內(nèi)部威脅引起關(guān)注

近年來，內(nèi)部威脅逐步成為新的研究熱點，“斯諾登事件”更是將其推向了一個高潮。其實，早在1969年針對計算機用戶權(quán)限濫用而提出的訪問控制理論就是屬于內(nèi)部威脅防范的范疇。隨后研究逐步系統(tǒng)化，尤其以美國特勤局與卡耐基梅隆大學(xué)聯(lián)合建立的CERT（計算機安全應(yīng)急響應(yīng)組）內(nèi)部威脅中心為代表，建立了著名的內(nèi)部威脅案例庫[1]。眾所周知，內(nèi)部威脅危害巨大，可以對個人造成傷害, 對組織造成經(jīng)濟損失、業(yè)務(wù)運行中斷、聲譽受損, 嚴(yán)重時甚至?xí)：野踩?。然而，鑒于其具有內(nèi)外勾結(jié)、合伙人參與、企業(yè)兼并時多發(fā)、員工文化差異等復(fù)雜性，內(nèi)部威脅的檢測發(fā)現(xiàn)相比外部威脅更加不易。

[[224337]]

知識竊取類內(nèi)部威脅

CERT將內(nèi)部威脅分為三類

• 信息系統(tǒng)破壞（IT sabotage）: 內(nèi)部人員使用信息技術(shù)對組織或個人進行特定的破壞；
• 知識竊取（Theft of intellectual property (IP)）: 內(nèi)部人員使用信息技術(shù)竊取組織的知識產(chǎn)權(quán)，包括商業(yè)間諜；
• 電子欺詐（Fraud）：內(nèi)部人員使用信息技術(shù)對組織數(shù)據(jù)進行非授權(quán)的修改、增加或刪除，或者進行身份冒用。

 知識竊取作為一種重要的內(nèi)部威脅手段，危害程度不亞于其他兩種。從CERT數(shù)據(jù)庫顯示的數(shù)據(jù)來看，包括U.S. Munitions List（美國軍用品管制目錄 ）中的產(chǎn)品源代碼被共享給國外軍事組織，一個政府供應(yīng)商偷取密碼進行對敏感信息的非授權(quán)訪問等案例，平均導(dǎo)致的實際經(jīng)濟損失為1千350萬美元，而潛在經(jīng)濟損失高達(dá)1.09億美元。其中IT公司、電信公司、制藥公司、化學(xué)公司、生物科技公司是信息竊取高發(fā)行業(yè)，導(dǎo)致的經(jīng)濟損失都在1億美元以上，最高可達(dá)10億美元[1]。

述描述了CERT關(guān)于知識竊取類內(nèi)部威脅的定義。還有學(xué)者提出了基于“信任--承諾”的內(nèi)部威脅理論，通過“信任--承諾”的對應(yīng)關(guān)系來定義內(nèi)部人，基本的原則是正確行使受信獲得的組織資源的訪問權(quán), 維護授信主體的合法利益。特別地，給出了內(nèi)部威脅的形式化定義，表示為威脅函數(shù)δ: SM×B× O→ N( ST)。進一步地，將知識竊取類內(nèi)部威脅定義為：若受信內(nèi)部人SM利用對授信主體信息資產(chǎn)的最小訪問權(quán)限Tm=(r), 做出損害授信主體經(jīng)濟利益的行為, 則該行為屬于知識竊取威脅[2]。

知識竊取類內(nèi)部威脅的特征[2]

1. 攻擊者特征: 此類威脅主要來源于能接觸到信息資產(chǎn)的內(nèi)部人員, 一般是具有核心數(shù)據(jù)訪問權(quán)的在職雇員, 如科學(xué)研究人員、技術(shù)工程人員、程序員以及銷售人員等；

2. 動機與目標(biāo): 大多數(shù)攻擊者通過竊取的高價值信息跳槽到新單位就職, 或者自己創(chuàng)業(yè)。因此該類威脅常見目標(biāo)是通過竊取信息謀求更好的發(fā)展機會；

3. 攻擊方式: 信息竊取主要是利用自己和同謀者的合法數(shù)據(jù)訪問權(quán)限, 通過秘密拷貝到可移動設(shè)備或發(fā)送郵件附件的方式將高價值信息帶出企業(yè)/組織。

CERT采用MERIT模型描述該類威脅，根據(jù)攻擊者的數(shù)量, 將此類內(nèi)部威脅分為個體或群體信息竊取, 關(guān)鍵區(qū)別在于后者無法獨立竊取信息, 必須通過收買、欺騙等方式獲得其他人的配合[1]。

個體信息竊取MERIT模型

群體信息竊取MERIT模型

經(jīng)過大量的案例數(shù)據(jù)分析發(fā)現(xiàn)，內(nèi)部個體首先覺得由其編寫的代碼或文檔歸其個人所有。其次，內(nèi)部人員感到了不滿意，部分竊取知識產(chǎn)權(quán)是為了獲取新的工作，當(dāng)然相當(dāng)一部分并非有明確目的，而只是習(xí)慣性保留以前用到的信息。因此，通常來講，一半的個體竊密者會在其離職前的一個月內(nèi)竊取信息，即“一月時間窗口”理論。這一個月包括離職前的一個月和離職后的一個月，其實是兩個月。雖然并不是所有竊密都發(fā)生在這個時間窗口內(nèi)，有的是隨著時間慢慢進行的，但最終的竊取行為集中在這個時間內(nèi)，并且很少在超過這個窗口的時間內(nèi)還繼續(xù)竊取。采用的方式有郵件、電話、傳真外發(fā)、從組織內(nèi)服務(wù)器下載到個人電腦、通過移動介質(zhì)拷貝、惡意代碼收集和傳播、打印或輸出成物理載體帶出等。

群體竊密與個體竊密相比，希望得到更多，比如整個生產(chǎn)線或整個軟件。個體竊取的大部分是其權(quán)限范圍內(nèi)的信息，而鑒于群體竊取的目標(biāo)更廣，群體領(lǐng)導(dǎo)者權(quán)限范圍內(nèi)可訪問的信息無法滿足需要，因此招攬更多的內(nèi)部人員幫助其實現(xiàn)目標(biāo)，組織過程較為復(fù)雜?；蛟S在最開始，群體領(lǐng)導(dǎo)者就是個體竊密者。但隨著心理變化或者競爭者的誘惑，逐步發(fā)展成群體竊密，其個體不滿意的跡象并不十分明顯，“一月時間窗口”也并不完全適用。但有利的是，群體竊密相比較個體竊密更易被發(fā)現(xiàn)，一方面是發(fā)現(xiàn)高等級風(fēng)險的渠道更多，另一方面試圖提高訪問權(quán)限的行為非常可疑。

英國牛津（Oxford）的網(wǎng)安團隊分析了CERT數(shù)據(jù)庫中的內(nèi)部威脅案例，抽象攻擊鏈，提出了最全面的內(nèi)部威脅模型。該模型從內(nèi)部威脅的動機開始建立攻擊鏈，描述了行為以及威脅目標(biāo)和資源客體等諸多屬性[3]。

上圖中刻畫了內(nèi)部威脅的四個方面：

• 觸發(fā)事件：刻畫內(nèi)部威脅的導(dǎo)火索，觸發(fā)事件通常是對內(nèi)部人的較大負(fù)面事件，造成不能勝任工作角色或職責(zé)；
• 攻擊者特征：刻畫攻擊者的心理狀態(tài)，從而刻畫出內(nèi)部威脅動機，動機可以從人格特征、行為特征及職能角色三個角度分析。內(nèi)部人員由于不滿或粗心導(dǎo)致工作效率低下、無視組織規(guī)定越權(quán)訪問、喪失工作興趣等，進而引發(fā)事故，加之不同角色用戶具有不同權(quán)限，這些構(gòu)成了實施內(nèi)部威脅的條件；
• 攻擊特征：刻畫不同的攻擊類型，例如利用病毒入侵企業(yè)網(wǎng)絡(luò)，進而非授權(quán)訪問站點、關(guān)閉殺毒軟件傳播病毒、非法獲取信息，造成系統(tǒng)癱瘓等；
• 組織特征：刻畫組織的安全程度，其脆弱性給了內(nèi)部攻擊者以可乘之機，內(nèi)部審計機制與訪問控制機制決定了內(nèi)部威脅的技術(shù)門檻。

知識竊取類內(nèi)部威脅檢測

內(nèi)部威脅檢測最常用也最有效的方法是用戶與實體行為分析（User and Entity Behavior Analysis, UEBA）。通過審計和分析用戶對于文件或應(yīng)用的訪問行為，建立用戶行為基線，據(jù)此檢測用戶的偏離行為，從而報警。該方法同樣適用于知識竊取類威脅檢測，可分為兩個方面：

用戶行為監(jiān)測（User Activity Monitoring: UAM）

面向用戶，監(jiān)測用戶行為來發(fā)現(xiàn)可疑趨勢，例如鍵盤監(jiān)控、屏幕監(jiān)控等，多數(shù)研究屬于該類型。例如CERT提出對即將離職的員工進行針對知識產(chǎn)權(quán)的增強監(jiān)控，在“一月時間窗口”內(nèi)采取高于組織安全基線的檢測模式以發(fā)現(xiàn)惡意的內(nèi)部行為[4]。

攻擊樹也是一種典型的攻擊模式描述方法。抽取每種攻擊類型的攻擊步驟組成攻擊鏈，再將攻擊目標(biāo)相同的攻擊鏈合并形成攻擊樹。定義每個攻擊步驟對應(yīng)的異常，分為單活動異常和多活動異常，通過檢測異常進而推斷攻擊的發(fā)生[5]。

數(shù)據(jù)行為監(jiān)測（Data Activity Monitoring: DAM）

面向數(shù)據(jù)，從知識竊取的客體--文件入手，進行威脅檢測。例如從用戶遍歷文件系統(tǒng)以及訪問文件目錄的角度建立行為模型[6]；針對用戶遍歷文件系統(tǒng)時的文件順序表示文件訪問行為[7]；基于文件內(nèi)容建立群組，根據(jù)個體用戶自身行為以及組群間行為偏移檢測文件訪問中的異常行為[8]等。然而這些并非真正意義上數(shù)據(jù)自身的行為，仍然是用戶對于文件的行為。

將UAM與DAM結(jié)合，也是日漸增多的一種方法。將行為風(fēng)險與實體風(fēng)險結(jié)合起來，彼此分值相互影響，綜合評判威脅等級與事件概率[9]。

高安全等級網(wǎng)絡(luò)下的知識竊取類內(nèi)部威脅檢測

與互聯(lián)網(wǎng)相比，高安全等級網(wǎng)絡(luò)是功能相對單一的業(yè)務(wù)網(wǎng)絡(luò)，網(wǎng)絡(luò)之間的數(shù)據(jù)交換是一種目標(biāo)明確、邊界清楚、數(shù)據(jù)格式確定，并且用戶身份可追溯的網(wǎng)絡(luò)系統(tǒng)。然而也正是由于其具有一定的封閉性，使得內(nèi)部威脅相比外部攻擊更加成為一個突出的問題，并且失泄密是其重點關(guān)注與防范的內(nèi)容，故而知識竊取類內(nèi)部威脅尤為重要，不僅涉及經(jīng)濟利益，更關(guān)系到國家安全，對該類威脅的檢測在高安全等級網(wǎng)絡(luò)下十分迫切。

然而，在高安全等級網(wǎng)絡(luò)中，諸如員工離職等現(xiàn)象并不明顯，CERT提出的“一個月時間窗口”增強監(jiān)測并不能發(fā)揮積極作用，知識竊取呈現(xiàn)出更加隱蔽、隨意和長期的趨勢。很多組織都認(rèn)同對信息缺少安全屬性的標(biāo)定是造成知識竊取威脅的一個根本性原因。正是因為私有的或敏感的信息沒有被標(biāo)記，或者沒有被正確標(biāo)記，才使得知識竊取輕而易舉的發(fā)生[10]。CERT也指出如果能夠識別大部分核心資產(chǎn)，像數(shù)字水印、數(shù)字權(quán)限管理和數(shù)據(jù)防泄漏系統(tǒng)就能夠阻止資產(chǎn)離開網(wǎng)絡(luò)[1]。

所以，對敏感文件添加安全標(biāo)志，既可清晰描繪文件的唯一性和繼承性，設(shè)置安全等級、訪問控制范圍，還可記錄操作主體、時間、行為等，結(jié)合文件的使用日志，使得對文件的畫像成為可能。一方面，可以作為信息管控和失泄密防護的依據(jù)；另一方面，可輔助發(fā)現(xiàn)知識竊取類內(nèi)部威脅，提高檢測的精確度及風(fēng)險預(yù)判能力，利于還原竊密過程。

參考文獻：

[1] “The CERT Guide to Insider Threats 2012.”US CERT, http://www.cert.org/insider-threat/.

[2] 楊光,馬建剛 ,于愛民 , 孟丹。“內(nèi)部威脅檢測研究”?！缎畔踩珜W(xué)報》 , 2016 , 1 (3), PP21-36, 2016.7

[3] http://www.freebuf.com/news/topnews/104030.html

[4] Andrew P. Moore, alt. “A Pattern for Increased Monitoring for Intellectual Property Theft by Departing Insiders”. TECHNICAL REPORT, April 2012.

[5] Ioannis Agrafiotis, alt. “Identifying attack patterns for insider threat detection”. Computer Fraud & Security, PP9-17, July 2015.

[6] Rui Zhang, Xiaojun Chen, Jinqiao Shi, Fei Xu, and Yiguo Pu, “Detecting Insider Threat Based on Document Access Behavior Analysis,” The Asia Pacific Web Conference (APWeb) Workshops,8710:376-387,2014.

[7] J. B. Camina, R.Monroy, L.A. Trejo and E.Sanchez, “TowardsBuilding a Masquerade Detection Method Based on User File System Navigation, Mexican International Conference on Artificial (MICAI), pp. 174-186, 2011.

[8] Alex Memory, Henry G. Goldberg, “Context-Aware Insider Threat Detection Activity” In the Context-Aware System Architectures: Papers from the AAAI 2013 Workshop, PP 44-47, 2013.

[9] Mark Warren, “Modern IP theft and the insider threat”. Journal of Computer Fraud and Security. June, 2015, pp 5-10.

[10] RECENT INSIDER THEFT CASES. Report theft of trade secrets to your local FBI office or submit a tip online: tips.fbi.gov.

【本文為51CTO專欄作者“中國保密協(xié)會科學(xué)技術(shù)分會”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文