在网络安全方面, 许多组织倾向于担心外部威胁,如黑客攻击或分布式拒绝服务(DDoS)攻击. 这些, 毕竟, 哪些新闻机构最可能播出, 通过可得性偏见, 在为其组织实现信息安全控制时,可能是许多主管和管理员倾向于关注的问题. 不幸的是, 外部威胁并不是组织面临的唯一危害, 而内部威胁可能更为普遍,也是最具灾难性的.
本文通过定义问题和检查构成内部威胁的因素来探讨内部威胁. 然后,本文提出了减轻内部人员构成的威胁的策略. 最后, 它从人的角度考虑缓解策略, 工艺和技术, 以及如何利用这些支柱来保护, 检测和纠正内部威胁活动,最终保护组织的信息.
内部威胁
虽然外界对黑客等外部威胁关注甚多, 根据SANS研究所最近的一项调查, 内部威胁对组织安全造成的损害最大.1 根据金雅拓2014年数据泄露水平指数报告,2 一般来说,内部威胁是导致数据丢失的第二大原因, 根据Verizon“2018年受保护健康信息数据泄露报告”(PHIDBR) (图1),这是违反受保护健康信息(PHI)的头号原因.3 在最明显的例子中, 前美国国家安全局(NSA)合同工爱德华·斯诺登向维基解密和维基解密泄露了数tb的数据,给美国国家安全造成了异常严重的损害, 反过来, 给美国的对手.4 最近,另一位国安局承包商哈罗德. 马丁三世, 还被指控窃取了数tb的数据, 其中一些与国安局最敏感的行动部门有关, 定制访问操作(TAO)组, 并将其提供给黑客组织影子经纪人.5 虽然这些人造成的损害的全部程度可能永远不会知道, 美国众议院情报委员会最近的一份报告称斯诺登的行为造成了“巨大的破坏”,“危及美国军队的生命,并为恐怖分子和敌人提供可以用来制定针对美国的防御措施的信息.6
很明显, 这两人的行为危害了国家安全,暴露了国家安全局信息安全的漏洞. 幸运的是,他们被抓住了,但不幸的是,他们造成了无法挽回的损失. 在理想的情况下, 美国联邦政府会希望在内部威胁活动造成损害之前识别并阻止它.
减轻这些内部威胁活动的第一步是定义谁是或可能是内部威胁. 虽然内部威胁的定义有很多, 他们中的许多人往往会根据内部人士的意图而有所不同. 以前, most definitions focused on an insider acting with malice; however, 这些定义忽略了很大一部分内部威胁活动. 因此, 卡内基梅隆大学匹兹堡分校的丹尼尔·科斯塔最近更新了这一定义, 宾西法尼亚, 美国软件工程学院是最全面的. Costa对内部威胁的定义是:
具有或已被授权访问组织资产的个人使用其访问权限的可能性, 无论是恶意还是无意的, 以一种可能对组织产生负面影响的方式行事.7
这个定义很宽泛,包括有意行为和无意行为. 有了这个更广泛的定义, 管理员和执行者可以实现更有效的对策来减轻这些威胁. 知道内部威胁可能是任何能接触到信息的人, 管理员的下一步是确定是什么激励他们采取行动.
动机
内部威胁的动机和威胁本身一样多种多样. 无意的内部人可能没有恶意,但更有可能是出于帮助他人或提高效率的愿望. 相反,恶意的内部人士可能是出于自身利益或报复.
无意的内部威胁
内部人员可能有无数的动机,这些动机可能导致他们以损害组织信息安全态势的方式行事. 无意的内部威胁, 虽然不是出于恶意,在很多情况下是出于无知, 是否更有可能被帮助他人的欲望所驱使.8 社会工程师可以利用这种天生的帮助愿望来渗透信息系统,以窃取数据.
社会工程, 或操纵人类以达到目的或目的, 是黑客常用的策略吗, 骗子和潜在的渗透者. 例如,根据PhishLabs的一份报告,9 头号网络攻击媒介是网络钓鱼邮件. 网络钓鱼邮件, 用户收到一封他们认为是合法的电子邮件,然后与该电子邮件进行交互, 感染他们的系统. 在很多情况下, 这些邮件可能看起来像是来自朋友, 同事或上级, 员工被操纵打开电子邮件,希望能提供帮助或提供回复, 通常充满了专有信息, 给未经授权的人.
网络钓鱼是一种技术形式的操纵, 员工是否无意中允许未经授权的用户访问信息系统或被欺骗提供敏感信息. 也有物理形式的操纵, 比如黑客两手空空地到达一栋大楼, 让有同理心的员工帮你开门, 从而使未经授权的个人可以访问入侵者不允许访问的设施或信息.
此外,员工也是人,因此容易犯错误. 在某些情况下, 员工可能会无意中将机密数据泄露给未经授权的人员,或者可能会错误地处理信息,使未经授权的人员可以通过垃圾箱搜索获得这些信息. 在这些情况下, 虽然披露是无意的, 其影响可能仍与心怀恶意的内部人士斯诺登和马丁的泄密一样严重.
恶意内部威胁
至于恶意的内部人士,他们的动机更加险恶. 许多美国中央情报局(CIA)的办案人员报告了间谍活动的动机, 哪些倾向于反映内部威胁活动, 可以用金钱来形容吗, 意识形态, 胁迫与自我(MICE)的缩写.10 尽管这四种动机绝不包括间谍活动或内部威胁活动的所有可能动机, 它们确实为讨论恶意内部人员的动机提供了一个很好的起点.
就斯诺登而言, 他声称自己反对国安局对美国人的大规模监控.11 这种对NSA间谍活动的意识形态上的反对,可能会导致斯诺登采取这样一种行动,揭露他可能认为是非法的行为. 然而, 斯诺登公布的数据量和数据类型也表明,他的动机不仅仅是出于善意. 他们认为,在某种程度上,自我可能也在他的行为中发挥了作用. 自从他的启示, 他并没有回避媒体,似乎很喜欢接受采访,也很享受自己作为现代版丹尼尔·埃尔斯伯格(Daniel Ellsberg)所受到的关注, 谁, 在越战时期, 公布了五角大楼文件.
其他内部威胁可能不是来自意识形态上的慷慨,而是来自内部人员出于自我保护或职业发展的愿望而决定损害组织的信息安全. 在很多情况下, 员工可能会窃取数据卖给竞争对手, 损害他们前雇主的声誉或提高他们的市场竞争力. 不幸的是, 这种形式的内部威胁比许多高管和管理员意识到的更为常见.
其他可能导致内部人员窃取数据或以其他方式危害组织的因素可能与组织的文化或组织最近的商业环境有关. 这些事件可能会影响员工的自我或稳定性,并导致员工寻求报复. 在组织大规模裁员或缩减规模的情况下, 这些发展可能会激发员工实施暴力行为, 欺诈或盗窃知识产权.
安全公司Biscom的一项研究显示,85%的员工在离开一家公司时将自己的专有数据带到另一家公司.12 这个惊人的数字表明,几乎所有人都是或可能是内部威胁. 这一统计数据与德勤的分析相结合,德勤的分析表明,数据泄露的成本不仅仅是数据丢失,还包括法律费用, 名誉损害, 知识产权损失, 新的研究和开发需要创新新的技术来取代失去的东西13——很容易成为一个组织毁灭性的财务负担, 一种可能无法追回的责任.
了解这些动机可以帮助管理员识别潜在的内部威胁行为. 与意识, 组织还可以制定缓解策略来帮助保护, 检测和纠正内部威胁行为. 以下部分详细介绍了组织如何实现适当的策略,并将合适的人员和技术投入到位,以减轻这些威胁.
人员、流程和技术
信息安全管理的基础是保密, 组织数据的完整性和可用性(CIA三元组).14 到目前为止,本文主要关注数据的机密性. 然而, 内部威胁还会对组织的数据完整性和可用性造成损害, 因为内部人员可以操纵数据,使内容不正确或损坏信息系统, 在需要时使数据不可用. 任何对中情局三合会的妥协都会对整个组织产生不利影响. 像这样, 组织采用的任何策略都应该包含保护整个信息安全范围的措施.
此外, 组织的安全策略应该在三种状态下为信息提供保护.15 数据可以是静态的,例如当数据存储在计算机或服务器上时. 数据也可以处于处理状态, 例如当应用程序正在使用或检索数据时. 数据也可以在传输中,例如通过电子邮件发送或从服务器下载. 不管数据的状态如何, 当数据从一个州迁移到另一个州时,管理员应该设法保护数据.
进一步, 安全策略策略应该包含三个成功的关键要素:人员, 工艺和技术. 没有这些核心元素的组合, 任何安全策略都无法提供期望的结果.
人
人是任何信息安全生态系统的支柱. 关于内部威胁, 人们可能更挑剔, 因为人既是威胁又是安全策略的一部分. 安全从员工个人开始, 因为它们通常是任何安全程序中最薄弱的环节.16 拥有训练有素的员工,能够识别本文前面讨论的行为和动机,可以加强机构的安全态势.
人们也有必要监控和应对由内部威胁造成的事件. 没有训练有素的事故响应人员, 流程和技术的其他关键要素毫无意义. 拥有适当的工作人员将提高为保护而设计的控制措施的有效性, 检测与校正.
流程
当然, 这些控制措施在很大程度上依赖于指导事件响应人员执行哪些操作的流程. 研究人员强调,这些过程是由政策引导的, 程序, 指引及工作指示.17 这些 documents should provide high-level instructions regarding the organization’s security policy; dictate how, when and by 谁m communication takes place with external agencies in the event of an incident; and outline standard operating 程序 to be followed to protect, 发现并纠正事件. 政策还应规定什么构成危险行为,并应寻求加强对那些被认为具有较高风险的行为的监测.
一个组织可以采用两个最基本的流程来确保它雇佣和留住最优秀的人才,即实施严格的聘用前背景调查和对员工的背景进行定期重新审查. 背景调查可以让你了解过去的行为和可信度. 两个值得考虑的问题包括:“应聘者在求职申请中有多诚实??以及“是否一名雇员或未来雇员遇到了可能使他或她更有可能实施欺诈的财务问题。?“虽然背景调查并不是预防或预测所有内部威胁行为的灵丹妙药, 它们确实提供了一个坚实且具有成本效益的基础.
技术
拥有正确的技术可以作为组织信息安全计划的力量倍增器. 尽管组织并不总是需要最新最好的技术, 他们确实需要一些工具来增强他们的员工,并帮助他们监控和响应事件. 工具有助于分析,并使整个澳门赌场官方下载的大型数据集更易于管理. 没有工具, 组织很难建立控制, 这使得信息保护变得困难, 发现问题并纠正问题, 防止进一步损害.
保护,检测和纠正
在选择技术工具以减轻潜在内部威胁的影响时, 管理员应该首先进行风险分析,并确定需要保护的信息, 它需要多少保护,需要保护多久.18 他们还应该进行风险评估,以确定组织中存在哪些漏洞, 比如员工提前两周通知, 并确定这些漏洞构成的风险程度. 一旦管理员了解了他们的信息安全所面临的风险, 然后,他们可以开始为那些已确定的漏洞实施对策,以将风险降低到可接受的水平.
预防控制
管理员应该采用的第一个对策是设计用于保护信息的控制(参见 图2 例如,控制矩阵). 最基本的控制之一是基于策略和技术的:基于角色的访问控制(RBAC). RBAC在最小特权的前提下运行, 或者根据个人的职位和需要,只提供对个人需要的信息或系统的访问.19 RBAC本质上限制了信息的分发, 减少未经授权泄露的机会. 另外, RBAC在所有不同的信息状态下运行, 只要人们遵循既定的流程,并将信息保持在可控的渠道内. 另外, 管理员可以采用其他技术控制, 比如加密, 保护信息不受未经授权的访问.
加密是管理员用来保护数据机密性的另一种基本控制. 加密通过使用基于大素数的数学方程将明文数据与难以理解的密文数据混淆来保护数据.20 当数据处于静止或传输状态时, 它们可以被加密, 这样就保持了数据的机密性,只有经过授权的人才能查看.
侦探控制
不幸的是,并非所有保护数据的措施都是100%有效的. 黑客可以获得未经授权的访问数据或, 就内部威胁而言, 获得授权的人员可以以未经授权的方式访问和使用这些数据, 比如在离职前将数据下载到可移动媒体上. 在这些情况下, 重要的是,组织要有控制措施来检测何时发生了未经授权的访问或使用.
侦测内部威胁活动, 管理员必须依赖各种系统和见证设备的日志, 暗示存在用于存储和查看安全日志的技术解决方案. 检测需要知道什么是正确的,并意识到什么时候行为模式不符合标准偏差, 也就是说要有训练有素的员工来检查日志.21 这还意味着必须有一个策略,指导安全人员以一定的频率检查这些日志,以确定是否存在问题.
虽然有一些昂贵的工具专门用于通过自动审查和分析这些日志来检测内部威胁活动, 一个组织并不一定需要这些工具来监控他们的员工. 不过, 一个组织确实受益于拥有, 至少, 数据和日志聚合器, 比如Splunk, 编译日志并发现不正常的模式. 它还需要精通技术的审计员来梳理数据并查找违反组织安全策略的事件.
纠正性控制
数据丢失预防等自动化工具可以在识别出违反组织安全策略并阻止该活动继续进行时采取行动, 例如,停止将大量文件下载到可移动媒体设备. 在无法预防的情况下, 一旦审计人员或技术解决方案发现潜在的内部威胁活动, 管理员应该立即设法纠正这个问题. 纠正措施也应以政策为基础, 应该有一个既定的流程供事故响应人员遵循.
最终, 越早发现问题, 更快的反应者可以减轻潜在的影响. 纠正措施可以简单到通知员工他们正在犯违规行为,也可以广泛到通知执法部门并调查事件. 一旦事件得到纠正, 行动应恢复,并再次集中于保护资料和发现事件.
结论
内部威胁给组织的信息安全带来了巨大的风险,因为, 由于它们的性质, 内部人员“已经可以访问组织中最敏感的数据.”22 他们造成的影响可能对组织有害,因为内部人员违反了组织对他们的信任,并可能损害组织的财务, 名誉上和法律上. 由于内部人士带来的风险, 组织必须采取措施减轻其不利行为的影响.
组织的安全策略应该以保护机密性为目标, 数据的完整性和可用性. 为了保护中情局三合会, 组织应该使用基于人的三大支柱的方法, 工艺和技术. 在这些支柱的支持下,是保护、检测和纠正的信息安全控制. 通过这些控件的实现, 管理员应该设法保护所有状态下的数据, 认识到什么时候可能会有妥协,然后通过纠正措施尽量减少事件的影响,努力恢复正常运作.
尾注
1 科尔,E.; “Defending Against the Wrong Enemy: 2017 SANS Insider Threat Survey,” SANS Institute, 2017, http://www.sans.org/reading-room/whitepapers/awareness/defending-wrong-enemy-2017-insider-threat-survey-37890
2 金雅拓,“金雅拓发布2014违规水平指数调查结果”,2015年, http://www.gemalto.com/press/Pages/Gemalto-Releases-Findings-of-2014-Breach-Level-Index.aspx
3 Verizon,“2018年受保护的健康信息数据泄露报告”,美国,2018年
4 麦卡斯基尔,E.; G. Dance; “NSA Files: Decoded, What the Revelations Mean for You,” 《澳门赌场官方软件》2013年11月1日 http://www.theguardian.com/world/interactive/2013/nov/01/snowden-nsa-files-surveillance-revelations-decoded#section/1
5 谢恩,年代.; M. Apuzzo; J. Becker; “Trove of Stolen Data Is Said to Include Top-Secret U.S. 黑客工具。” 《澳门赌场官方软件》2016年10月19日 www.《澳门赌场官方软件》.com/2016/10/20/us/harold-martin-nsa.html
6 美国众议院常设情报委员会, “对美国国家安全局前承包商雇员爱德华·斯诺登未经授权披露的信息进行审查,“美国, 9月15日
7 哥,D.; “CERT Definition of ‘Insider Threat’— Updated,” CERT, 2017, http://insights.sei.cmu.edu/insider-threat/2017/03/cert-definition-of-insider-threat---updated.html
8 Hadnagy C.; 社会工程:人类黑客的艺术,威利出版公司.2011年,美国
9 PhishLabs,“2016年网络钓鱼趋势和情报报告-黑客攻击人类”,2016, http://pages.phishlabs.com/rs/130-BFB-942/images/PhishLabs_2016_Phishing_Trends_and_Intelligence_Report_Hacking_the_Human.pdf
10 事实,R.; “An Alternative Framework for Agent Recruitment: From MICE to RASCLS,海军研究生院, 2013, http://hdl.handle.net/10945/43831
11 Op cit 美国众议院常设情报委员会
12 Biscom,“新数据显示员工离职造成巨大安全漏洞”,2015年12月23日, http://www.biscom.com/employee-departure-creates-gaping-security-hole-says-new-data/
13 Mossburg E.; J. D. Fancher; J. Gelinne; “The Hidden Costs of an IP Breach, Cyber Theft and the Loss of Intellectual Property,” 德勤审查,国际空间站. 19, 2016, http://dupress.deloitte.com/content/dam/dup-us-en/articles/loss-of-intellectual-property-ip-breach/DR19_TheHiddenCostsOfAnIPBreach.pdf
14 康克林,W. A., G. White; C. Cothren; R. Davis; D. 威廉姆斯; 计算机安全原理,第四版,美国麦格劳-希尔教育,2015
15 哈里斯,年代.; F. Maymi; CISSP一体化考试指南,第七版, McGraw Hill Education,美国,2016
16 Op cit Hadnagy
17 Op cit 康克林等人.
18 Op cit 哈里斯和迈米
19 西斯摩尔J.; 信息管理手册:学生和从业人员指南,美国乔治亚州瓦尔多斯塔州立大学,2015
20 同前.
21 李,R.; “Finding Evil on Windows Systems—SANS DFIR Poster Release,” SANS DFIR, 26 March 2014, http://digital-forensics.sans.org/blog/2014/03/26/finding-evil-on-windows-systems-sans-dfir-poster-release
22 Op cit 科尔
马克斯·亚历山大, CISM, CRISC, CISSP,国防部网络犯罪调查员
是一名有18年国家级反间谍(CI)经验的前情报官员, 人类智能(HUMINT)和信号情报收集(SIGINT)在物理和虚拟环境中的经验. 他有着从战术到行动的丰富经验, 同时被分配到美国陆军特种部队, 对战略, 同时被分配到美国国家安全局(NSA)和美国国家反情报执行局(NCIX). 他目前担任Aveshka Inc .的网络安全总监., 他为美国五角大楼的联合服务提供商-计算机事件响应小组(PENTCIRT)提供数字取证和网络内部威胁调查方面的主题专业知识.