根據(jù)注冊(cè)欺詐審核師協(xié)會(huì)(ACFE)的《Report to the Nations》報(bào)告顯示，每年企業(yè)因欺詐損失5%的收益。大多數(shù)欺詐者在為其雇主工作多年后才開(kāi)始進(jìn)行數(shù)據(jù)盜竊。

雖然網(wǎng)絡(luò)欺詐只是內(nèi)部威脅的一部分，ACFE成員Anyck Turgeon認(rèn)為探討這個(gè)問(wèn)題更為有意義。M-CAT Enterprises和The Fraud研究所創(chuàng)辦人兼首席執(zhí)行官Turgeon表示：“如果安全專業(yè)人員繼續(xù)談?wù)撈墼p，而沒(méi)有適當(dāng)?shù)呐嘤?xùn)、認(rèn)證和實(shí)踐經(jīng)驗(yàn)，并且金融專業(yè)人員繼續(xù)使用不同的術(shù)語(yǔ)，內(nèi)部威脅基本上無(wú)法避免。”

Turgeon是專注于網(wǎng)絡(luò)欺詐和洗黑錢的網(wǎng)絡(luò)安全數(shù)據(jù)科學(xué)家。曾在哈佛大學(xué)、加州大學(xué)伯克利分校、德克薩斯大學(xué)奧斯汀McCombs商學(xué)院以及甲骨文大學(xué)和McAfee研究所等組織參加廣泛的教育培訓(xùn)。在Turgeon在準(zhǔn)備發(fā)布網(wǎng)絡(luò)FRAML(欺詐和反洗錢)字典時(shí)，Marcus Ranum對(duì)她進(jìn)行了采訪。她稱，這本字典是首開(kāi)先河。

感謝您抽出寶貴的時(shí)間來(lái)與我談?wù)撚?jì)算機(jī)安全領(lǐng)域的內(nèi)部威脅問(wèn)題。我們都聽(tīng)說(shuō)過(guò)‘80%的攻擊來(lái)自內(nèi)部’，但我知道的事實(shí)是，這個(gè)統(tǒng)計(jì)數(shù)據(jù)是在行業(yè)發(fā)展初期的一次會(huì)議上由某個(gè)人突然提出。我們真正了解內(nèi)部攻擊的危害程度嗎?

Anyck Turgeon：在納秒級(jí)處理、背景感知安全、社會(huì)階層重新分配(中產(chǎn)階級(jí)消失)以及不安全互聯(lián)設(shè)備帶來(lái)挑戰(zhàn)的時(shí)代，我們很容易預(yù)測(cè)，內(nèi)部威脅不只是今天的挑戰(zhàn)，也會(huì)是未來(lái)的噩夢(mèng)。

我看到很多人都拒絕接受這個(gè)事實(shí)，特別是被騙的受害者--他們?cè)谑I(yè)、破產(chǎn)以及無(wú)家可歸后打電話給我，這讓我很震驚。如果目前的技術(shù)可以抵御網(wǎng)絡(luò)欺詐，如果數(shù)據(jù)泄露無(wú)關(guān)緊要，那么，為什么每年三分之一的人都會(huì)受到欺詐的影響?

讓我非常痛苦的事實(shí)是，在很多銷售反欺詐和反洗錢解決方案的技術(shù)公司，沒(méi)有人是合格的注冊(cè)欺詐審核師、注冊(cè)反洗錢專家或注冊(cè)金融犯罪調(diào)查員，他們也沒(méi)有成功解決欺詐問(wèn)題的實(shí)踐經(jīng)驗(yàn)。(我非常清楚地知道很多大型企業(yè)和個(gè)人在發(fā)布不符合實(shí)際情況的營(yíng)銷統(tǒng)計(jì)數(shù)據(jù)。)為了扭轉(zhuǎn)這一趨勢(shì)，下面讓我們看看ACFE最新的《Report to the Nations》報(bào)告中一些令人震驚的統(tǒng)計(jì)數(shù)據(jù)：

• 42%的專業(yè)欺詐由員工執(zhí)行

• 36%的欺詐由中層管理人員執(zhí)行

• 只有5%的欺詐者此前因欺詐有關(guān)的罪行而被判定有罪

• 58%的受害企業(yè)無(wú)法恢復(fù)因欺詐造成的任何損失

• 只有14%的欺詐受害者可以完全恢復(fù)

• 只有3%的欺詐在傳統(tǒng)外部審計(jì)中被檢測(cè)到

有趣的是，在大多數(shù)專業(yè)欺詐中，至少有一位高管(通常是CFO和/或CEO)或者董事會(huì)成員作為沉默的觀察者或者作為有利的幫兇。對(duì)于更廣泛的安全泄漏事故(IP盜用、網(wǎng)絡(luò)勒索或被盜身份信息轉(zhuǎn)售)，我還注意到各種內(nèi)部威脅代理。

我覺(jué)得內(nèi)部數(shù)據(jù)泄露或網(wǎng)絡(luò)欺詐是一個(gè)巨大的問(wèn)題，安全領(lǐng)域沒(méi)有人在這方面真正擁有實(shí)踐經(jīng)驗(yàn)，如果能提供幾個(gè)真實(shí)故事(當(dāng)然不涉及客戶具體情況)就好了。你能否給企業(yè)提供一些建議來(lái)幫助他們應(yīng)對(duì)這種情況嗎?

Turgeon：首先，作為技術(shù)人員，我能體會(huì)我的同行可能感覺(jué)我所說(shuō)的有些‘風(fēng)牛馬不相及’，因?yàn)榫W(wǎng)絡(luò)欺詐畢竟只是內(nèi)部威脅的一部分。然而，只要安全專業(yè)人員繼續(xù)談?wù)撈墼p，而沒(méi)有適當(dāng)?shù)呐嘤?xùn)、認(rèn)證和實(shí)踐經(jīng)驗(yàn)，并且金融專業(yè)人員繼續(xù)使用不同的術(shù)語(yǔ)，內(nèi)部威脅基本上無(wú)法避免。因此，我團(tuán)隊(duì)的專家會(huì)審查公司的財(cái)務(wù)情況，并進(jìn)行欺詐比率分析，取證數(shù)據(jù)泄露事故蹤跡和合規(guī)性報(bào)告指標(biāo)經(jīng)常表明企業(yè)的不同部門(mén)就像航行在完全不同海域的船舶。

從我們正在制定與內(nèi)部威脅相關(guān)的網(wǎng)絡(luò)風(fēng)險(xiǎn)指標(biāo)的方式來(lái)看，我看到存在很多挑戰(zhàn)。

通常情況下，IT安全人員和相關(guān)的第三方(例如審計(jì)人員和欺詐審核師)在執(zhí)行多項(xiàng)任務(wù)，包括背景調(diào)查、攻擊取證、IT安全做法的法庭專家證詞，而他們并沒(méi)有獲得相關(guān)許可證。雖然我不認(rèn)同現(xiàn)有的規(guī)定(即考試與IT安全無(wú)關(guān))，我發(fā)現(xiàn)很有意思的是，大多數(shù)IT安全CISSP和風(fēng)險(xiǎn)管理從業(yè)人員要求每年完成一定量的道德培訓(xùn)以更新其認(rèn)證。然而，他們并不會(huì)進(jìn)行IT安全合規(guī)考核。

IT安全專業(yè)人員會(huì)進(jìn)行協(xié)作，并在Madoff旁氏騙局中被判有罪，他們通?？赡苁怯欣膸蛢础倪@一點(diǎn)來(lái)看，監(jiān)管機(jī)構(gòu)應(yīng)該通過(guò)更高的標(biāo)準(zhǔn)來(lái)教導(dǎo)以及確保遵守法律，包括要求專業(yè)人士獲得許可證等。

還有很多‘鞋匠的孩子上學(xué)不穿鞋’的其他例子。然而，只要大多數(shù)安全從業(yè)人員不遵守這些要求，我們?cè)趺茨苤竿麄兲峁┯嘘P(guān)企業(yè)IT安全狀態(tài)的可靠的統(tǒng)計(jì)數(shù)據(jù)呢?鑒于目前的安全狀況，我認(rèn)為我們需要將教育責(zé)任轉(zhuǎn)移到更大更有影響力的群眾(例如投資者和消費(fèi)者)，這樣網(wǎng)絡(luò)安全最終會(huì)作為全面的挑戰(zhàn)來(lái)應(yīng)對(duì)，而不是現(xiàn)在這種狀況。

當(dāng)我們向企業(yè)展示網(wǎng)絡(luò)黑市中有關(guān)其客戶、員工和投資者的有效用戶ID、密碼、安全問(wèn)題和答案的數(shù)量時(shí)，很多企業(yè)都感到震驚。如果企業(yè)專注于4%的常規(guī)互聯(lián)網(wǎng)，那么，風(fēng)險(xiǎn)報(bào)告統(tǒng)計(jì)數(shù)據(jù)將無(wú)法評(píng)估其企業(yè)數(shù)據(jù)泄露的實(shí)際情況以及確定數(shù)據(jù)泄露事故真正的長(zhǎng)期成本。

我發(fā)現(xiàn)有些員工會(huì)竊取其雇主的數(shù)字資產(chǎn)來(lái)偷偷地幫自己支付網(wǎng)絡(luò)贖金以及保護(hù)自己的寶貴資產(chǎn)。很少企業(yè)會(huì)報(bào)告其數(shù)字資產(chǎn)的財(cái)務(wù)評(píng)估企業(yè)數(shù)據(jù)的價(jià)值是什么。

由于識(shí)別錯(cuò)誤分配資金往往需要網(wǎng)絡(luò)欺詐、洗黑錢和企業(yè)財(cái)務(wù)專業(yè)知識(shí)，我經(jīng)常接到CISO的電話稱他們發(fā)現(xiàn)了數(shù)據(jù)泄露或攻擊，但不知道如何管理以下問(wèn)題：

• 確定遇到的具體問(wèn)題;

• 解決各種挑戰(zhàn)(民事、刑事、軍事、國(guó)際法庭、行政法院或使用其他方法)--律師往往無(wú)法應(yīng)對(duì)多個(gè)法庭，并且很多挑戰(zhàn)最好進(jìn)行談判;

• 確?；謴?fù)其資產(chǎn);

• 管理不同國(guó)家的執(zhí)法機(jī)構(gòu)的調(diào)查;

• 盡量減少危機(jī)管理中的企業(yè)責(zé)任

雖然執(zhí)法部門(mén)可以發(fā)揮關(guān)鍵的作用，但我們很少會(huì)看到受害者為所有未來(lái)?yè)p失得到賠償?？紤]一下心懷不滿的員工將你客戶和員工個(gè)人信息放在黑市轉(zhuǎn)售。你的IT安全團(tuán)隊(duì)可能能夠發(fā)現(xiàn)服務(wù)器泄露，并通過(guò)更高防火墻配置來(lái)阻止泄露。但對(duì)黑市正在進(jìn)行的交易進(jìn)行調(diào)查需要并行完成。

鑒于目前的重點(diǎn)是核查和預(yù)防，而不是協(xié)作解決，我們需要教育公眾，讓他們對(duì)IT安全有基本認(rèn)識(shí)。只要投資界繼續(xù)關(guān)注“零威脅滲透”方法，決策者選擇穩(wěn)住其職位的做法，背景感知情報(bào)、交換虛擬分區(qū)和液體計(jì)算帶來(lái)真正威懾所需要的創(chuàng)新將會(huì)停滯不前。

你以前做過(guò)網(wǎng)絡(luò)欺詐調(diào)查。你認(rèn)為網(wǎng)絡(luò)欺詐和內(nèi)部攻擊是同一件事情還是一個(gè)問(wèn)題的不同方面呢?對(duì)于我來(lái)說(shuō)，這種區(qū)別相當(dāng)于‘授權(quán)人員做未經(jīng)授權(quán)事情’與‘外部未經(jīng)授權(quán)人員竊取授權(quán)用戶的登錄憑證’。

Turgeon：作為注冊(cè)欺詐審核師、注冊(cè)委員會(huì)顧問(wèn)和注冊(cè)CISO，欺詐被定義為‘非法或刑事欺騙以獲取財(cái)務(wù)或個(gè)人利益。’正如ACFE的統(tǒng)計(jì)數(shù)據(jù)所顯示，欺詐可能由內(nèi)部人員以及外部人員執(zhí)行，他們可以是授權(quán)人員，也可以是非授權(quán)人員，但都在做未經(jīng)授權(quán)的事情。

從計(jì)算機(jī)技術(shù)的角度來(lái)看，我將內(nèi)部攻擊定義為由具有授權(quán)系統(tǒng)訪問(wèn)的人滲透網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)執(zhí)行的惡意攻擊。在這種情況下，授權(quán)以及未經(jīng)授權(quán)人員(例如使用授權(quán)用戶登錄憑證的外部人員)獲取對(duì)寶貴私人和企業(yè)資產(chǎn)的訪問(wèn)權(quán)限。此外，內(nèi)部威脅也可能涉及物理綁架、企業(yè)污損和股市停盤(pán)等活動(dòng)。對(duì)我來(lái)說(shuō)，主要的區(qū)別是意圖和獲得的東西。

為了合法地解決這些問(wèn)題，舉證的責(zé)任比對(duì)內(nèi)部威脅的指控更具挑戰(zhàn)性。但基于大多數(shù)法官和律師對(duì)計(jì)算機(jī)的認(rèn)識(shí)，在欺詐的案件中，更容易確保定罪。有趣的是，我的驚訝是，欺詐案件通常會(huì)以庭外解決和辯訴交易結(jié)束，而當(dāng)涉及更嚴(yán)重的判刑(例如坐牢)時(shí)，網(wǎng)絡(luò)安全指控才會(huì)在法庭解決。

當(dāng)然，作為CISSP、CPP和CIPP，我可以證明在定義這些術(shù)語(yǔ)時(shí)會(huì)有很多混淆。通常情況下，不同安全領(lǐng)域的專業(yè)人士可能會(huì)使用相同的術(shù)語(yǔ)，但有不同的含義。當(dāng)法官、律師、企業(yè)高管、董事會(huì)成員和投資者參與進(jìn)來(lái)后，事情會(huì)變得更加復(fù)雜。這也是為什么我花了五年時(shí)間研究不同學(xué)科以及編寫(xiě)網(wǎng)絡(luò)FRAML字典的原因，該字典將解決這些實(shí)質(zhì)性的差異，并提供術(shù)語(yǔ)和解。在從懷疑到調(diào)查、檢查、發(fā)現(xiàn)、分析、解決、審計(jì)和破壞等階段，這將讓我們所有人進(jìn)行良好的溝通。

為有效溝通安全事故的程度，我們應(yīng)該把重點(diǎn)放在哪里?在我看來(lái)，安全行業(yè)媒體通常會(huì)專注‘信用卡泄露數(shù)量’或‘個(gè)人數(shù)據(jù)泄露數(shù)量’，但這并不是重點(diǎn)。這些數(shù)據(jù)并沒(méi)有真正告訴我們事情的嚴(yán)重程度，并且，這會(huì)讓人們繼續(xù)使用密碼和信任不值得信任的服務(wù)。你前面提到企業(yè)會(huì)損失5%的收益，這是很大一筆錢。我常說(shuō)，新聞媒體應(yīng)該談?wù)撌∧Ｊ剑浩髽I(yè)未能執(zhí)行特權(quán)訪問(wèn)管理的另一個(gè)數(shù)據(jù)泄露事故。但這對(duì)于非技術(shù)人員有些難。

Turgeon：每當(dāng)我看到電視記者談?wù)撍麄兺耆珱](méi)有相關(guān)知識(shí)的話題時(shí)，我都會(huì)很崩潰，我感覺(jué)我們需要開(kāi)始考慮技術(shù)使用許可。正如我們需要基本了解法律和運(yùn)輸標(biāo)準(zhǔn)才能開(kāi)車一樣，我們是不是也應(yīng)該確保大家基本了解技術(shù)，當(dāng)安全事故發(fā)生時(shí)，我們可以通過(guò)情景化解決方案來(lái)解決危機(jī)。雖然這在近期不會(huì)成為現(xiàn)實(shí)，但現(xiàn)在應(yīng)該開(kāi)始架構(gòu)情景化，讓預(yù)防和解決問(wèn)題之間的巨大差距最終可以最小化。

我們還需要解決對(duì)網(wǎng)絡(luò)通信的網(wǎng)絡(luò)道德問(wèn)題。在接下來(lái)的文章中，我會(huì)進(jìn)一步強(qiáng)調(diào)針對(duì)網(wǎng)絡(luò)攻擊進(jìn)行教育通信的重要性，以及總結(jié)過(guò)去網(wǎng)絡(luò)戰(zhàn)行動(dòng)中遇到的通信挑戰(zhàn)問(wèn)題。

最后，正如天氣和體育新聞是大多數(shù)新聞節(jié)目的一部分，我們需要所有媒體涵蓋技術(shù)教育。隨著物聯(lián)網(wǎng)的出現(xiàn)，我們更迫切地需要部署不同層次的網(wǎng)絡(luò)教育，讓我們最終能夠解決目前方式的錯(cuò)誤。