一、什么是内部威胁?
跟踪者、欺诈者、破坏者以及恶意内部人员都会对企业造成不可估量的损害。其中,内部威胁攻击者一般是企业或组织的员工(在职或离职)、承包商以及商业伙伴等,其应当具有组织的系统、网络以及数据的访问权;内部威胁就是内部人利用合法获得的访问权对组织信息系统中信息的机密性、完整性以及可用性造成负面影响的行为。内部威胁区别于外部威胁,攻击者来自于内部用户,因此检测更加困难,危害性却更大。
根据Ponemon Institute公布的《2018年全球组织内部威胁成本》显示,在3269起事件中,有2081起(64%)都是由员工或承包商的疏忽导致的;而犯罪分子和内鬼造成的泄漏事件则为748起(23%)。
二、内部威胁的危害
如果说,最近的统计数据存在任何暗示意义的话,那就是企业安全团队可能大大低估了内部威胁对其组织造成的风险。根据Crowd Research Partners发布的《2017年企业内部威胁报告》指出,只有3%的高管认为内部威胁的潜在成本超过200万美元。然而,根据Ponemon Institute进行的调查数据显示,一个组织每年遭遇内部威胁的平均成本超过800万美元。
为什么内部威胁的补救成本如此高昂呢?主要包含如下几个原因:
内部人员的威胁可能多年未被发现。安全事件发现得越晚,补救的成本就越高,而内部威胁通常很难发现,一般都在2个月以上;
很难将有害行为与正常工作区分开来。这就是内部威胁难以发现的原因。当员工在使用敏感数据时,几乎不可能知道他们是否在执行恶意操作;
员工很容易掩盖自己的行为。不仅在发生恶意行为时很难察觉,事后也几乎不可能检测到。任何稍微懂技术的员工都知道如何通过编辑或删除日志来隐藏恶意行为;
很难证明员工有罪。由于缺乏安全审计,即使企业检测到恶意行为,也不能证明是某个具体员工的操作,而内鬼此时可能也已经消失得无影无踪;
这些还只是可量化的风险。一旦内部攻击者真正地发力——特别是那些想要进行欺诈行为或故意从事恶意活动的内部人员——其造成的影响可能会比典型的数据泄露事件严重得多,波及的范围也更广。
三、2018年最严重的6起“内鬼事件”
2018年已经行至一半,我们也亲眼目睹了很多具有破坏性的恶意内部事件说明了这一事实。以下是一些最引人注目的内部攻击事件,所有这些事件都可以作为对企业的警告,提醒他们认真对待对员工行为的监控和控制。
1. 特斯拉(Tesla)
今年6月,特拉斯指控了一名前员工Martin Tripp,称其编写了侵入特斯拉制造操作系统的软件,并将几个GB的特斯拉数据传输给外部实体。这些数据包括数十张机密照片和特斯拉制造系统的相关视频。除此之外,特斯拉还声称Tripp编写了计算机代码,定期将特斯拉的数据输出给公司以外的人。
但是面对指控,该员工发声称自己是因为试图向投资者和媒体警告特斯拉的风险而透露的内部信息。特里普在声明中强调,他没有黑过任何一部电脑,甚至连编程的耐心都没有。他发现了超过1000块有穿孔问题的Model 3车载电池模组,这些模组仍在该公司所生产的Model 3车型中使用。此外,特拉斯还在旗下超级工厂中“不安全的储存废料”,并在Model 3车型的产量方面提报了虚假数据。
不过,无论事实如何,令人震惊和质疑的现实是,为什么企业没有更好地控制措施来防止内部人员滥用其特权从事恶意行为?
2. 旁遮普国家银行(Punjab National Bank)
旁遮普国家银行(Punjab National Bank)于1894年由Lala Lajpat Rai 创建,总部位于印度新德里,目前是印度第二大国有商业银行,在印度764个城市拥有约5000家分行,为超过37万客户提供服务。
今年2月,旁遮普国家银行(PNB)旗下位于孟买的一家分行经查遭诈欺17.7亿美元,成为印度历史上规模最大的贷款诈骗案。该银行表示,其分行的两位初级管理人员从2011年起非法发放担保函(letters of undertaking),要求其他金融机构的海外分支为几个特定账户持有者延展信用,大部分授信企业都是尼拉夫·莫迪(印度珠宝商富翁)的海外客户。
据悉,其中一位曾担任旁遮普国家银行孟买分行的外汇部门副总经理。为避开监测,其绕开旁遮普银行的内部讯息系统,通过Swift全球支付系统发出指令,要求印度银行的海外分支机构以担保贷款的形式支付现金。目前这两位雇员已被印度联邦警方逮捕。
此次事件对旁遮普国家银行的影响无疑是巨大的,据悉,在旁遮普国家银行曝出诈骗案后,该银行股价出现了暴跌,单周跌幅已经超过20%,跌至2017年1月初以来最低,市值抹去数百亿印度卢比,并创下创2009年以来最大单日跌幅。
3. Facebook
5月初,Facebook公司解雇了一位安全工程师,因为后者曾利用访问个人数据的特权在线跟踪并骚扰女性。此外,该安全工程师还在约会平台Tinder上向好友吹嘘自己可以看到任一 Facebook用户的个人资料。
据悉,在 Facebook 公司内部有个小组,有权限观看任何用户的个人资料,如果被连线观看页面所有者正好是 Facebook 员工,该同事则会在公司的内部系统中收到相关警示;而对那些不在Facebook工作的 20 多亿用户而言,却没有类似的个人资料隐私保护措施。
当然,这名安全工程师的案例并不是孤立的,还有多名Facebook员工同样因为滥用用户私人信息而遭到解雇。不幸的是,由于此事曝光的时间点距离“泄露门”事件发生不久,可以说是进一步打击了Facebook的用户信任,为其带来了难以估量的潜在影响。
4. 可口可乐
今年5月底,可口可乐公司对外宣布了一起数据泄露事件,这起事件实际可能发生在去年9月,但是直到今年5月才对外曝光出来。据悉,可口可乐公司在一名前员工的个人硬盘中,发现了大约8000名现有员工的个人数据,而这些数据,是当时他从可口可乐违规挪用的。
至于为什么去年9月就发现了数据泄露现象,却迟迟没有对外公布?可口可乐解释称,他们在过去几个月中与执法部门合作调查了这些数据的来源和有效性,并确定一些文件包含了部分员工的个人信息。按照执法部门的要求,所以直到现在才向员工报告违规事件。
此次事件后,可口可乐公司开始通过第三方供应商向受影响的员工提供一年的免费身份监测。
5. Nuance
就在可口可乐公司发生内部攻击前几天,美国医疗语音识别软件开发商Nuance的一名前员工,在离职后登陆公司服务器,访问并泄漏了4.5万名客户的信息,包括生日、医保账号、健康状况、治疗情况等。
6. 太阳信托银行(Suntrust Bank)
今年4月20日,美国知名银行SunTrust Bank宣布,发现一名离职员工可能盗取了超过150万名客户的数据,包括姓名、住址、电话号码和账户余额等重要信息,并将其卖给了一个犯罪组织。
此次事件曝光后,SunTrust Bank表示,会为客户因欺诈而遭受的损失负责,同时,该机构正在主动通知这150多万名客户,并向所有客户提供免费的身份保护服务。
四、值得关注的内部威胁群体
通过上述内容,我们都已经了解了内部威胁的巨大危害性。那么,企业最应该留意哪些内部人员呢?虽然说,任何内部人员都可能误用或泄漏数据,但企业最应该关注以下三个群体:
特权用户(案例2、3所示)。他们通常是公司中最值得信赖的员工,但他们也可能有意或无意地误用/泄漏数据。此外,内鬼和黑客都有可能窃取这些特权用户的账号,以获取某些机密信息;
第三方。承包商、第三方供应商和合作伙伴等,都可以访问企业的系统,而企业对系统安全性,甚至对那些访问数据的人员都一无所知;
离职员工(案例4、5、6所示)。正如上文提到的情况,员工在离职时可以随身携带重要数据。更要命的是,他们甚至还能在离职之后照样访问公司数据;
五、如何防范内部威胁?
了解完最值得关注的威胁群体后,我们再来总结一下如何防范这种内部威胁,企业可以根据下述建议提升自身安全防护能力,最大限度降低内部威胁影响:
1. 对员工进行安全教育
如果要减少非恶意员工的失误和疏忽,最佳的方式之一是对他们进行安全教育,确保员工清楚公司面临的安全风险,以及如何处理这些风险。教育他们为什么要采取某些安全措施,以及不遵守这些措施的后果是什么;告诉他们有关网络钓鱼的风险,以及各种规避和处理方法等等。如果这部分员工知道他们的行为会影响公司收入,而这又会影响他们的收入,他们也就会更加重视维护网络安全规范。
2. 使用最小特权原则
特权员工的人数越少,保护企业数据就越容易。这不仅意味着有机会执行恶意操作的员工更少,还意味着黑客/内鬼可以入侵/冒用的账户也变少了。
如果企业尚未有特权用户,则应遵守最小特权原则。这是一个网络安全标准,规定企业中的每个新账户都应当具有尽可能少的特权,并在有必要的时候进行权限升级。这一点同样适用于第三方访问数据,确保他们具有最少的权限,并且在他们的工作完成时删掉凭证。
3. 保护账户安全
强大的账户保护措施,可以极大程度上抵御外部和内部人员的威胁。保护账户有几条原则:
员工应该使用安全性较高的复杂口令,而且不能复用口令;
禁止员工之间共享账户,或尽可能限制共享账户的使用;
采用能识别操作者真实身份的身份认证技术,防止员工身份被冒用。目前比较流行的是多因素身份认证;
安全审计;
总而言之,强大的账户保护措施不仅能抵御外部攻击者,而且还能有效防止员工身份被冒用的情况。此外,安全审计功能还可以对内鬼起到极强的威慑作用。
