[[440129]]

2021年10月，美國(guó)海軍核工程師喬納森·托比(Jonathan Toebbe)及其妻子戴安娜·托(Diana Toebbe)因試圖將核動(dòng)力戰(zhàn)艦的設(shè)計(jì)出售給外國(guó)代表被以間諜罪逮捕。此次內(nèi)部威脅事件再次引發(fā)了一個(gè)問題：企業(yè)組織應(yīng)該如何處理接受過內(nèi)部威脅培訓(xùn)的內(nèi)部威脅者?

背景介紹

美國(guó)海軍工程師喬納森·托比因試圖以500萬(wàn)美元出售敏感的核潛艇機(jī)密被捕入獄，如今，他正在西弗吉尼亞州的監(jiān)獄中等待12月份的最終審判。

我們只能想象海軍信息安全團(tuán)隊(duì)在得知最敏感機(jī)密泄露后的慌亂場(chǎng)景，他們應(yīng)該會(huì)組織談?wù)撘粤私膺@些機(jī)密究竟是如何被人為帶出機(jī)密環(huán)境，帶回員工住所，然后傳遞給未經(jīng)授權(quán)的第三方。內(nèi)部威脅的縮影再次重現(xiàn)了!

那些參與過緩解內(nèi)部威脅項(xiàng)目的人幾乎一致認(rèn)為，人們從工作場(chǎng)所竊取專有機(jī)密的傾向會(huì)隨著離職期接近而與日俱增。據(jù)法庭文件顯示，Toebbe曾希望獲取高額薪資，并從海軍工作中抽身。此次公開事件也許再次印證了他正考慮退出的想法。

注意!您的惡意內(nèi)部人員受過內(nèi)部威脅培訓(xùn)!

Toebbe講述了自己是如何在不引起同事們懷疑的情況下竊取海軍機(jī)密的犯罪過程。他表示：“我在日常工作中非常小心地、慢慢地、自然地收集我擁有的文件，所以沒有人會(huì)懷疑我的計(jì)劃。而且，我們接受過內(nèi)部威脅培訓(xùn)，我可以有針對(duì)性地避免觸發(fā)任何可疑行為。即便將來有調(diào)查，我也堅(jiān)信我以前的任何同事都不會(huì)懷疑到我身上。”

法庭文件顯示，雖然他多年來拿走了10,000多頁(yè)的文件，但他堅(jiān)稱只拿了自己可以自然接觸的文件。他還默記了部分信息，回家后重新繪制了圖表。此外，他還在多個(gè)海軍研究地點(diǎn)竊取了這些機(jī)密。他的信件和他執(zhí)行非個(gè)人間諜活動(dòng)的嘗試表明，他正在借鑒其他成功竊取機(jī)密的內(nèi)部人員所使用的大量間諜歷史和方法論。

其他類似內(nèi)部威脅案例

就Toebbe的數(shù)據(jù)泄露方法而言，我聯(lián)想到了其他四起政府內(nèi)部威脅案例。所有這四個(gè)人都接受過反間諜培訓(xùn)，其中包括有關(guān)內(nèi)部威脅的部分內(nèi)容。他們還被教育需要自我報(bào)告處理機(jī)密信息時(shí)的任何錯(cuò)誤，并報(bào)告工作場(chǎng)所內(nèi)的任何可疑活動(dòng)。

上世紀(jì)80年代中期，海軍分析師喬納森·波拉德(Jonathan Pollard)曾一周多天，每天兩至三次將文件帶離工作場(chǎng)所。他將文件統(tǒng)一存放在一個(gè)手提箱中，等待交付給他的以色列情報(bào)處理人員。在長(zhǎng)達(dá)一年的時(shí)間里，Pollard盜竊文件的行為都沒有被發(fā)現(xiàn)。直到一位同事看到Pollard對(duì)機(jī)密材料處理不當(dāng)并舉報(bào)。最終，政府認(rèn)定Pollard已將相當(dāng)于18立方英尺的機(jī)密材料帶離工作場(chǎng)所。

2015年，美國(guó)國(guó)家安全局(NSA)的承包商Reality Winner在她的工作場(chǎng)所打印了一份機(jī)密文件，并將其塞進(jìn)連褲襪中，然后順利地躲過安檢，將其郵寄給了一家媒體。她同樣接受過內(nèi)部威脅培訓(xùn)。直至媒體要求美國(guó)國(guó)家安全局確認(rèn)發(fā)送給他們的數(shù)據(jù)時(shí)，她才被發(fā)現(xiàn)，美國(guó)國(guó)家安全局的調(diào)查顯示，Winner是有權(quán)限閱讀該文件的少數(shù)人之一，也是唯一一個(gè)打印文件的人。

然后是情報(bào)界的承包商哈羅德·馬丁(Harold Martin)，他被發(fā)現(xiàn)在1996年至2016年期間從不同的工作地點(diǎn)泄露信息。據(jù)悉，當(dāng)他被發(fā)現(xiàn)時(shí)，聯(lián)邦調(diào)查局調(diào)查人員發(fā)現(xiàn)他保留的信息量超過50 TB。在審判期間，政府部門注意到他也接受過內(nèi)部威脅培訓(xùn)。

安娜·貝倫·蒙特斯(Ana Belen Montes)于2002年被判入獄，她被捕時(shí)正是國(guó)防部(DoD)的首席分析員。在她擔(dān)任分析師的整個(gè)任期內(nèi)(大約17年)，她也是古巴政府的秘密間諜。 她天生具有近乎攝影般的記憶力，因此據(jù)信她從未從工作場(chǎng)所帶走任何文件。相反地，她記住了內(nèi)容，然后將其重新創(chuàng)建以傳遞給她的古巴情報(bào)人員。最終，一名古巴叛逃者提供了可以識(shí)別Montes的線索才將其逮捕入獄。

如何識(shí)別此類內(nèi)部威脅者?

Toebbe長(zhǎng)期竊取文件是否足以觸發(fā)當(dāng)今可用的內(nèi)部威脅監(jiān)控技術(shù)?是否足以觸發(fā)同事檢測(cè)到涉及機(jī)密文件的異常事件?毫無(wú)疑問，海軍內(nèi)部的損害評(píng)估正在努力回答這些問題。

Code42公司的Joe Payne指出，政府和私營(yíng)部門之間存在差異。他觀察到，在設(shè)定對(duì)員工行為的期望以及在非常真實(shí)的期望范圍內(nèi)運(yùn)作時(shí)，政府部門的標(biāo)準(zhǔn)比私營(yíng)部門高得多，政府員工從一開始就接受過培訓(xùn)，并且養(yǎng)成了“看到可疑，立即上報(bào)”的習(xí)慣。不過，只要作案總有痕跡可尋，調(diào)查人員可以以此來檢測(cè)Toebbe的行為。

那么，技術(shù)應(yīng)該如何檢測(cè)Montes(上述擁有超凡記憶力的內(nèi)部威脅者)和Toebbe這種通過記住機(jī)密內(nèi)容，隨后重新創(chuàng)建副本的行為呢?DTEX Systems公司安全和商業(yè)智能總監(jiān)Armaan Mahbod指出，單純?cè)陂喿x/掃描的用戶不會(huì)長(zhǎng)時(shí)間逗留。技術(shù)應(yīng)該能夠判斷用戶與其他人相比在特定文檔中的用時(shí)長(zhǎng)短，并在出現(xiàn)異常活動(dòng)時(shí)發(fā)出警報(bào)。

從殘酷的內(nèi)部威脅現(xiàn)實(shí)中吸取教訓(xùn)

問題的本質(zhì)仍然是人員匱乏。鑒于審計(jì)職能人員不足，那些竊取文件的內(nèi)部威脅者才有機(jī)會(huì)從職權(quán)訪問范圍緩慢且有條不紊地向其他領(lǐng)域滲透。如今，組織在人力資源、IT和安全等部門間已經(jīng)實(shí)現(xiàn)不同程度的跨部門溝通。不過，我們的最終目標(biāo)是在整個(gè)組織內(nèi)加強(qiáng)他們的溝通，從而進(jìn)一步加強(qiáng)安全性。

關(guān)注內(nèi)部威脅的CISO需要與企業(yè)和基礎(chǔ)設(shè)施的其他領(lǐng)域緊密合作，以確保當(dāng)調(diào)查員工在一個(gè)領(lǐng)域的行為時(shí)，他們?cè)谒蓄I(lǐng)域的行為都能得到審查。此外，最高管理層應(yīng)該鼓勵(lì)所有員工和承包商在與同事互動(dòng)時(shí)接受“發(fā)現(xiàn)異常，立即上報(bào)”的心態(tài)。

最后，應(yīng)該讓您的員工以受信任的方式完成他們的工作，并用一把“保護(hù)傘”將他們包裹起來，這樣如果他們冒險(xiǎn)偏離流程和程序——例如，加載到基于Web的存儲(chǔ)——就會(huì)立即得到糾正。

本文翻譯自：https://www.csoonline.com/article/3641410/what-cisos-can-learn-from-the-navy-insider-who-went-undetected-stealing-us-nuclear-secrets.html如若轉(zhuǎn)載，請(qǐng)注明原文地址。