一、什么是內(nèi)部威脅?

跟蹤者、欺詐者、破壞者以及惡意內(nèi)部人員都會對企業(yè)造成不可估量的損害。其中，內(nèi)部威脅攻擊者一般是企業(yè)或組織的員工(在職或離職)、承包商以及商業(yè)伙伴等，其應當具有組織的系統(tǒng)、網(wǎng)絡以及數(shù)據(jù)的訪問權(quán);內(nèi)部威脅就是內(nèi)部人利用合法獲得的訪問權(quán)對組織信息系統(tǒng)中信息的機密性、完整性以及可用性造成負面影響的行為。內(nèi)部威脅區(qū)別于外部威脅，攻擊者來自于內(nèi)部用戶，因此檢測更加困難，危害性卻更大。

[[236066]]

根據(jù)Ponemon Institute公布的《2018年全球組織內(nèi)部威脅成本》顯示，在3269起事件中，有2081起(64%)都是由員工或承包商的疏忽導致的;而犯罪分子和內(nèi)鬼造成的泄漏事件則為748起(23%)。

二、內(nèi)部威脅的危害

如果說，最近的統(tǒng)計數(shù)據(jù)存在任何暗示意義的話，那就是企業(yè)安全團隊可能大大低估了內(nèi)部威脅對其組織造成的風險。根據(jù)Crowd Research Partners發(fā)布的《2017年企業(yè)內(nèi)部威脅報告》指出，只有3%的高管認為內(nèi)部威脅的潛在成本超過200萬美元。然而，根據(jù)Ponemon Institute進行的調(diào)查數(shù)據(jù)顯示，一個組織每年遭遇內(nèi)部威脅的平均成本超過800萬美元。

為什么內(nèi)部威脅的補救成本如此高昂呢?主要包含如下幾個原因：

• 內(nèi)部人員的威脅可能多年未被發(fā)現(xiàn)。安全事件發(fā)現(xiàn)得越晚，補救的成本就越高，而內(nèi)部威脅通常很難發(fā)現(xiàn)，一般都在2個月以上;
• 很難將有害行為與正常工作區(qū)分開來。這就是內(nèi)部威脅難以發(fā)現(xiàn)的原因。當員工在使用敏感數(shù)據(jù)時，幾乎不可能知道他們是否在執(zhí)行惡意操作;
• 員工很容易掩蓋自己的行為。不僅在發(fā)生惡意行為時很難察覺，事后也幾乎不可能檢測到。任何稍微懂技術(shù)的員工都知道如何通過編輯或刪除日志來隱藏惡意行為;
• 很難證明員工有罪。由于缺乏安全審計，即使企業(yè)檢測到惡意行為，也不能證明是某個具體員工的操作，而內(nèi)鬼此時可能也已經(jīng)消失得無影無蹤;

這些還只是可量化的風險。一旦內(nèi)部攻擊者真正地發(fā)力——特別是那些想要進行欺詐行為或故意從事惡意活動的內(nèi)部人員——其造成的影響可能會比典型的數(shù)據(jù)泄露事件嚴重得多，波及的范圍也更廣。

[[236067]]

三、2018年最嚴重的6起“內(nèi)鬼事件”

2018年已經(jīng)行至一半，我們也親眼目睹了很多具有破壞性的惡意內(nèi)部事件說明了這一事實。以下是一些最引人注目的內(nèi)部攻擊事件，所有這些事件都可以作為對企業(yè)的警告，提醒他們認真對待對員工行為的監(jiān)控和控制。

1. 特斯拉(Tesla)

今年6月，特拉斯指控了一名前員工Martin Tripp，稱其編寫了侵入特斯拉制造操作系統(tǒng)的軟件，并將幾個GB的特斯拉數(shù)據(jù)傳輸給外部實體。這些數(shù)據(jù)包括數(shù)十張機密照片和特斯拉制造系統(tǒng)的相關(guān)視頻。除此之外，特斯拉還聲稱Tripp編寫了計算機代碼，定期將特斯拉的數(shù)據(jù)輸出給公司以外的人。

但是面對指控，該員工發(fā)聲稱自己是因為試圖向投資者和媒體警告特斯拉的風險而透露的內(nèi)部信息。特里普在聲明中強調(diào)，他沒有黑過任何一部電腦，甚至連編程的耐心都沒有。他發(fā)現(xiàn)了超過1000塊有穿孔問題的Model 3車載電池模組，這些模組仍在該公司所生產(chǎn)的Model 3車型中使用。此外，特拉斯還在旗下超級工廠中“不安全的儲存廢料”，并在Model 3車型的產(chǎn)量方面提報了虛假數(shù)據(jù)。

不過，無論事實如何，令人震驚和質(zhì)疑的現(xiàn)實是，為什么企業(yè)沒有更好地控制措施來防止內(nèi)部人員濫用其特權(quán)從事惡意行為?

2. 旁遮普國家銀行(Punjab National Bank)

旁遮普國家銀行(Punjab National Bank)于1894年由Lala Lajpat Rai 創(chuàng)建，總部位于印度新德里，目前是印度第二大國有商業(yè)銀行，在印度764個城市擁有約5000家分行，為超過37萬客戶提供服務。

今年2月，旁遮普國家銀行(PNB)旗下位于孟買的一家分行經(jīng)查遭詐欺17.7億美元，成為印度歷史上規(guī)模最大的貸款詐騙案。該銀行表示，其分行的兩位初級管理人員從2011年起非法發(fā)放擔保函(letters of undertaking)，要求其他金融機構(gòu)的海外分支為幾個特定賬戶持有者延展信用，大部分授信企業(yè)都是尼拉夫·莫迪(印度珠寶商富翁)的海外客戶。

據(jù)悉，其中一位曾擔任旁遮普國家銀行孟買分行的外匯部門副總經(jīng)理。為避開監(jiān)測，其繞開旁遮普銀行的內(nèi)部訊息系統(tǒng)，通過Swift全球支付系統(tǒng)發(fā)出指令，要求印度銀行的海外分支機構(gòu)以擔保貸款的形式支付現(xiàn)金。目前這兩位雇員已被印度聯(lián)邦警方逮捕。

此次事件對旁遮普國家銀行的影響無疑是巨大的，據(jù)悉，在旁遮普國家銀行曝出詐騙案后，該銀行股價出現(xiàn)了暴跌，單周跌幅已經(jīng)超過20%，跌至2017年1月初以來最低，市值抹去數(shù)百億印度盧比，并創(chuàng)下創(chuàng)2009年以來最大單日跌幅。

3. Facebook

5月初，F(xiàn)acebook公司解雇了一位安全工程師，因為后者曾利用訪問個人數(shù)據(jù)的特權(quán)在線跟蹤并騷擾女性。此外，該安全工程師還在約會平臺Tinder上向好友吹噓自己可以看到任一 Facebook用戶的個人資料。

據(jù)悉，在 Facebook 公司內(nèi)部有個小組，有權(quán)限觀看任何用戶的個人資料，如果被連線觀看頁面所有者正好是 Facebook 員工，該同事則會在公司的內(nèi)部系統(tǒng)中收到相關(guān)警示;而對那些不在Facebook工作的 20 多億用戶而言，卻沒有類似的個人資料隱私保護措施。

當然，這名安全工程師的案例并不是孤立的，還有多名Facebook員工同樣因為濫用用戶私人信息而遭到解雇。不幸的是，由于此事曝光的時間點距離“泄露門”事件發(fā)生不久，可以說是進一步打擊了Facebook的用戶信任，為其帶來了難以估量的潛在影響。

4. 可口可樂

今年5月底，可口可樂公司對外宣布了一起數(shù)據(jù)泄露事件，這起事件實際可能發(fā)生在去年9月，但是直到今年5月才對外曝光出來。據(jù)悉，可口可樂公司在一名前員工的個人硬盤中，發(fā)現(xiàn)了大約8000名現(xiàn)有員工的個人數(shù)據(jù)，而這些數(shù)據(jù)，是當時他從可口可樂違規(guī)挪用的。

至于為什么去年9月就發(fā)現(xiàn)了數(shù)據(jù)泄露現(xiàn)象，卻遲遲沒有對外公布?可口可樂解釋稱，他們在過去幾個月中與執(zhí)法部門合作調(diào)查了這些數(shù)據(jù)的來源和有效性，并確定一些文件包含了部分員工的個人信息。按照執(zhí)法部門的要求，所以直到現(xiàn)在才向員工報告違規(guī)事件。

此次事件后，可口可樂公司開始通過第三方供應商向受影響的員工提供一年的免費身份監(jiān)測。

5. Nuance

就在可口可樂公司發(fā)生內(nèi)部攻擊前幾天，美國醫(yī)療語音識別軟件開發(fā)商Nuance的一名前員工，在離職后登陸公司服務器，訪問并泄漏了4.5萬名客戶的信息，包括生日、醫(yī)保賬號、健康狀況、治療情況等。

6. 太陽信托銀行(Suntrust Bank)

今年4月20日，美國知名銀行SunTrust Bank宣布，發(fā)現(xiàn)一名離職員工可能盜取了超過150萬名客戶的數(shù)據(jù)，包括姓名、住址、電話號碼和賬戶余額等重要信息，并將其賣給了一個犯罪組織。

此次事件曝光后，SunTrust Bank表示，會為客戶因欺詐而遭受的損失負責，同時，該機構(gòu)正在主動通知這150多萬名客戶，并向所有客戶提供免費的身份保護服務。

四、值得關(guān)注的內(nèi)部威脅群體

通過上述內(nèi)容，我們都已經(jīng)了解了內(nèi)部威脅的巨大危害性。那么，企業(yè)最應該留意哪些內(nèi)部人員呢?雖然說，任何內(nèi)部人員都可能誤用或泄漏數(shù)據(jù)，但企業(yè)最應該關(guān)注以下三個群體：

• 特權(quán)用戶(案例2、3所示)。他們通常是公司中最值得信賴的員工，但他們也可能有意或無意地誤用/泄漏數(shù)據(jù)。此外，內(nèi)鬼和黑客都有可能竊取這些特權(quán)用戶的賬號，以獲取某些機密信息;
• 第三方。承包商、第三方供應商和合作伙伴等，都可以訪問企業(yè)的系統(tǒng)，而企業(yè)對系統(tǒng)安全性，甚至對那些訪問數(shù)據(jù)的人員都一無所知;
• 離職員工(案例4、5、6所示)。正如上文提到的情況，員工在離職時可以隨身攜帶重要數(shù)據(jù)。更要命的是，他們甚至還能在離職之后照樣訪問公司數(shù)據(jù);

五、如何防范內(nèi)部威脅?

了解完最值得關(guān)注的威脅群體后，我們再來總結(jié)一下如何防范這種內(nèi)部威脅，企業(yè)可以根據(jù)下述建議提升自身安全防護能力，最大限度降低內(nèi)部威脅影響：

1. 對員工進行安全教育

如果要減少非惡意員工的失誤和疏忽，最佳的方式之一是對他們進行安全教育，確保員工清楚公司面臨的安全風險，以及如何處理這些風險。教育他們?yōu)槭裁匆扇∧承┌踩胧约安蛔袷剡@些措施的后果是什么;告訴他們有關(guān)網(wǎng)絡釣魚的風險，以及各種規(guī)避和處理方法等等。如果這部分員工知道他們的行為會影響公司收入，而這又會影響他們的收入，他們也就會更加重視維護網(wǎng)絡安全規(guī)范。

2. 使用最小特權(quán)原則

特權(quán)員工的人數(shù)越少，保護企業(yè)數(shù)據(jù)就越容易。這不僅意味著有機會執(zhí)行惡意操作的員工更少，還意味著黑客/內(nèi)鬼可以入侵/冒用的賬戶也變少了。

如果企業(yè)尚未有特權(quán)用戶，則應遵守最小特權(quán)原則。這是一個網(wǎng)絡安全標準，規(guī)定企業(yè)中的每個新賬戶都應當具有盡可能少的特權(quán)，并在有必要的時候進行權(quán)限升級。這一點同樣適用于第三方訪問數(shù)據(jù)，確保他們具有最少的權(quán)限，并且在他們的工作完成時刪掉憑證。

3. 保護賬戶安全

強大的賬戶保護措施，可以極大程度上抵御外部和內(nèi)部人員的威脅。保護賬戶有幾條原則：

• 員工應該使用安全性較高的復雜口令，而且不能復用口令;
• 禁止員工之間共享賬戶，或盡可能限制共享賬戶的使用;
• 采用能識別操作者真實身份的身份認證技術(shù)，防止員工身份被冒用。目前比較流行的是多因素身份認證;
• 安全審計;

總而言之，強大的賬戶保護措施不僅能抵御外部攻擊者，而且還能有效防止員工身份被冒用的情況。此外，安全審計功能還可以對內(nèi)鬼起到極強的威懾作用。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文