智慧城市的建設(shè)推動(dòng)著我國(guó)生產(chǎn)模式的變革，隨著經(jīng)濟(jì)數(shù)字化、政府?dāng)?shù)字化的建設(shè)，數(shù)據(jù)和網(wǎng)絡(luò)已經(jīng)成為我國(guó)政府和企業(yè)不可或缺的一部分。合資企業(yè)、跨境貿(mào)易、多廠商全球合作的模式變遷，不斷增加了關(guān)鍵數(shù)字和物理資產(chǎn)被攻擊的風(fēng)險(xiǎn)，同時(shí)全球合作需要滿足不同國(guó)家當(dāng)?shù)匕踩O(jiān)管的要求，這些復(fù)雜因素都指向同一個(gè)結(jié)果：企業(yè)單位所面臨的內(nèi)部威脅正在急劇增加。

內(nèi)部威脅網(wǎng)絡(luò)安全事件層出不窮，但仍舊很難引起企業(yè)的重視。企業(yè)往往會(huì)想當(dāng)然地認(rèn)為攻擊者都來自于外部，但事實(shí)上，超過一半的安全攻擊都是由內(nèi)部員工造成的，或是由心懷不軌者惡意為之，或是由員工的粗心錯(cuò)誤操作導(dǎo)致。由受信員工產(chǎn)生的內(nèi)部威脅極有可能導(dǎo)致重大經(jīng)濟(jì)損失，并伴隨公信力下降。

企業(yè)主要的安全防御措施(例如防火墻、訪問控制、智能物聯(lián)監(jiān)控設(shè)備等)通常是為不受信的外部攻擊者而設(shè)，這使得受信員工或承包商有機(jī)可乘。同時(shí)，內(nèi)部員工了解企業(yè)的防御手段，因而能夠在從事惡意活動(dòng)時(shí)輕松繞過。為了應(yīng)對(duì)這種投機(jī)取巧的行為并切實(shí)解決內(nèi)部威脅，應(yīng)當(dāng)做好環(huán)境感知、高級(jí)行為異常檢測(cè)和基于時(shí)序分析的調(diào)查取證。

斯諾登網(wǎng)絡(luò)安全事件作為全球典型內(nèi)部威脅代表，促使許多單位和企業(yè)自省，是否也會(huì)發(fā)生此類事件。凡是有價(jià)值信息皆為誘惑，都可能遭受內(nèi)部威脅入侵，雖然企業(yè)敏感數(shù)據(jù)被盜或損壞可能不會(huì)像斯諾登事件一樣引起嚴(yán)重的國(guó)家安全危害，但仍然會(huì)對(duì)企業(yè)造成重大損害。

[[322551]]

什么是內(nèi)部威脅?

內(nèi)部威脅是指具備企業(yè)資產(chǎn)合法訪問權(quán)的用戶利用該權(quán)限對(duì)企業(yè)造成危害的行為。造成內(nèi)部威脅的并不一定是企業(yè)在職員工，也可能是具有系統(tǒng)或數(shù)據(jù)訪問權(quán)限的離職員工、承包商或合作伙伴。

內(nèi)部威脅不同于由憑證泄露引起的攻擊，后者是由外部攻擊者使用被盜取的有效賬戶憑證冒充合法用戶訪問網(wǎng)絡(luò)。內(nèi)部威脅通常是用戶采取的主觀行動(dòng)，并且可能知道自己正在違反規(guī)定，甚至違反法律。

內(nèi)部威脅可能來自于：

• 心懷不滿的員工——共享敏感信息以獲取個(gè)人利益或報(bào)復(fù)。
• 惡意員工——故意濫用網(wǎng)絡(luò)、系統(tǒng)或數(shù)據(jù)的訪問權(quán)限以造成損害。
• 失陷員工——無(wú)意間將系統(tǒng)暴露給攻擊者或惡意軟件(例如單擊帶有惡意軟件的電子郵件，使攻擊者能夠竊取訪問憑證)。
• 第三方(承包商、合作伙伴和客戶)——受信訪問敏感數(shù)據(jù)并表現(xiàn)和上述類型相同的威脅。

多數(shù)情況下，這些用戶可能具有不合理的訪問權(quán)限。例如，在很多企業(yè)單位中，員工轉(zhuǎn)崗或職責(zé)變更時(shí)，并不會(huì)撤銷其原有的系統(tǒng)訪問權(quán)限，使用戶的權(quán)限有增無(wú)減。隨著時(shí)間推移，這些用戶會(huì)累積大量的權(quán)限。這一現(xiàn)象導(dǎo)致，老員工可以更容易地越權(quán)訪問系統(tǒng)。此外，不完整的離職交接流程及權(quán)限回收，也會(huì)使得前員工仍然可以遠(yuǎn)程訪問敏感的應(yīng)用程序或服務(wù)器。簡(jiǎn)而言之，潛在的惡意內(nèi)部人員群體往往比大多數(shù)CISO想象的要大得多，也難以識(shí)別。

內(nèi)部惡意人員暴露的敏感數(shù)據(jù)迅速增長(zhǎng)，大有燎原之勢(shì)。其中不乏財(cái)務(wù)報(bào)告數(shù)據(jù)(提前獲知，從而進(jìn)行公司股票的非法交易)，客戶數(shù)據(jù)(對(duì)競(jìng)爭(zhēng)對(duì)手有價(jià)值)，產(chǎn)品或技術(shù)文檔(同樣對(duì)競(jìng)爭(zhēng)對(duì)手有價(jià)值)，員工數(shù)據(jù)等等。這些原本存儲(chǔ)于不同系統(tǒng)的數(shù)據(jù)(如備份、基線、開發(fā)/測(cè)試，報(bào)告等數(shù)據(jù))，正在被人整合利用從事非法活動(dòng)。例如：

• 銷售經(jīng)理在加入競(jìng)爭(zhēng)對(duì)手之前拷貝當(dāng)前的客戶和銷售渠道。
• 工程師決定成立一家與雇主競(jìng)爭(zhēng)的初創(chuàng)公司，并在離開之前拷貝產(chǎn)品計(jì)劃和設(shè)計(jì)文檔。
• IT經(jīng)理在報(bào)告日期之前查看季度收益數(shù)據(jù)，目的是非法買賣其公司的股票。
• 一位科學(xué)家復(fù)制了數(shù)千份設(shè)計(jì)和技術(shù)文檔，出售給國(guó)外(2012年，陶氏化學(xué)的一位科學(xué)家因這樣做而被判處五年徒刑)。
• 情報(bào)機(jī)構(gòu)的承包商下載了大量?jī)?nèi)部程序數(shù)據(jù)，以泄露給媒體。
• ……

內(nèi)部威脅的動(dòng)機(jī)

攻擊背后總是由多種因素驅(qū)動(dòng)，具體動(dòng)機(jī)可分為以下四種。

• 經(jīng)濟(jì)利益：經(jīng)濟(jì)利益是造成多數(shù)內(nèi)部違規(guī)行為的主要因素，獲取的可能是微利(例如，門衛(wèi)在電商平臺(tái)上出售筆記本電腦賺取快錢)，也可能是暴利(例如，較低級(jí)別員工在暗網(wǎng)上出售個(gè)人身份信息)。
• 商業(yè)利益：知識(shí)產(chǎn)權(quán)可用于增進(jìn)企業(yè)產(chǎn)品、消除競(jìng)爭(zhēng)優(yōu)勢(shì)或幫助行為不端者進(jìn)行業(yè)務(wù)交易，因此知識(shí)產(chǎn)權(quán)通常是以商業(yè)利益為動(dòng)機(jī)的攻擊者的主要目標(biāo)。此類威脅不僅會(huì)提升竊取知識(shí)產(chǎn)權(quán)一方的競(jìng)爭(zhēng)力，還會(huì)給受害一方帶來生產(chǎn)力損失和聲譽(yù)損害。
• 員工報(bào)復(fù)：出于對(duì)工作不滿、受到不公平待遇、與同事發(fā)生沖突、被視為潛在裁員對(duì)象等原因，員工可能出現(xiàn)負(fù)面情緒，并做出極端的報(bào)復(fù)行為。
• 種族信仰：政治、宗教和社會(huì)信仰也可能是內(nèi)部威脅的強(qiáng)烈動(dòng)機(jī)。

內(nèi)部威脅對(duì)CISO企業(yè)安全管理的危害?

內(nèi)部員工持有組織數(shù)據(jù)資產(chǎn)的合法訪問權(quán)限，且通常知道企業(yè)敏感數(shù)據(jù)的存放位置，因此，對(duì)于安全團(tuán)隊(duì)而言，檢測(cè)內(nèi)部威脅并非易事，區(qū)分用戶的正?；顒?dòng)和潛在的惡意活動(dòng)極具挑戰(zhàn)。

Ponemon研究所2020年發(fā)布的《內(nèi)部威脅成本全球報(bào)告》顯示內(nèi)部威脅的成本和頻率在過去兩年內(nèi)都急劇增加。內(nèi)部威脅事件的平均成本為1145萬(wàn)美元，較2018年的876萬(wàn)美元增長(zhǎng)了近31%，威脅事件數(shù)量為4716起，較2018年的3200起增長(zhǎng)了47%。

內(nèi)部威脅的成本通常和企業(yè)規(guī)模呈正相關(guān)。員工總數(shù)在25001和75000之間的大型企業(yè)在過去一年里平均花費(fèi)1792萬(wàn)美元解決與內(nèi)部威脅相關(guān)的事件。

內(nèi)部威脅增長(zhǎng)最快的行業(yè)分別是零售業(yè)(兩年增長(zhǎng)38.2%)和金融服務(wù)業(yè)(兩年增長(zhǎng)20.3%)。損失最嚴(yán)重的三個(gè)行業(yè)分別是金融服務(wù)業(yè)(1450萬(wàn)美元)、服務(wù)業(yè)(1231萬(wàn)美元)以及IT行業(yè)(1230萬(wàn)美元)。

處理內(nèi)部威脅事件的平均周期為77天，這其中只有13%的事件能夠在30天之內(nèi)得到控制。

4716起事件中，2962起事件是由內(nèi)部員工或承包商的疏忽過失操作導(dǎo)致的，1105起事件是由攻擊團(tuán)隊(duì)或惡意的內(nèi)部員工發(fā)起的，649起事件是由賬號(hào)失陷引起的，其中191起事件涉及特權(quán)用戶的憑證竊取。

以上數(shù)據(jù)顯示，企業(yè)的內(nèi)部威脅仍是揮之不去且十分棘手的網(wǎng)絡(luò)安全威脅。

UEBA技術(shù)應(yīng)對(duì)高級(jí)內(nèi)部威脅

大部分公司主要通過購(gòu)買具備簽名認(rèn)證和規(guī)則分析的安全設(shè)備檢測(cè)和防御外部威脅，企業(yè)在為來自外部網(wǎng)絡(luò)空間攻擊團(tuán)伙(例如國(guó)家犯罪集團(tuán)和流氓國(guó)家)的威脅做好應(yīng)對(duì)措施的同時(shí)，也需更加深刻的意識(shí)到內(nèi)部威脅的暗流涌動(dòng)，一些戴著員工證貌似忠良的人群中，不乏害群之馬，他們往往是一群披著內(nèi)部員工、合作伙伴以及供應(yīng)商的合法外衣而從事非法活動(dòng)的攻擊者或內(nèi)鬼。

傳統(tǒng)安全防護(hù)系統(tǒng)，諸如FW、SIME、IDS、IPS、漏掃、沙盒等，主要采用預(yù)設(shè)規(guī)則方式監(jiān)測(cè)外部威脅，內(nèi)置已知攻擊特征庫(kù)、漏洞庫(kù)等方式實(shí)現(xiàn)對(duì)惡意流量的攔截、安全攻擊的阻斷。以規(guī)則檢測(cè)為主的方案，解決了大部分的外部威脅，但無(wú)法捕獲內(nèi)部惡意人員的違規(guī)行為。傳統(tǒng)防御手段不會(huì)檢測(cè)這些具備訪問企業(yè)數(shù)據(jù)庫(kù)、服務(wù)器、應(yīng)用程序/代碼以及敏感信息權(quán)限(確切的說具備合法的數(shù)字ID)的內(nèi)部員工行為。眾所周知，斯諾登正是利用了美國(guó)國(guó)家安全局的這種防護(hù)機(jī)制，從而獲取了大量的敏感數(shù)據(jù)。

一個(gè)成熟的UEBA解決方案應(yīng)當(dāng)具備一定的預(yù)測(cè)能力，可以輔助識(shí)別內(nèi)部人員的惡意行為，如暴力破解、可疑的密碼重置、賬戶共享以及異常設(shè)備或異地登錄等。這其中包括內(nèi)部員工的異常行為檢測(cè)，網(wǎng)絡(luò)駭客、文件爬蟲和路徑識(shí)別能力，以及應(yīng)當(dāng)具備檢測(cè)內(nèi)部惡意人員試圖訪問企業(yè)核心業(yè)務(wù)(如知識(shí)產(chǎn)權(quán)、敏感信息、客戶數(shù)據(jù)等)的能力。

UEBA解決方案應(yīng)當(dāng)具備對(duì)敏感的個(gè)人身份信息/個(gè)人合規(guī)信息訪問或異常/頻繁數(shù)據(jù)下載等行為的檢測(cè)能力，以及具備針對(duì)企業(yè)打印機(jī)、郵件系統(tǒng)、云存儲(chǔ)或USB設(shè)備滲透而導(dǎo)致的數(shù)據(jù)泄露行為的識(shí)別能力。

同時(shí)，為了方便企業(yè)管理員使用，檢測(cè)模型可根據(jù)企業(yè)的風(fēng)控級(jí)別、信息系統(tǒng)重要性、員工類型等進(jìn)行檢測(cè)特征權(quán)重和風(fēng)險(xiǎn)評(píng)分調(diào)整。

一個(gè)UEBA解決方案的價(jià)值不僅在于具備基于用戶和實(shí)體已知威脅檢測(cè)，還應(yīng)具備檢測(cè)未知威脅的能力，同時(shí)應(yīng)當(dāng)具備前沿的數(shù)據(jù)處理和機(jī)器學(xué)習(xí)的分析技術(shù)，旨在為客戶解決繞過傳統(tǒng)檢測(cè)和防護(hù)系統(tǒng)的威脅。UEBA技術(shù)利用機(jī)器學(xué)習(xí)算法自學(xué)習(xí)和插件式擴(kuò)展學(xué)習(xí)能力，使用非監(jiān)督、半監(jiān)督和監(jiān)督式學(xué)習(xí)等方式不斷優(yōu)化各類模型，同時(shí)可利用深度學(xué)習(xí)和自然語(yǔ)言處理等高級(jí)技術(shù)實(shí)現(xiàn)情感學(xué)習(xí)，以檢測(cè)內(nèi)部威脅。

分析引擎可為企業(yè)內(nèi)部每個(gè)身份(用戶和實(shí)體)構(gòu)建動(dòng)態(tài)基線，通過基線偏差分析，以實(shí)現(xiàn)對(duì)內(nèi)部異常行為的檢測(cè)和預(yù)測(cè)。異常檢測(cè)模型同時(shí)可結(jié)合威脅情報(bào)、外部系統(tǒng)生成告警的上下文信息，對(duì)每個(gè)身份提供整體的風(fēng)險(xiǎn)評(píng)分，輔助事件的進(jìn)一步調(diào)查。

UEBA可使用機(jī)器學(xué)習(xí)實(shí)現(xiàn)賬號(hào)變更、行為變更以及異常操作的快速檢測(cè)，并在安全漏洞可能發(fā)生之前主動(dòng)預(yù)警，幫助企業(yè)止損，同時(shí)為企業(yè)降低在訴訟中浪費(fèi)的時(shí)間和金錢，降低公關(guān)危機(jī)。

UEBA技術(shù)關(guān)鍵：收集多源異構(gòu)數(shù)據(jù)

在常見的內(nèi)部威脅違規(guī)場(chǎng)景中，用戶通常采用明顯異?；蚱髽I(yè)明令禁止的方式訪問系統(tǒng)?；叵肫饋?，這些違規(guī)行為是顯而易見的，但卻屢屢得手，以陶氏化學(xué)的科學(xué)家為例，他訪問安全文件服務(wù)器的次數(shù)比其他人高10倍。因?yàn)槠髽I(yè)內(nèi)部異常行為的線索存在于不同的信息系統(tǒng)中，且較難組合分析，導(dǎo)致無(wú)法及時(shí)偵測(cè)。

UEBA能夠收集多源異構(gòu)數(shù)據(jù)，進(jìn)行關(guān)聯(lián)分析，及時(shí)檢測(cè)異常行為。具體數(shù)據(jù)源包括：

• 訪問日志：VPN、域控制器和Wifi接入點(diǎn)日志，可為風(fēng)險(xiǎn)活動(dòng)檢測(cè)提供強(qiáng)有力的線索。
• 認(rèn)證系統(tǒng)：活動(dòng)目錄、LDAP(統(tǒng)一身份認(rèn)證)及其他服務(wù)數(shù)據(jù)，提供有關(guān)位置、角色等高價(jià)值信息。
• DLP掃描：提供利用網(wǎng)絡(luò)泄露核心數(shù)據(jù)的相關(guān)檢測(cè)信息。
• 終端接入：提供有關(guān)用戶文件活動(dòng)的有效上下文以及系統(tǒng)配置信息。
• 網(wǎng)絡(luò)接入：NetFlow，作為SIEM和終端檢測(cè)數(shù)據(jù)的強(qiáng)力有補(bǔ)充。
• 數(shù)據(jù)庫(kù)行為數(shù)據(jù)：數(shù)據(jù)庫(kù)日志和數(shù)據(jù)庫(kù)防火墻日志數(shù)據(jù)，提供對(duì)敏感數(shù)據(jù)訪問的高價(jià)值線索。
• 應(yīng)用程序行為數(shù)據(jù)：訪問日志、應(yīng)用運(yùn)行日志。
• 云平臺(tái)行為數(shù)據(jù)：鑒于大多數(shù)企業(yè)已實(shí)現(xiàn)部分業(yè)務(wù)上云，可從云服務(wù)或CASB解決方案中獲取相關(guān)用戶行為數(shù)據(jù)。
• U盤接入數(shù)據(jù)：本地文件副本(通常是U盤或USB外接存儲(chǔ))，可提供大量有效數(shù)據(jù)，特別是與DLP文件掃描數(shù)據(jù)結(jié)合使用等場(chǎng)景。
• 打印服務(wù)器：打印服務(wù)器日志數(shù)據(jù)，惡意內(nèi)部人員可能會(huì)打印出表格，以繞過網(wǎng)絡(luò)監(jiān)測(cè)。
• 門禁或其他智能物聯(lián)網(wǎng)設(shè)備：出入辦公樓、機(jī)房等場(chǎng)所的門禁記錄。

UEBA技術(shù)關(guān)鍵：選取正確的關(guān)鍵特征

區(qū)分惡意活動(dòng)和日常工作極具挑戰(zhàn)性，例如，具有較高訪問權(quán)限的用戶日常正常工作需訪問敏感數(shù)據(jù)，難以區(qū)分這些行為是否具備惡意性。

高權(quán)限用戶從事惡意活動(dòng)時(shí)，通常會(huì)刪除或篡改活動(dòng)日志，從而偽裝成其他用戶，來掩蓋自己的痕跡。內(nèi)部審計(jì)的另外一個(gè)痛點(diǎn)是被審計(jì)到的用戶往往聲稱自己是無(wú)意的或人為錯(cuò)誤。

UEBA技術(shù)關(guān)鍵：選取合適的自適應(yīng)機(jī)器學(xué)習(xí)模型算法

• 行為基線：為每個(gè)用戶和系統(tǒng)創(chuàng)建正常的活動(dòng)基線，并通過基線構(gòu)建模型用于判斷是否存在異常行為或潛在的風(fēng)險(xiǎn)。
• 群體畫像分析：將具有相同或相似行為和訪問模式的用戶構(gòu)建群體畫像，并具備組內(nèi)對(duì)比分析能力。
• 特權(quán)賬號(hào)分析：在建模分析時(shí)中應(yīng)當(dāng)考慮特權(quán)賬號(hào)的存在，如管理員通常具有較高的訪問權(quán)限，并且可以訪問大量敏感數(shù)據(jù)，這部分賬號(hào)應(yīng)該單獨(dú)分析。
• 共享帳戶分析：共享賬號(hào)是UEBA分析中需要重點(diǎn)關(guān)注的場(chǎng)景，鑒于共享賬號(hào)的特殊性，難以識(shí)別真正的風(fēng)險(xiǎn)活動(dòng)用戶，甚至企業(yè)不知道這些賬戶有多少人在使用。UEBA解決方案應(yīng)當(dāng)可識(shí)別共享賬號(hào)，并通過技術(shù)手段，識(shí)別使用這些賬戶的具體的人，并構(gòu)建特定的風(fēng)險(xiǎn)評(píng)分模型用于檢測(cè)這些共享賬號(hào)的活動(dòng)。
• 鎖定賬號(hào)分析：賬號(hào)鎖定的原因包括良性和惡意的，對(duì)于內(nèi)部威脅分析而言，應(yīng)當(dāng)具備識(shí)別首次嘗試登錄帳戶的用戶以及可能涉及的相關(guān)角色或關(guān)聯(lián)賬號(hào)。良好的UEBA解決方案可以識(shí)別賬戶鎖定相關(guān)的異?；顒?dòng)，從而提示企業(yè)安全運(yùn)營(yíng)分析人員重點(diǎn)關(guān)注企業(yè)內(nèi)部潛在的惡意人員。

立良策，謀善治。企業(yè)和單位可以通過與專業(yè)的UEBA解決方案提供商合作，不斷加強(qiáng)網(wǎng)絡(luò)安全建設(shè)的頂層設(shè)計(jì)，合理規(guī)劃和部署各類安全產(chǎn)品，在內(nèi)部威脅可能發(fā)生之前主動(dòng)預(yù)警，助力企業(yè)和單位有效規(guī)避內(nèi)部威脅，幫助滿足安全合規(guī)要求，同時(shí)提高企業(yè)生產(chǎn)力和單位公信力。