形式。很难定义这是个怎样的战场,里面的士兵难以分辨,也无法用更好的反恶意软件产品加以阻止。这是必须以知识、情报和内部协议打赢的战争。
知己知彼百战不殆。与敌人过招的第一步就是要了解敌人。下面是著名的七个自毁长城的例子供参考:
1. 偷走未来的人
Anthony Levandowski 的故事或许还未完全终结。但他的事迹以及自动驾驶汽车的诞生过程,却似乎可以概括内部人数据泄露的大概特征。
Levandowski曾受聘于Waymo的前身,谷歌自动驾驶汽车研发部门。在那里,他参与研发了奠定整个智能汽车产业基础的lydar。2016年5月,Levandowski离开谷歌,创立了 Otto Motors。之后不久,2016年7月,Uber买下了Otto。
故事的高潮就出在Levendowski的跳槽过程中。有传言说,Uber当时的首席执行官 Travis Kalanick 一手导演了Levendowski打入Waymo盗取知识产权再转而开启自身无人驾驶汽车项目的剧本。据称,在Levendowski离开谷歌前,他下载了包括蓝图在内的数千份文件,并将这些文件都带到了Otto,以便卖给Uber。当然,谷歌愤而起诉了,很高调地。
2018年2月,Waymo和Uber和解。Uber现任首席执行官 Dara Khosrowshahi 公开道歉,并承诺此后将以诚信为先。和解协议中,Uber给了Waymo 0.34%的股份(价值2.45亿美元)。
2. 42.5万美元的文档
Jason Needham 事件再一次证明,员工离职时确保其没有顺走专利数据可能是明智的做法。在2013年离职成立自己的公司之前,Needham是田纳西州工程公司 Allen & Hoshall 的雇员。
然而,离职后的两年间,他依然可以偷偷摸摸地访问前雇主的文件服务器和电子邮件。他下载了价值42.5万美元的文档和设计,无数次查看某前同事的邮件。法庭上,Needham宣称,自己只是习惯性查看以前的项目而已。但是,当一名客户发现他竞标的一份提案十分可疑地与 Allen & Hoshall 的设计非常相似的时候,他的说辞就显得苍白无力了。
FBI介入调查,并帮 Allen & Hoshall 立案。最终,Needham被吊销了工程师执照并被判入狱18个月。
3. IBM集群文件系统源代码
徐家强(音译)案就是受信内部雇员可对公司造成多大伤害的绝佳案例。徐家强是在IBM开发集群文件系统源代码的中国籍员工。他是少数几个能够接触到该专利软件的人,此专利产品存储在精心打造的防火墙之后,受到重重保护。
在被IBM聘用并取得公司信任后,徐家强拷贝了该软件,然后辞职,出售该副本以牟利。一名FBI探员卧底调查该案。他与卧底探员见面时提供了该软件的一个版本,并附上可证明该版软件出自IBM的源代码。而且他还提出可为卧底探员提供代码修改服务,去掉代码源产地信息。那次见面过后不久,徐家强就被捕了。
徐家强认下了美国司法部对他的所有指控,被判入狱5年。
4. 损失了10亿美元的股票
Dejan Karabasevic 从清洁能源公司AMSC跳槽到中国风力涡轮机公司华锐风电(Sinovel)绝不是表面上看上去那么简单。
在AMSC工作的时候,Karabasevic是 AMSC Windtec 自动化工程部门的负责人,可以接触到该公司的风机效率专利技术。Karabasevic不仅仅是在华锐风电谋得了更好的职位,他根本是被这家AMSC最大的竞争对手给策反了。华锐风电让他在入职时把AMSC的软件一起带过来。于是,在离职前,Karabasevic将代码秘密下载到了外部计算机上。
一拿到代码,华锐风电就翻新了自己的风力涡轮机,省下8亿美元从AMSC购置相关产品的费用。该代码盗窃案之所以被发现,是因为受华锐风电委托翻新涡轮机的某供应商发现了可疑之处。
代码失窃对AMSC伤害重大。审理中呈上的证据显示,AMSC损失超过10亿美元的股票和近700个工作职位——超过其全球员工总数的一半。代理助理总检查长在声明中称:“通过盗取知识产权,华锐风电几乎摧毁了一家美国公司。”
5. 垃圾邮件成救星
David Kent 为石油公司员工建了个名为Rigzone.com的社交网站。2010年,Kent将这家网站以5100万美元的价格出售给了DHI集团,并签署了竞业禁止协议。
他遵从了该协议。但一待协议过期失效,他就马上建立了另一个类似的站点Oilpro.com,希望再被DHI看上而买下。几年过后,Oilpro的注册用户达到了50万人,DHI有意以2000万美元的价格买下该网站。
然后,一封垃圾邮件曝光了他的整个骗局,令他锒铛入狱。
原来,Kent根本不是所谓的社交网络天才,他其实就是个黑客。他入侵了已卖给DHI的那家网站,在如今受雇于该网站的前同事的帮助下,盗取了70万个客户账户。
一名Rigzone客户投诉称,在丝毫没有给过Oilpro任何信息的情况下仍收到了来自Oilpro的垃圾邮件。于是,Rigzone设置了几个虚假账户以捕获作恶者。这些账户根本没有公开,却仍很快收到来自Oilpro的垃圾邮件。至此,Rigzone明白了事情的真相,FBI介入,Kent获刑3年。
6. 系统破坏者被判一年
Christopher Victor Grupe 的故事就是心怀怨恨的雇员可带来危险的真实案例。
Grupe是加拿大太平洋铁路公司的系统管理员,但他与同事相处得不太顺利。2015年12月,他因不服从上级而被停职。而当他复工时却被告知已经被解雇了,而且是当场解雇,立即生效。他说服老板让他以辞职而不是被解雇的形式离开。但在交还公司笔记本电脑前,他用这台笔记本电脑登录了公司网络,删除了重要文件和一些管理员账号,修改了其他人的账户口令。然后,他格式化了硬盘以隐藏其操作痕迹,之后才上交了这台笔记本电脑。
在他离开后,公司网络就开始不稳定,公司IT员工纷纷发现自己登录不了系统,执行不了修复操作了。最终,他们只能重启网络,雇佣外部公司进行修复。系统日志揭示了Grupe就是罪魁祸首。
Grupe被发现后获刑1年。
7. 还记得塔吉特吗?
有时候泄露数据的内部人未必真的在内部,也不一定非得突破网络才可以泄露。这一点在2014年臭名昭著的塔吉特白虎数据泄露案中被体现得淋漓尽致。塔吉特案曝光了约7000万人的姓名、地址、电话号码、电子邮件地址和信用卡数据。
黑客在塔吉特销售终端设备上成功安装了数据刮取器。但想要取回偷到的数据,他们必须进到塔吉特的网络中才行。因此,他们需要内部信息。通过突破一个相对较弱的系统,他们获取到了内部信息。
该系统就是塔吉特的一家承包商:Fazio Mechanical ——一家制冷业承包商。Fazio的一名雇员中了网络钓鱼骗局,在公司网络中安装了Citadel恶意软件。当在Fazio的某人登录塔吉特网络的时候,Citadel就会捕获登录信息并发送给黑客。有了这些敲门砖,黑客就可以用他们疯狂的技术侵入塔吉特的网络。接下来发生的事,大家都知道了。