在當今的信息安全環境中,我們經常聽到來自外部***者(例如有組織的犯罪和國家)的高級持續威脅(advanced persistent threats,APT)。然而,信息安全從業人員還需要擔心內部威脅。這種威脅關係到那些能訪問組織數據、文件和IT系統的員工、承包商或是分包商,他們可能心懷不滿或是感覺“有責任”來偷取有價值的知識產權信息。他們的動機可能有所不同,從政治原因到個人忿怒、或是單純的貪婪。
本文提供了廣泛的總結,涉及內部威脅及內部威脅檢測最佳方法的關鍵問題。企業可能需要更新一些公司策略和實踐來更好地保護IT系統及知識產權資產。
內容目錄
· 內部威脅的類別
· 如何識別高風險的員工
· 數據是如何被竊取並拿走的?
· 如何應對增長的內部威脅風險
· 解決內部威脅風險的實際方法
內部威脅的類別:
據卡耐基梅隆大學的CERT內部威脅中心(該中心提供關於內部威脅的全面和權威的研究結果)以及我的個人經驗來說,內部威脅的關鍵類別包括下述內容:
蓄意破壞IT系統——破壞公司的IT系統或是偷取IT資產(例如偷取源代碼、私有程序等等)來進行報復。
業務優勢驅動——員工或是承包商偷竊公司的數據以便在他們新的僱主那裏擁有優勢,後者通常是公司的競爭對象、或是計劃在他們開始的新業務上獲得優勢的僱主。
經濟利益驅動——這種類型犯罪通常涉及到欺詐,例如竊取社會保險號、信用卡和CVV編號等信息,掙錢是首要目標。
商業間諜活動——主要的動機是爲別的公司或國家做間諜,並且爲了政治上的利益直接將偷取的資產給“敵人”;在此類案例中也經常涉及到金錢,這把我們又帶回到了經濟利益驅動類型。
如何識別高風險的員工
爲什麼公司的內部人員想竊取數據、程序、源代碼、銷售策略等信息呢?動機通常是主要由兩個本能的問題所驅使:自我和貪婪。
識別高風險員工的最佳做法是觀察他們的行爲。他們敵視他們的上司和同事嗎?他們在職權方面有衝突嗎?他們的工作表現有下滑、或他們遲到或缺席比平時多嗎?在正常的工作時間之外,是否有他們任何過度的工作、或是網絡上活動的證據?
同樣對於經濟利益驅動類型來說,員工是否欠債累累?他們是否在濫用毒品?他們是否開新的、昂貴的汽車,或是通過穿戴珠寶、昂貴的服裝,甚至是昂貴的小玩意來炫耀?這些可能是暴露真相的跡象,他們可能是潛在的竊取數據的內部威脅人員。
誰造成最大的風險?內部威脅心理學
以下類型的員工、承包商和分包商應引起企業的關注。尋找以下特徵,將其作爲你進行員工風險評估的一部分:
心懷不滿的員工——這些通常是感覺自己不被尊重的員工,可能是由於錯過期望的薪水提升機會,或是在個人利益、休息時間、降職、職位調動或是其它類似的問題上與管理者發生負面衝突。在這種情況下,報復是員工的動機。
尋求利益的員工——對於許多人來說這是簡單的動機。他們爲了薪水工作,然而通過竊取信息他們能售賣偷到的信息給有組織的罪犯、或是修改數據來竊取別人的身份從而獲得更多的錢。對員工來說,這些信息很容易訪問並竊取,再加上偷竊行爲可能被合理化,因爲惡意的內部人員可能對自己說“公司也不會覺察到”。這種情況下,個人動機可能包括大型的金融,或是與毒品相關的債務。
員工打算跳到競爭對手那裏或是自己創業——對於打算在同一領域自己創業的人來說,竊取客戶名單、商業計劃、甚至是簡單的表格或是模版都很有誘惑力的。此外,想象一下員工離開公司爲競爭對手工作。可能競爭對象已經暗示員工,在入職時信息的交換能讓他得到更好的位置。
認爲他們自己擁有源代碼或是產品——在這種情況下,員工對於他們寫的源代碼或是開發的產品有一種擁有權的感覺。因此他們帶走源代碼用於未來或是下一份工作使用。
據CERT內部威脅研究中心的研究,對於內部人員威脅/偷竊來說造成最大風險的員工包括技術職員,如工程師和科學家,管理人員,銷售人員和程序員。僱主應特別關注那些在部署的IT系統上擁有管理員權限或是特定用戶的員工。這些員工瞭解系統的強處和弱點。他們可能是“心懷不滿的怪人”在系統內植入邏輯炸彈或是破壞數據,這些造成的問題直到他們離開公司數月或是數年後纔會被發現。