今晚开什么生肖和特马

企業安全無間道之抓內鬼

2019-10-22 188743人圍觀 ,發現 7 個不明物體 企業安全數據安全

1.jpg

觀察這些年的信息泄漏案件比例,內部威脅在快速上升。內鬼的范圍其實很多,傳統上安全會抓賬號泄漏、橫向移動之類。但如果是商業間諜、搞破壞、內部欺詐這些行為,安全上基本上沒能力管。很多安全同學吐槽,安全在公司不受重視,得不到資源,在我看來,是安全目前做的這些事相對于公司的大風險來看,太小,在高層那里不受重視理所當然,當安全有能力為公司發現、收斂更大的風險,地位當然會上升。如果你有能力抓內鬼,匯報層級也會直線上升。本文要和大家說的就是:怎么抓內部威脅。

本文不涉及美人計,想了解美人計的私聊。

一、內鬼動機及范圍

內鬼的動機一般包括:搞破壞、竊取數據、欺詐、商業間諜、無意犯錯、偶然間裝逼犯。內部人員作案一般是一個持續過程,在這個過程中有逐漸變化,最后到事件一次發生,多次得手。

內部人員的范圍并非是“純粹”內部人員,也包括生態上下游合作伙伴、外包、訪客等任何具有內部訪問權限或數據的人。給一個清晰定義,就是基于知識、訪問、信任的角色。

所謂知識,如果一個人知道系統的位置、防御措施可被繞過,則為掌握了相關知識。常見例如系統的開發人員可能知道產品的幾個0DAY,離職員工掌握測試系統賬號密碼等。

從技術角度看,IT系統驗證憑證有效性,允許訪問資源。因此任何獲得憑證的人都可被視為內部人員,也即訪問角色。即使系統有多因素認證,內部人員也可把短信驗證碼之類的驗證要素提供給其他人員,所以從這個角度來說,IT系統很難完全防范。 

還有一種是信任角色,最簡單可理解為你的合作伙伴、外包等人群,也包括內部人員。這些人群獲得公司一定程度的信任,可以獲得部分權限資源,并且以公司名義活動。例如公司的用戶數據如果泄漏,在監管和輿論來看,這就是你的問題,而不是外包或代理商。

通常內部抓到的壞人處于公司形象的問題不會公開,而由于不會公開,所以實際案例可能比我們看到的多的多。但其實你可以從法院的公開判決文書找到很多案例。對內部壞人的處理邏輯,首先是內部調查,確定性質和行為。再接下來是走司法程序,但事實上很多公司會開除且不聲張。

  系統破壞 數據竊取 內部欺詐 商業間諜 裝逼犯
技術人員(例如,系統管理員或網工、開發);特權人員 設計師、工程師、程序員、銷售 較低層員工(例如,服務臺、客服、數據錄入等);低/中層管理窩案 技術和非技術都有可能 低層員工
什么時候 在職期間待離職期間 離職前后60天內 較長時期內 較長時期內間歇性 不定期
動機 報復 創業跳槽 錢對現狀不滿 炫耀八卦
怎么做 獲取、能力和動機 郵件、u盤等數據泄漏 利用業務漏洞貪污關鍵環節缺少控制 所有手段都可能 內網截圖內部事件在公共渠道發布
做了什么 對系統產生影響 竊取信息 販賣數據獲取利益利用補貼、采購等過程獲利 銷毀信息,隱藏自身 影響公司聲譽

1、破壞

對IT系統的破壞可能是大家最不重視的環節了,這些人往往都是技術人群,工作中有較高的系統權限,也是相對信任人群。如果這些人準備刪庫跑路,實施起來很容易,業界此類案例屢見不鮮。

動機主要是報復,不管是什么原因,總之是員工期望沒有得到滿足,可能是加薪升職,也可能是績效,也可能是和主管關系不好。案件一般發生在離職前后,有些情況是在系統放入后門,離職后進行操作,例如前陣時間蕪湖某網管的案件,就是掌握了遠程路由設備的密碼,然后更改配置進行了破壞。其結果一般導致可用性、完整性被破壞。

2、數據竊取

對很多公司來說,數據或核心資料泄漏是最大擔憂,這一類案件層出不窮,從世界巨頭商業公司到政府部門。大公司數據泄漏還能活下來,很多小公司因為一個配方、工藝的泄漏,可能就結束了。設計師、工程師、程序員和銷售最有可能,一般情況下獲取的是自己創造的信息。行為上可能發生在離開公司前后60天之內,方式上有很多,郵件、網盤、U盤、拍照、打印等都有可能。

3、內部欺詐

這是公司里面最大的群體了,跟其他不同的是,其目標是為錢。而這部分里面有相當多是工資比較低的那部分人群,非專業、非技術人員。由于對錢的需求,所以這些行為可能持續較長時間,如果有一個中低層主管參與的團伙,則更容易獲得成功。內部欺詐是破壞公司現有流程實現的,例如客服向用戶發放紅包,就存在內外勾結的可能。除此之外,特權比較多的人員也是其中一個群體。

另外常見的一種情況是販賣用戶個人敏感信息,例如房產公司銷售會把用戶手機號賣給裝修公司。個人敏感信息相對套現比較容易,需求方也明確,獲取難度也不大。

4、商業間諜

不要覺得商業間諜是一個遙遠的事情,在當前的商業競爭形勢下,各種套取信息、混入內部的案件比比皆是,只不過被公開報道出來的比較少。商業間諜不是在電視上看到的那種高大上間諜場景,又是色誘又是富家子弟什么的。現實中他們既有可能來自競爭對手,也有可能來自黑產,例如一個某寶店鋪,雇用了一個員工,這個員工有相當多的某寶運營經驗,在獲取了用戶地址、聯系方式等信息后即辭職,去了下一家。而這個員工,就是間諜的一種,專門獲取信息獲利。

商業間諜在作案時間上和其他不同,他們可能偶然活躍一次,然后沉靜下來,直到下一次。

5、無意威脅

前面的關注都是懷有惡意的內部人員,無意威脅是那些可能沒有惡意動機,但行為會給攻擊者提供入口,或對安全態勢產生負面影響的人。例如亂下載軟件,引入病毒木馬,被人社工,U盤筆記本丟失等,都在這類范圍內。

6、裝逼犯

這類人群的特點是愛炫耀,尤其如果自己在一家知名大公司工作,為了向人證明自己有內部消息,位高權重等。例如某互聯網大廠的內部論壇,就曾有人截圖八卦。還有一些泄漏公司通告、張貼自己工資表、利用權限查詢男女朋友數據的愛好者。

二、內鬼捕獲思路

1、復雜性

內鬼這事不是一個簡單的技術、金錢需求問題,和外部環境、誘惑交織在一起。這些外部環境包括:

內外勾結,內部人員可能一開始是個好人,后來開始為競爭對手、黑灰產等工作。

合作伙伴,合作伙伴手上有大量信息,基于某些業務,可能掌握的是核心信息。

組織架構調整,比如公司被收購、裁員重組等,會對員工產生心理預期的不可預測性,尤其在員工利益受損時,變“壞”的可能性變大。

跨國公司的文化差異,不同國家的宗教信仰、政治態度區別很大,典型如Google前陣時間的某項目,就因為某種原因而被泄漏給了媒體,導致項目終止。

黑灰產,員工參與黑灰產也是一個信號,黑產與內部員工的聯系程度如何?員工是否羊毛黨愛好者,這些都增加了風險。

2、威脅時間線檢測

內鬼具有一些共同特征,這些特征出現在訪問日志、流量、文件等地方,和正常活動混雜在一起,導致大量誤報,這是需要解決的問題。特征分布在各個系統日志的時間軸上,需要清洗出來做數據融合,串聯起來一個人的行為,這個過程是這里的重活,而且需要多次修正讓數據可解釋,這取決于數據質量、系統架構、正確方法,當然也需要數據人員的認真細致。

特征分為技術指標和非技術指標兩類。非技術指標會涉及HR、法務、管理層等參與,但在這一系列的指標里要注意幾點,一是不要因為資歷老、級別高就忽略,人是變化的。二是關注心理健康,這方面很多大公司都有心理測試和定期心理輔導。三是對員工應有人道關懷的理解和幫助,而不是簡單的指責懲罰。千萬不要把這事變成官僚主義的形式,這樣不但不能幫助,而且會讓員工產生逆反心理。例如員工績效輔導,就不該是辦公室里走個過場,而是需要至少1個小時以上的一對一聊天。

每個人對工作、生活看法都千差萬別,HR和leader的工作職責中需要了解個人風格,對工作的期望和目標,對周圍同事和上級的看法。當技術指標發生變化時,就需要人工干預防止惡化,因此要把兩類指標結合起來,起到預防、檢測、響應的作用。

搞破壞、泄漏數據和內部欺詐的人,在時間線上是不同的,根據這個特征可以更好地發現異常,在關鍵節點加強監控。

3、建設路線

真的要去做這件事,不是安全技術部門負責這么簡單,需要有組織保障。信息安全的這些技術,也不足以保障。

抓一個壞人,可能涉及到內控、信息安全、內部監察、內控、廉政、HR等部門,具體落在哪個部門取決于內部博弈,但一般企業內不會是先設立這么一個組織再來開展活動,而是誰能干這件事,責任就落在誰頭上。但整體上是一個跨部門工作組才能完成的工作。

另外,這個團隊需要高層授權,解決“誰來監視監視者”的問題。這個組的工作是保密的,因此需要管理好信任,確保監視者會受到監視,因為這個組掌握的信息太多太敏感。你可以簡單理解為“東廠”角色,但又不能像東廠那樣不受約束、大張旗鼓、人人自危。

解決前面的問題之后,接下來的路線就是:

建立風險處理制度,建立識別評估方法。

提升相關人員的能力。

培訓演練,提高員工安全意識。

啟動調查的程序

有一些具體操作上需要特別列出來的注意事項:

背調

員工入職一般都有背景調查,但這個是靜態的,只是在入職時由外包進行調查。一旦本人發生變化,以前的背調就沒什么用了。

縱深防御

信息安全領域的常見做法,但在管理上也需要有縱深防御。

員工滿意度

員工滿意度跟公司規模有關,公司越大江湖越深,不滿度可能越高,不滿度指標會間接產生影響。

內部特權人員

特權用戶掌握了一些敏感關鍵權限,并且知道如何繞過監控,對抗調查。所以就是剛才這個誰來監視監視者的問題。這需要公司組織架構上有互相制衡的能力。

安全規則必定被繞過

在商業組織里,安全是一個支撐角色,賺錢才是核心業務。而安全措施疊加,必定會在一定程度上降低效率,由于效率原因,安全規則也一定不被完全遵守。要么是以免打擾的方式實現安全,要么就要讓違規受到必要的懲戒,實際工作中是兩者結合使用。

無意行為危害

無意行為危害更為常見,例如DLP抓到的外發,大量都是業務需要的非故意外發行為,真正的壞人可能就隱藏在這里而被淹沒。這需要靠安全意識教育、直接觸達的警告來強化安全。

三、檢測指標

發現內鬼可通過不同維度的指標監測,指標異常引發報警,從而提升某個員工的關注度。

1、個人情況指標

個人情況指標可能不會直接造成損害,但會是很多事情的誘因。

指標 破壞 數據竊取 內部欺詐 商業間諜 無意 裝逼犯
精神類疾病
財務窘迫
家庭重大變故
不滿/績效
分手/離婚
待離職

這里的最大問題是,你可能無法掌握員工的變化情況。這些信息可能會被他周圍的同事和HR知道,需要打通這個信息渠道。例如精神類疾病在職場中常見的是抑郁癥,會導致無意犯錯、破壞發泄,理論上可以在每年的體檢報告上獲取這個信息,但這屬于侵犯個人隱私,在強保密體系下可以關注使用。另一個重點是績效為差的員工,待離職員工,這些都帶有強烈的離職動機,從而導致竊取數據、搞破壞,這些數據是可以通過HR系統檢測到的指標。

2、背景及行為指標

背景側重于歷史記錄,很多公司把敏感崗位背調作為招聘必選項。行為則是根據員工工作上的行為方式逐步形成。

指標 破壞 數據竊取 內部欺詐 商業間諜 無意 裝逼犯
參與某些團體
犯罪前科
不良習慣(喝酒、涉毒、賭博)
精神病史
社交媒體活躍
跳槽次數及工作時長
公司內多次違規
多次拷貝、外發數據

參與某些團體指的是例如國泰航空前陣時間的事件,參與了社會事件而帶來的對飛行安全的破壞、泄漏用戶信息。而在犯罪前科上,要兼顧考慮各類外包人員。背調不只是在入職前進行,在晉升時也需要進行。其他類型不再贅述。

3、信息安全指標

指標 破壞 數據竊取 內部欺詐 商業間諜 無意 裝逼犯
與競對通信
大量數據外發
涉黑灰產(dns、設備等)
長期使用代理
內網掃描攻擊
執行木馬等惡意軟件
內網設備異常
賬號登錄異常

內部欺詐是利用工作流程,掌握了規則后獲利行為,例如風控部門的員工,就可能掌握規則從而繞過獲利,檢測上很難發現,但可以通過其他維度,例如與情報、釣魚、黑灰產關聯等。而數據竊取則可能有一些對抗繞過,比如對數據加密,使用代理等,可以根據基線、閾值來做關聯判斷。商業間諜則考慮賬號、設備、競對關聯、行為。

4、終端指標

終端是指用戶的終端電腦、手機等,由于員工可以對終端進行操作,所以他可能會篡改數據,破壞監控agent,因此要額外檢測agent和日志的運行情況,尤其是當員工有離職等不良傾向的時候需要重點關聯檢測。

指標 破壞 數據竊取 內部欺詐 商業間諜 無意 裝逼犯
殺毒軟件報警
監測到黑客工具
終端安全軟件被關閉
嘗試升級特權
打印復制高密級文件
系統大量異常報錯
異常外設接入
終端登陸多次失敗
終端多用戶登錄
日志缺失

數據竊取可通過打印、復制外發文件,把這個日志和背景行為指標關聯,可以監測到數據竊取、商業間諜行為。內部人員如果登陸其他同事賬號,目的可能是隱藏自己,提升權限,又或者代其他員工操作。多次登陸失敗則說明賬號正在被暴力破解。終端多用戶登錄代表的風險則更大,但要注意有些例如三班倒的工作崗位、測試崗位會存在公用設備現象,但排除這些崗位也行后,其他人員需要重點關注。當然還有其他維度,例如非正常工作時間,只不過在互聯網公司這個太常見了,所以沒有加入特征。

對終端的檢測幾乎發現不到什么內部欺詐,欺詐行為一般出現在業務層。

5、服務端指標

對應的則是用戶在服務端的操作行為:

指標 破壞 數據竊取 內部欺詐 商業間諜 無意 裝逼犯
修改服務端日志
大量下載文檔
服務端驗證多次失敗
服務端配置文件修改
權限修改
數據庫修改
訪問無權限數據
同賬號多設備

對集中存放的審計日志進行修改是個明確信號,有人在試圖抹掉痕跡。同賬號多設備則表明賬號可能被泄漏,也可能是橫向移動攻擊。 

四、總結  

以上所有的指標,單一來看可能只是一個異常,因此需要多指標關聯權重,從而提煉出真正的風險。但指標不僅限于此,可以根據自身業務數據形成更廣闊的檢測維度,例如一個銷售,從來不上傳新合同,但總是在大量查詢歷史合同。某個員工的手機號和采購供應商相同,員工與黑產多次出現在同一地址,同一時間維度內同WIFI出現大量注冊等等諸如此類的規則,都能夠形成某個單項指標。

除了自身數據,也可接入外部數據驗證,例如員工是否多頭借貸,歷史工作單位驗證是否一致等。最后,還可以利用情報數據,反向驗證內部人員作案。

空間很大,可做的事情有很多,不要自己給信息安全設置了邊界。

*本文原創作者:mcvoodoo,屬于FreeBuf原創獎勵計劃,未經許可禁止轉載

相關推薦
發表評論

已有 7 條評論

取消
Loading...

特別推薦

推薦關注

活動預告

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 今晚开什么生肖和特马 篮彩 广东十一选五计划免 江苏麻将游戏规则 吉林麻将小鸡儿飞蛋的规则 单机麻将(全集) 大赢家比分呢 安徽时时彩 体球网即时比分钟 江苏省七位数历史开 中国体育竞彩足球比分即时比分 大赢家比分直播 广东省11选5走势 贵州麻将怎么算分 美式足球皇冠比分网 188比分网址8 混合过关