實(shí)施內(nèi)部威脅計(jì)劃的企業(yè)花了相當(dāng)多的時(shí)間在擔(dān)心攻擊技術(shù)和惡意代碼，但FBI專家告訴2013年RSA大會(huì)的與會(huì)者，內(nèi)部威脅通常并不一定是黑客。

根據(jù)FBI上周發(fā)布的內(nèi)部威脅計(jì)劃（Insider Threat Program）中的反間諜情報(bào)顯示，雇員、前雇員或承包商對企業(yè)構(gòu)成最大的威脅，雖然這些人在加入時(shí)并沒有惡意。

這些研究結(jié)果是基于對20年間的間諜案例的調(diào)查，結(jié)果表明，與流行的看法相反，當(dāng)涉及到數(shù)據(jù)丟失和間諜活動(dòng)時(shí)，現(xiàn)實(shí)世界的內(nèi)部威脅并不是偷偷地從內(nèi)部系統(tǒng)和網(wǎng)絡(luò)竊取敏感信息的典型黑客。

FBI領(lǐng)導(dǎo)內(nèi)部威脅計(jì)劃的首席信息安全官Patrick Reidy表示，企業(yè)信任的授權(quán)用戶構(gòu)成最大的威脅，他們可能帶著惡意目的進(jìn)行合法活動(dòng)。FBI的內(nèi)部威脅計(jì)劃創(chuàng)建于Robert Hanssen間諜事件后，在這個(gè)2001年的事件中，一名美國聯(lián)邦調(diào)查局特工被發(fā)現(xiàn)向俄羅斯兜售情報(bào)和其他貨物長達(dá)22年之久。

Reidy表示，自從維基解密開始公布機(jī)密信息以來，關(guān)于內(nèi)部威脅的討論就不絕于耳。在企業(yè)面臨知識產(chǎn)權(quán)和敏感數(shù)據(jù)的欺詐或?yàn)?zāi)難性損失之前，安全專家應(yīng)如何鏟除內(nèi)部威脅？

教育“無意的”內(nèi)部人員

Reidy表示，首先要確保防火墻、防病毒軟件、政策和其他系統(tǒng)控制采用了最佳做法。在FBI追蹤的事故中，每年有四分之一的事件源自Reidy所謂的“傻”問題：員工因?yàn)闆]有遵循程序、丟失設(shè)備和敏感數(shù)據(jù)、點(diǎn)擊垃圾郵件、不恰當(dāng)?shù)碾娮余]件或web鏈接、或者錯(cuò)誤處理密碼和賬戶而無意地造成系統(tǒng)被感染。

Reidy表示，F(xiàn)BI花了約35%的時(shí)間來響應(yīng)這些類型的事件。重視教育可以幫助減少這些問題；他表示在過去一年中，這些事件在FBI下降了7%。內(nèi)部威脅并不多，但從造成的損害來看，這是最昂貴的威脅。在10年間的超過1900個(gè)事件中，約有19%是惡意的內(nèi)部人員威脅?；诙鄠€(gè)“開源”數(shù)據(jù)泄露事故報(bào)告和數(shù)據(jù)丟失調(diào)查顯示，每個(gè)事件的平均成本是41.2萬美元，每個(gè)行業(yè)的平均損失為1500萬美元。在一些情況下，損失甚至超過1億美元。

從1996年到2012年起訴的案件（按照工業(yè)反間諜法案Title 18 U.S.C.第1831節(jié)—其中要求提供證據(jù)證明案件與外國政府的聯(lián)系）的數(shù)據(jù)來看，平均損失為47200萬美元（在法庭上確定的損失金額），中國涉及71%的案件，而29%則是來自其他國家。

“我認(rèn)為具有良好的內(nèi)部威脅和數(shù)據(jù)保護(hù)計(jì)劃的企業(yè)將能夠繼續(xù)存在10年，”Reidy表示，“而那些沒有這些計(jì)劃的企業(yè)將無法維持這么久。企業(yè)應(yīng)該要使用診斷分析來確定內(nèi)部威脅的模式，因?yàn)镕BI發(fā)現(xiàn)其使用了多年的預(yù)測分析并沒有效果。造成內(nèi)部威脅的人并不像其他人一樣，他們很多都會(huì)達(dá)到一個(gè)臨界點(diǎn)。”

使用多方論證的方法

良好的內(nèi)部威脅計(jì)劃需要的不只是政策合規(guī)和網(wǎng)絡(luò)安全。FBI內(nèi)部威脅分析師Kate Randal表示：“這不是一個(gè)技術(shù)問題。”其研究表明在90%的事件中，這個(gè)問題不能被惡意軟件檢測。“這是一個(gè)圍繞人的問題，而人是多維的，所以你需要做的是采取多方論證方法。”

一個(gè)好的計(jì)劃的目標(biāo)是制止、檢測和破壞內(nèi)部威脅。計(jì)劃實(shí)施者需要確定除網(wǎng)絡(luò)安全外的人事和機(jī)密信息。

“重要的是把重點(diǎn)放在確定你的敵人、你的人員和你的數(shù)據(jù)上，”Randal表示，這個(gè)過程包括詢問這樣的問題，“誰會(huì)對你的公司感興趣，他們會(huì)瞄準(zhǔn)企業(yè)內(nèi)的哪些人？”Randal稱FBI會(huì)檢查網(wǎng)絡(luò)、內(nèi)容（例如財(cái)務(wù)狀況、旅游、報(bào)告）和社會(huì)心理信息的綜合信息。在企業(yè)中，Randal認(rèn)為安全專業(yè)人員應(yīng)該與其法律部門合作來確定他們可以合法地收集的信息類型。

關(guān)鍵在于，企業(yè)需要了解其資產(chǎn)情況以及確定“企業(yè)的寶藏”所在。一個(gè)很好的開端是列出可能會(huì)損害公司的最糟糕的情況—包括資產(chǎn)和個(gè)人。Randal建議還應(yīng)該詢問另一個(gè)問題，“包含敏感數(shù)據(jù)的前五大系統(tǒng)是哪些？”然后從這里開始，跟蹤這些系統(tǒng)中的用戶數(shù)據(jù)、日志和文檔。內(nèi)部FBI安全日志顯示，超過80%的數(shù)據(jù)移動(dòng)是由不到2%的工作人員操作的。

Reidy稱，良好的內(nèi)部威脅計(jì)劃應(yīng)該主要側(cè)重于制止，而不是檢測，因?yàn)榈侥菚r(shí)往往為時(shí)已晚。FBI認(rèn)為他們不可能確定每個(gè)潛在的內(nèi)部威脅，于是，他們選擇使用多種策略來防止內(nèi)部威脅。

其中一種方法涉及創(chuàng)建一個(gè)環(huán)境，通過“群眾包圍”安全性來防止內(nèi)部威脅，另一個(gè)是基于與用戶的交互。通過向用戶提供工具和技能來加密他們自己的數(shù)據(jù)，并提出辦法來保護(hù)和分類他們的數(shù)據(jù)（這與很多企業(yè)實(shí)行的集中式政策不同），這樣，信息安全的責(zé)任就被轉(zhuǎn)移到了用戶，同時(shí)企業(yè)還應(yīng)使用積極的社會(huì)工程來提高用戶意識。

Reidy表示，“整體的思路是，在道路上設(shè)置警示標(biāo)語。”比如用戶試圖下載敏感文件到USB時(shí)彈出警告畫面。這能夠讓用戶知道，“我們在看著你哦”并讓他們回答這個(gè)問題，“你真的要這樣做嗎？”

Reidy稱這樣做可能會(huì)導(dǎo)致內(nèi)部抵觸情緒，他們會(huì)認(rèn)為一般人沒有這種級別的責(zé)任。這種情況在FBI就發(fā)生了，但對于Reidy來說，這并不是問題。“在聯(lián)邦調(diào)查局，我們有14000名員工每天都會(huì)帶著槍械來上班，”Reidy表示，“你告訴我他們不會(huì)用USB？”

檢測內(nèi)部威脅應(yīng)該使用數(shù)據(jù)挖掘和基于行為的技術(shù)，側(cè)重于診斷分析和可觀察的紅色標(biāo)記，例如行為的改變。根據(jù)FBI的調(diào)查，社會(huì)心理風(fēng)險(xiǎn)因素包括從不滿的員工和高壓力員工（正在處理離婚或財(cái)務(wù)問題的員工），到意識薄弱的個(gè)人和利己主義者。

初始步驟可能就像與人力資源共享信息一樣簡單。他建議嘗試觀察，例如是否有人在星期五下班后打印大量的文件，而此人原定于下周一被解雇?；谟脩舻幕€計(jì)算機(jī)行為（數(shù)量、頻率和模式）來檢測，并使用策略來引出威脅。Reidy稱：“在干草堆里找一根針更簡單，但在一堆針中找一根針就很難，因?yàn)槊總€(gè)人都是相同的或者保持相同的行為。”

內(nèi)部威脅檢測和制止的研究仍然處于起步階段，卡內(nèi)基 - 梅隆大學(xué)的CERT內(nèi)部威脅中心按照行業(yè)進(jìn)行威脅建模作為其MERIT（內(nèi)部威脅風(fēng)險(xiǎn)管理和教育）計(jì)劃的一部分。DARPA的網(wǎng)絡(luò)內(nèi)部威脅（CINDER）同樣也在做這方面的工作，可以作為企業(yè)的寶貴資源。安全專業(yè)人員可以使用這些研究來部署或改善其內(nèi)部威脅計(jì)劃，同時(shí)提供內(nèi)部威脅事件的數(shù)據(jù)來幫助研究人員的研究工作。