企業(yè)安全之如何抓內(nèi)鬼

方明

觀察這些年的信息泄漏案件比例，內(nèi)部威脅在快速上升。內(nèi)鬼的范圍很多，傳統(tǒng)上的安全會抓賬號泄漏、橫向移動之類。但商業(yè)間諜、搞破壞和內(nèi)部欺詐這些行為，公司的安全部門基本上沒能力管。很多做IT安全的同學(xué)表示，IT安全在公司不受重視、得不到資源，在個人看來，是因?yàn)镮T安全部門目前做的這些事相對于公司的大風(fēng)險來看太小。在高層那里不受重視理所當(dāng)然，當(dāng)安全部門有能力為公司發(fā)現(xiàn)、收斂更大的風(fēng)險，地位自然會上升。如果有能力抓內(nèi)鬼，匯報層級也會上升。這里和大家說的就是：怎么來抓住內(nèi)部威脅。

內(nèi)鬼動機(jī)及范圍

內(nèi)鬼的動機(jī)一般包括：搞破壞、竊取數(shù)據(jù)、欺詐、商業(yè)間諜、無意犯錯和偶然間惡意表現(xiàn)。內(nèi)部人員作案一般是一個持續(xù)過程，在這個過程中有逐漸變化，最后到事件一次發(fā)生，多次得手。

內(nèi)部人員的范圍并非是“純粹”內(nèi)部人員，也包括生態(tài)上下游合作伙伴、外包和訪客等任何具有內(nèi)部訪問權(quán)限或數(shù)據(jù)的人，就是基于知識、訪問和信任的角色。

所謂知識，就是如果一個人知道系統(tǒng)的位置、防御措施可被繞過，則是掌握了相關(guān)知識。例如系統(tǒng)的開發(fā)人員可能知道產(chǎn)品的幾個“0DAY”，離職員工掌握測試系統(tǒng)的賬號密碼等。

從技術(shù)角度看，IT系統(tǒng)驗(yàn)證憑證有效性，允許訪問資源。因此任何獲得憑證的人都可被視為內(nèi)部人員，即訪問角色。即使系統(tǒng)有多因素認(rèn)證，內(nèi)部人員也可把短信驗(yàn)證碼之類的驗(yàn)證要素提供給其他人員，從這個角度來說，IT系統(tǒng)很難完全防范。

還有一種是信任角色，可簡單理解為你的合作伙伴、外包等人群，也包括內(nèi)部人員。這些人群獲得公司一定程度的信任，可以獲得部分權(quán)限資源，并且以公司名義活動。例如公司的用戶數(shù)據(jù)泄漏，在監(jiān)管和輿論來看，就是你的問題，而不是外包或代理商。

通常內(nèi)部抓到的壞人處于公司形象的問題不會公開，而由于不會公開，所以實(shí)際案例可能比我們看到的多。但其實(shí)可以從法院的公開判決文書找到很多案例。對內(nèi)部壞人的處理邏輯，首先是內(nèi)部調(diào)查，確定性質(zhì)和行為，再接下來是走司法程序，但事實(shí)上很多公司會開除且不聲張。

1.破壞

對IT系統(tǒng)的破壞可能是大家最不重視的環(huán)節(jié)，這些人往往都是技術(shù)人群，工作中有較高的系統(tǒng)權(quán)限，也是相對信任人群。如果這些人準(zhǔn)備刪庫跑路，實(shí)施起來很容易，業(yè)界此類案例屢見不鮮。

動機(jī)是報復(fù)，不管是什么原因，總之是員工期望沒有得到滿足，可能是加薪升職、績效或者是和主管關(guān)系不好。案件一般發(fā)生在離職前后，有些情況是在系統(tǒng)放入后門，離職后進(jìn)行操作，例如蕪湖某網(wǎng)管案件，就是掌握了遠(yuǎn)程路由設(shè)備的密碼，然后更改配置進(jìn)行了破壞。結(jié)果導(dǎo)致可用性、完整性被破壞。

2.數(shù)據(jù)竊取

對很多公司來說，數(shù)據(jù)或核心資料泄漏是最大擔(dān)憂，這一類案件層出不窮，從世界巨頭商業(yè)公司到政府部門。大公司數(shù)據(jù)泄漏還能存活，很多小公司因?yàn)橐粋€配方、工藝的泄漏，就倒閉了。設(shè)計師、工程師、程序員和銷售最有可能，一般情況下獲取的是自己創(chuàng)造的信息。竊取行為可能發(fā)生在離開公司前后60天之內(nèi)，方式上有很多，郵件、網(wǎng)盤、U盤、拍照和打印等都有可能。

3.內(nèi)部欺詐

這是公司最大的群體了，跟其他不同的是，其目標(biāo)是為錢。這部分多是工資比較低的人群，非專業(yè)、技術(shù)人員。由于對錢的需求，這些行為可能持續(xù)較長時間，如果有一個中低層主管參與的團(tuán)伙，更容易獲得成功。內(nèi)部欺詐通過破壞公司現(xiàn)有流程實(shí)現(xiàn)，例如客服向用戶發(fā)放紅包，就存在內(nèi)外勾結(jié)的可能。除此之外，特權(quán)比較多的人員也是其中一個群體。

另外一種常見的情況是販賣用戶個人敏感信息，例如房產(chǎn)公司銷售會把用戶手機(jī)號賣給裝修公司。個人敏感信息相對套現(xiàn)比較容易，需求方也明確，獲取難度也不大。

4.商業(yè)間諜

不要覺得商業(yè)間諜是一個遙遠(yuǎn)的事情，在當(dāng)前的商業(yè)競爭形勢下，各種套取信息、混入內(nèi)部的案件比比皆是，只不過被公開報道的較少。商業(yè)間諜不是在電視上看到的那種高大上的間諜場景，或是色誘富家子弟那些?，F(xiàn)實(shí)中他們既有可能來自競爭對手，也有可能來自黑產(chǎn)，例如某網(wǎng)店鋪，雇用了一個員工，這個員工有相當(dāng)多的某寶運(yùn)營經(jīng)驗(yàn)，在獲取了用戶地址、聯(lián)系方式等信息后辭職，去了下一家，這個員工，就是間諜的一種，專門獲取信息獲利。

商業(yè)間諜在作案時間上和其他不同，他們可能偶然活躍一次，然后沉靜下來，直到下一次。

5.無意威脅

前面關(guān)注的都是懷有惡意的內(nèi)部人員，無意威脅是那些沒有惡意動機(jī)，但行為會給攻擊者提供入口，或?qū)Π踩珣B(tài)勢產(chǎn)生負(fù)面影響的人。例如亂下載軟件，引入病毒木馬，被人社工和U盤、筆記本丟失等，都在這類范圍內(nèi)。

6.偶然間惡意破壞

這類人群的特點(diǎn)是愛炫耀，尤其是自己在一家知名大公司工作，為了向人證明自己有內(nèi)部消息、位高權(quán)重等。例如某互聯(lián)網(wǎng)大廠的內(nèi)部論壇，就曾有人截圖八卦。還有一些泄漏公司通告、張貼自己工資表、利用權(quán)限查詢男女朋友數(shù)據(jù)的愛好者。

內(nèi)鬼捕獲思路

1.復(fù)雜性

內(nèi)鬼不是一個簡單的技術(shù)、金錢需求問題，和外部環(huán)境、誘惑交織在一起。這些外部環(huán)境包括：

內(nèi)外勾結(jié)，內(nèi)部人員可能一開始是個好人，后來開始為競爭對手、黑灰產(chǎn)等工作。

合作伙伴，合作伙伴手上有大量信息，基于某些業(yè)務(wù)，可能掌握的是核心信息。

組織架構(gòu)調(diào)整，比如公司被收購、裁員重組等，會對員工產(chǎn)生心理預(yù)期的不可預(yù)測性，尤其在員工利益受損時，變“壞”的可能性變大。

跨國公司的文化差異，不同國家的宗教信仰、政治態(tài)度區(qū)別很大，典型如Google前段時間的某項目，因?yàn)槟撤N原因被泄漏給媒體，導(dǎo)致項目終止。

黑灰產(chǎn)，員工參與黑灰產(chǎn)也是一個信號，黑產(chǎn)與內(nèi)部員工的聯(lián)系程度如何？員工是否為“羊毛黨愛好者”，這些都增加了風(fēng)險。

2.威脅時間線檢測

內(nèi)鬼具有一些共同特征，這些特征出現(xiàn)在訪問日志、流量和文件等地方，和正?；顒踊祀s在一起，導(dǎo)致大量誤報，這是需要解決的問題。特征分布在各個系統(tǒng)日志的時間軸上，需要清洗出來做數(shù)據(jù)融合，串聯(lián)起來一個人的行為，這個過程是重活，而且需要多次修正讓數(shù)據(jù)可解釋，這取決于數(shù)據(jù)質(zhì)量、系統(tǒng)架構(gòu)和正確方法，當(dāng)然也需要數(shù)據(jù)人員的認(rèn)真細(xì)致。

特征分為技術(shù)指標(biāo)和非技術(shù)指標(biāo)2類。非技術(shù)指標(biāo)涉及HR、法務(wù)和管理層等參與，但在這一系列的指標(biāo)里要注意幾點(diǎn)，一是不要因?yàn)橘Y歷老、級別高就忽略，人是會變化的；二是關(guān)注心理健康，這方面很多大公司都有心理測試和定期心理輔導(dǎo)；三是對員工應(yīng)有人道關(guān)懷的理解和幫助，而不是簡單的指責(zé)懲罰。千萬不要把這事變成官僚主義的形式，這樣不但不能有所幫助，而且會讓員工產(chǎn)生逆反心理。例如員工績效輔導(dǎo)，就不應(yīng)該是在辦公室里走個過場，而是需要至少1個小時以上的一對一聊天。

每個人對工作、生活看法都千差萬別，HR和Leader的工作職責(zé)中需要了解個人風(fēng)格，對工作的期望和目標(biāo)，對周圍同事和上級的看法。當(dāng)技術(shù)指標(biāo)發(fā)生變化時，需要人工干預(yù)防止惡化，因此要把2類指標(biāo)結(jié)合起來，起到預(yù)防、檢測和響應(yīng)的作用。

搞破壞、泄漏數(shù)據(jù)和內(nèi)部欺詐的人，在時間線上是不同的，根據(jù)這個特征可以更好地發(fā)現(xiàn)異常，在關(guān)鍵節(jié)點(diǎn)上加強(qiáng)監(jiān)控。

3.建設(shè)路線

真的要去做這件事，不是安全技術(shù)部門負(fù)責(zé)這么簡單，需要有組織保障，信息安全的這些技術(shù)不足以保障。

抓一個壞人，可能涉及到內(nèi)控、信息安全、內(nèi)部監(jiān)察、內(nèi)控、廉政和HR等部門，具體落在哪個部門取決于內(nèi)部博弈，但一般企業(yè)內(nèi)不會先設(shè)立這么一個組織再開展活動，而是誰能干這件事，責(zé)任就落在誰頭上。但整體上是一個跨部門工作組才能完成的工作。

另外，這個團(tuán)隊需要高層授權(quán)，解決“誰來監(jiān)視監(jiān)視者”的問題。這個組的工作是保密的，因此需要管理好信任，確保監(jiān)視者會受到監(jiān)視，因?yàn)檫@個組掌握的信息太多太敏感。可以簡單理解為“東廠”角色，但又不能像東廠那樣不受約束、大張旗鼓、人人自危。

解決前面的問題之后，接下來的路線就是：

建立風(fēng)險處理制度，建立識別評估方法；

提升相關(guān)人員的能力；

培訓(xùn)演練，提高員工安全意識；

啟動調(diào)查的程序

有一些具體操作上需要特別列出來的注意事項：

①背景調(diào)查

員工入職一般都有背景調(diào)查，但這個是靜態(tài)的，只是在入職時由外包進(jìn)行調(diào)查。一旦本人發(fā)生變化，以前的背調(diào)就沒什么用了。

②縱深防御

信息安全領(lǐng)域的常見做法，但是在管理上也需要有縱深防御。

③員工滿意度

員工滿意度跟公司規(guī)模有關(guān)，公司越大“江湖”越深，不滿度可能越高，不滿度指標(biāo)會間接產(chǎn)生影響。

④內(nèi)部特權(quán)人員

特權(quán)用戶掌握了一些敏感關(guān)鍵權(quán)限，并且知道如何繞過監(jiān)控對抗調(diào)查。所以就是誰來監(jiān)視監(jiān)視者的問題，這需要公司組織架構(gòu)上有互相制衡的能力。

⑤安全規(guī)則必定被繞過

在商業(yè)組織里，安全是一個支撐角色，賺錢才是核心業(yè)務(wù)。而安全措施疊加，必定會在一定程度上降低效率，由于效率原因，安全規(guī)則也不一定被完全遵守。要么是以免打擾的方式實(shí)現(xiàn)安全，要么就要讓違規(guī)受到必要的懲戒，實(shí)際工作中是二者結(jié)合使用。

⑥無意行為危害

無意行為危害更為常見，例如DLP抓到的外發(fā)，大量都是業(yè)務(wù)需要的非故意外發(fā)行為，真正的壞人可能就隱藏在這里而被淹沒，這需要靠安全意識教育、直接觸達(dá)的警告來強(qiáng)化安全。

檢測指標(biāo)

發(fā)現(xiàn)內(nèi)鬼可通過不同維度的指標(biāo)監(jiān)測，指標(biāo)異常引發(fā)報警，提升某個員工的關(guān)注度。

1.個人情況指標(biāo)

個人情況指標(biāo)可能不會直接造成損害，但會是很多事情的誘因。

最大問題是可能無法掌握員工的變化情況。這些信息可能會被他周圍的同事和HR知道，需要打通這個信息渠道。例如精神類疾病在職場中常見的是抑郁癥，會導(dǎo)致無意犯錯、破壞發(fā)泄，理論上可以在每年的體檢報告上獲取這個信息，但這屬于侵犯個人隱私，在強(qiáng)保密體系下可以關(guān)注使用。另一個重點(diǎn)是績效為差的員工、待離職員工，這些都帶有強(qiáng)烈的離職動機(jī)，從而導(dǎo)致竊取數(shù)據(jù)、搞破壞，這些數(shù)據(jù)是可以通過HR系統(tǒng)檢測到的指標(biāo)。

2.背景及行為指標(biāo)

背景側(cè)重于歷史記錄，很多公司把敏感崗位背調(diào)作為招聘必選項。行為則是根據(jù)員工工作上的行為方式逐步形成。

參與某些團(tuán)體指的是例如國泰航空前不久的事件，參與了社會事件而帶來的對飛行安全的破壞、泄漏用戶信息。而在犯罪前科上，要兼顧考慮各類外包人員。背調(diào)不只是在入職前進(jìn)行，在晉升時也需要進(jìn)行。

3.信息安全指標(biāo)

內(nèi)部欺詐是利用工作流程，掌握規(guī)則后的獲利行為，例如風(fēng)控部門的員工，就可能掌握規(guī)則從而繞過獲利，檢測上很難發(fā)現(xiàn)，但可以通過其他維度，例如與情報、釣魚以及黑灰產(chǎn)關(guān)聯(lián)等。而數(shù)據(jù)竊取則可能有一些對抗繞過，比如對數(shù)據(jù)加密和使用代理等，可以根據(jù)基線、閾值來做關(guān)聯(lián)判斷。商業(yè)間諜則考慮賬號、設(shè)備、競對關(guān)聯(lián)和行為。

4.終端指標(biāo)

終端是指用戶的終端電腦、手機(jī)等，由于員工可以對終端進(jìn)行操作，所以他可能會篡改數(shù)據(jù)，破壞監(jiān)控Agent，因此要額外檢測Agent和日志的運(yùn)行情況，尤其是當(dāng)員工有離職等傾向時需要重點(diǎn)關(guān)聯(lián)檢測。

數(shù)據(jù)竊取可通過打印、復(fù)制外發(fā)文件，把日志和背景行為指標(biāo)關(guān)聯(lián)，可以監(jiān)測到數(shù)據(jù)竊取、商業(yè)間諜行為。內(nèi)部人員如果登陸其他同事賬號，目的可能是隱藏自己、提升權(quán)限或者代其他員工操作。多次登陸失敗則說明賬號正在被暴力破解。終端多用戶登錄代表的風(fēng)險則更大，但要注意例如三班倒的工作崗位、測試崗位會存在公用設(shè)備現(xiàn)象，排除這些崗位后，其他人員需要重點(diǎn)關(guān)注。當(dāng)然還有其他維度，例如非正常工作時間，只不過在互聯(lián)網(wǎng)公司這個太常見了，所以沒有加入特征。

對終端的檢測幾乎發(fā)現(xiàn)不到什么內(nèi)部欺詐，欺詐行為一般出現(xiàn)在業(yè)務(wù)層。

5.服務(wù)端指標(biāo)

對應(yīng)的是用戶在服務(wù)端的操作行為。

對集中存放的審計日志進(jìn)行修改是個明確信號，有人在試圖抹掉痕跡。同賬號多設(shè)備表明賬號可能被泄漏，也可能是橫向移動攻擊。

以上所有指標(biāo)，單一來看只是一個異常，因此需要多指標(biāo)關(guān)聯(lián)權(quán)重，從而提煉出真正的風(fēng)險。但指標(biāo)不僅限于此，可以根據(jù)自身業(yè)務(wù)數(shù)據(jù)形成更廣闊的檢測維度，例如一個銷售，從來不上傳新合同，但總是在大量查詢歷史合同。某個員工的手機(jī)號和采購供應(yīng)商相同，員工與黑產(chǎn)多次出現(xiàn)在同一地址，同一時間維度內(nèi)同WiFi出現(xiàn)大量注冊等諸如此類的規(guī)則，都能形成某個單項指標(biāo)。

除了自身數(shù)據(jù)，也可接入外部數(shù)據(jù)驗(yàn)證，例如員工是否多頭借貸，歷史工作單位驗(yàn)證是否一致等。最后，還可以利用情報數(shù)據(jù)，反向驗(yàn)證內(nèi)部人員作案?？臻g很大，可做的事情很多，不要自己給信息安全設(shè)置邊界。