“Insider threat”是個(gè)什么鬼?

[[193648]]

“Insider Threat”就是來(lái)自機(jī)構(gòu)的“內(nèi)鬼”。“內(nèi)鬼”通常是來(lái)自機(jī)構(gòu)的員工、前雇員、承包商或者服務(wù)提供商，這些人有機(jī)會(huì)訪問(wèn)機(jī)構(gòu)內(nèi)部的涉密業(yè)務(wù)、數(shù)據(jù)和計(jì)算機(jī)信息系統(tǒng)。這種威脅通常涉及涉密信息或者有價(jià)值的商業(yè)信息的竊取和欺詐，以及知識(shí)產(chǎn)權(quán)的竊取和計(jì)算機(jī)系統(tǒng)的破壞。美國(guó)國(guó)防高級(jí)研究計(jì)劃局(DARPA)把“網(wǎng)絡(luò)內(nèi)鬼”稱為CINDER(Cyber-Insider Threat)，并專門立項(xiàng)研發(fā)用于美軍網(wǎng)絡(luò)“內(nèi)鬼”的檢測(cè)新方法。盡管有人將內(nèi)部員工無(wú)意識(shí)的過(guò)錯(cuò)也歸類于Insider threat，但無(wú)疑“內(nèi)鬼”的威脅來(lái)得更大。

古今中外都對(duì)“內(nèi)鬼”痛之入骨，也從來(lái)不缺少“內(nèi)鬼”的案例。隨著市場(chǎng)經(jīng)濟(jì)和信息化的快速發(fā)展，“內(nèi)鬼”也出現(xiàn)上升的趨勢(shì)。美國(guó)比較有名的“內(nèi)鬼”有：美國(guó)得州胡德堡軍事基地槍擊案兇手心理醫(yī)生哈桑(Robert-Hanssen)、前蘇聯(lián)間諜美中央情報(bào)局反情報(bào)人員埃姆斯(Aldrich-Ames)、古巴間諜美國(guó)防情報(bào)局高級(jí)分析師安娜，近年來(lái)有名的“內(nèi)鬼”有曼寧和斯諾登，按照DARPA的提法，這兩個(gè)八零后小伙子屬于“網(wǎng)絡(luò)內(nèi)鬼CINDER”。

[[193649]]

[[193650]]

“內(nèi)鬼”防范計(jì)劃

“維基解密事件”中的曼寧曾是美國(guó)陸軍上等兵，他利用職務(wù)之便，下載了二十五萬(wàn)份美國(guó)政府的機(jī)密資料，轉(zhuǎn)交給“維基解密”網(wǎng)站。該事件促使2011年奧巴馬總統(tǒng)簽發(fā)第13587號(hào)總統(tǒng)令，專門成立內(nèi)部威脅特別工作組(Insider Threat Task Force)，專門研究和實(shí)施“內(nèi)鬼”檢測(cè)和防御計(jì)劃，計(jì)劃內(nèi)容包括整合各機(jī)構(gòu)的安全、反間諜、用戶審計(jì)和監(jiān)控等能力，研究開發(fā)新的政策、目標(biāo)和重點(diǎn)項(xiàng)目。

[[193651]]

[[193652]]

DARPA防“內(nèi)鬼”的科研項(xiàng)目

早在13587號(hào)總統(tǒng)令之前，DARPA就前瞻資助了一個(gè)為期2年“多尺度異常檢測(cè)(ADAMS)”項(xiàng)目，預(yù)算3500萬(wàn)美元。該計(jì)劃希望能夠提前檢測(cè)和防止“內(nèi)鬼”的行為，比如“有殺人狂或自殺傾向”“內(nèi)部人惡意報(bào)復(fù)”“雇員濫用職權(quán)泄密”等。其中有一個(gè)名為“利用圖形分析研究主動(dòng)發(fā)現(xiàn)內(nèi)部威脅(PRODIGAL-PROactive Detection of Insider Threats with Graph Analysis and Learning)”的課題，該課題主要研究利用大規(guī)模數(shù)據(jù)集檢測(cè)和發(fā)現(xiàn)異常特征與行為的新技術(shù)，數(shù)據(jù)集包括用戶電子郵件、文本信息、登錄、文件傳輸和軍事網(wǎng)絡(luò)瀏覽等信息。PRODIGAL每天可以掃描約250萬(wàn)份電子郵件、即時(shí)消息和文件傳輸，可幫助政府官員在信息泄露前尋找到泄密人員。真正促使DARPA開展此項(xiàng)研究的起因是美國(guó)得州胡德堡軍事基地槍擊案兇手哈桑、前蘇聯(lián)間諜埃姆斯和古巴間諜安娜，而“維基解密”事件的發(fā)生和曼寧、斯諾登的出現(xiàn)，也證明了該研究項(xiàng)目的必要性。

抓“內(nèi)鬼”其實(shí)很難

“內(nèi)鬼”出事后，通常證據(jù)痕跡看起來(lái)顯而易見，而事前抓住這些痕跡卻是非常困難的。通常，事中也會(huì)大量出現(xiàn)陰謀論和疑神疑鬼的各種腔調(diào)。ADAMS計(jì)劃的項(xiàng)目經(jīng)理瓦爾茨曼(Rand Waltzman)認(rèn)為有4個(gè)難題：1.難以區(qū)分行為的正常和非正常;2.惡意行為在時(shí)空上的分布很廣;3.異常行為是噪聲背景下的微弱信號(hào);4.涉及大量的數(shù)據(jù)。

比如，在美國(guó)得州胡德堡找到“內(nèi)鬼”，將涉及6.5萬(wàn)個(gè)士兵，如果僅僅將每個(gè)士兵的電子郵件和短信流量關(guān)系畫成圖，一年就需要分析2,336,726個(gè)節(jié)點(diǎn)間的47,201,879,000個(gè)連接關(guān)系。如果在整個(gè)國(guó)防部范圍，則需要分析37,387,616個(gè)節(jié)點(diǎn)間的755,230,064,000個(gè)連接關(guān)系。上面還不包括網(wǎng)站搜索、文件訪問(wèn)、程序運(yùn)行和其它網(wǎng)絡(luò)行為數(shù)據(jù)。

DARPA抓“內(nèi)鬼”的研究方向

ADAMS項(xiàng)目確定了4個(gè)研究方向：

• 主題分析(Topic analysis)：研究關(guān)注區(qū)域的特征，檢測(cè)偏離主題或意想不到的內(nèi)容;
• 系統(tǒng)使用(System use)：研究系統(tǒng)和文件訪問(wèn)的時(shí)間序列和行為模式;
• 社交與網(wǎng)絡(luò)(Social interactions and networks)：研究指標(biāo)和社會(huì)交往;
• 心理狀態(tài)(psychological state)：研究個(gè)人氣質(zhì)、心理健康、苦惱、不穩(wěn)定或其他弱點(diǎn)。

美國(guó)總統(tǒng)成立抓“內(nèi)鬼”工作組(ITTF)后，抓“內(nèi)鬼”成為學(xué)術(shù)屆的研究熱點(diǎn)。其中圖形分析(Graph Analytics)和機(jī)器學(xué)習(xí)成為解決問(wèn)題的關(guān)鍵，出現(xiàn)了很多方案和思路。然而，DARPA報(bào)告指出，超過(guò)1000個(gè)節(jié)點(diǎn)的圖形算法很難擴(kuò)充，隨著節(jié)點(diǎn)的增加，連接關(guān)系的檢測(cè)將變得不穩(wěn)定，對(duì)噪聲數(shù)據(jù)的微小變化很敏感，需要新的圖形分析技術(shù)支持不同噪聲、采樣偏差和規(guī)模條件下的極微弱信號(hào)的異常行為檢測(cè)。

【本文為51CTO專欄作者“中國(guó)保密協(xié)會(huì)科學(xué)技術(shù)分會(huì)”原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)聯(lián)系原作者】

戳這里，看該作者更多好文