即使是那些受到雇主信任的內(nèi)部人員，也會(huì)做出一些辜負(fù)信任的惡意活動(dòng)。他們實(shí)行惡意行為時(shí)，往往會(huì)用到一些策略、技術(shù)以及過程(TTP)。對于這些已知的TTP，自我定位為內(nèi)部威脅情報(bào)中心的MITRE認(rèn)為：是時(shí)候匯總出一個(gè)統(tǒng)一的“字典”了。

二月中旬，在Citigroup Technology、 Microsoft、Crowdstrike、Verizon、和 JP Morgan Chase等多部門巨頭的支持下，MITRE Engenuity的威脅知情防御中心公布了其內(nèi)部威脅知識(shí)庫的設(shè)計(jì)原理和方法。

惡意的內(nèi)部人員 “一個(gè)獨(dú)特的威脅”

在TTP知識(shí)庫的努力下，威脅知情防御中心的研發(fā)主管Jon Baker在博客中提出了一個(gè)所有CISO都認(rèn)可的觀點(diǎn)：“惡意的內(nèi)部人員對組織構(gòu)成了獨(dú)特的威脅?！盉aker的帖子還表明，重點(diǎn)在于“IT環(huán)境中SOC可觀察到的”網(wǎng)絡(luò)威脅和活動(dòng)上。同時(shí)，CISO們也聽取Baker的警告，不把重心放在上一個(gè)重大內(nèi)部威脅事件的TTP上。

內(nèi)部威脅者的14項(xiàng)技術(shù)

TTP強(qiáng)調(diào)了14個(gè)不同的關(guān)注領(lǐng)域，其中包括54種針對內(nèi)部威脅者行為的識(shí)別技術(shù)：

• 偵查Reconnaissance
• 資源開發(fā)Resource development
• 初始訪問Initial access
• 執(zhí)行Execution
• 持續(xù)Persistence
• 權(quán)限提升Privilege escalation
• 防御規(guī)避Defense evasion
• 憑證訪問Credential access
• 發(fā)現(xiàn)Discovery
• 橫向移動(dòng)Lateral movement
• 收集Collection
• 命令與控制Command and control
• 滲透Exfiltration
• 沖擊Impact

人們通常認(rèn)為那些受信任的內(nèi)部人員大概永遠(yuǎn)不會(huì)暴露到檢測內(nèi)部威脅的雷達(dá)中。然而MITRE的努力卻恰恰證明了：即使是內(nèi)部人員，如果他們做出一些打破信任關(guān)系的行為，同樣也會(huì)被檢測到。

內(nèi)部威脅者常見的策略

該程序的設(shè)計(jì)原則巧妙地涵蓋了對每個(gè)TTP所需技能的評估，并將重點(diǎn)放在實(shí)際發(fā)生過的，而非那些假設(shè)會(huì)發(fā)生的案例上。他們的研究得出了如下推論：

• 內(nèi)部威脅者通常使用簡單的TTP來訪問和泄漏數(shù)據(jù)。
• 內(nèi)部威脅者通常利用現(xiàn)有的訪問特權(quán)來使數(shù)據(jù)竊取或其他惡意行為更加方便。
• 內(nèi)部威脅者通常會(huì)在滲透前“準(zhǔn)備”他們打算竊取的數(shù)據(jù)。
• 外部/可移動(dòng)的方式仍是常見的滲透渠道。
• 電子郵件仍是常見的滲透渠道。
• 云存儲(chǔ)既是內(nèi)部人員收集的目標(biāo)，也是常見的滲透渠道。

隨后，他們根據(jù)這些推論，以“使用頻率”為權(quán)重，將“頻繁”，“中等”和“不頻繁”的標(biāo)簽分配給每個(gè)威脅技術(shù)，以幫助開發(fā)者針對各項(xiàng)技術(shù)被使用的可能性進(jìn)行排序，并確保那些出現(xiàn)頻率較高的技術(shù)被覆蓋。而附帶的GitHub文檔則旨在幫助團(tuán)隊(duì)對他們的經(jīng)驗(yàn)進(jìn)行分類。

資源有限的組織應(yīng)該將注意力集中在“發(fā)生概率大”的事件上，并在條件允許時(shí)適當(dāng)涵蓋那些“可能性小”的事件。根據(jù)Baker的說法，專注于所有可能發(fā)生的事件(盡管不太現(xiàn)實(shí))，雖然具有創(chuàng)造性，但“會(huì)導(dǎo)致抵御內(nèi)部威脅的程序和SOC失去重點(diǎn)”。對此，他引用了Frederick大帝的名言：“捍衛(wèi)一切的人什么也捍衛(wèi)不了。” 由此可見，CISO應(yīng)該采用性價(jià)比最高的產(chǎn)品。

關(guān)注最有可能發(fā)生的內(nèi)部威脅場景

雖然，國家收買員工的事情很有可能發(fā)生，但更有可能發(fā)生的是內(nèi)部的惡意行為。因?yàn)檫@對那些內(nèi)部威脅者個(gè)人以及他們的職業(yè)生涯都是有益處的。這些內(nèi)部的惡意行為包括個(gè)人收集信息以支持自己的發(fā)展、出售手頭的商品(其雇主的知識(shí)產(chǎn)權(quán)和商業(yè)秘密)，或?qū)⑿畔?數(shù)據(jù)作為其下一份工作的敲門磚。

創(chuàng)建TTP知識(shí)庫和社區(qū)的目的主要是確保，“內(nèi)部威脅者不得再在合法權(quán)限的掩護(hù)下肆意妄為，以及在內(nèi)部威脅對組織造成巨大損失或使組織陷入困境之前檢測到它”。這將通過管理流程和應(yīng)用程序在行業(yè)內(nèi)的共享、網(wǎng)絡(luò)研討會(huì)以及大型會(huì)議來實(shí)現(xiàn)。在這些會(huì)議上，用例將會(huì)被共享，“捍衛(wèi)者”們也可以進(jìn)行彼此之間的相互學(xué)習(xí)。

圍繞著內(nèi)部威脅的網(wǎng)絡(luò)活動(dòng)數(shù)量來設(shè)計(jì)結(jié)構(gòu)是有意義的，CISO們應(yīng)最小限度地審查MITRE TTP的適用性，并著眼于確定如何采用該理念，使自己在所有朝著統(tǒng)一方向前進(jìn)的實(shí)體社區(qū)中發(fā)揮作用，進(jìn)而挫敗惡意的內(nèi)部人員。

點(diǎn)評

比起外部的攻擊，內(nèi)部威脅往往是企業(yè)運(yùn)行安全、數(shù)據(jù)安全的主要原因。通過識(shí)別惡意的內(nèi)部操作，以及可執(zhí)行此類操作的人員，企業(yè)可以在威脅行為發(fā)生之前采取措施。正所謂“知己知彼，百戰(zhàn)不殆”，有效的網(wǎng)絡(luò)安全防御措施依賴于對攻擊方戰(zhàn)術(shù)、技術(shù)與過程的識(shí)別與應(yīng)對。了解對方常用的TTP，并構(gòu)建靈活的防御措施，可以使安全團(tuán)隊(duì)從被動(dòng)轉(zhuǎn)向主動(dòng)，最大程度地降低由內(nèi)部人員帶來的風(fēng)險(xiǎn)。