内部威胁那些事儿(一)

2016-05-12 409022人围观 ,发现 4 个不明物体 头条特别企划

*本文原创作者:木千之

nuclear-threat.jpg

写在前面

内部威胁区别于外部威胁,攻击者来自于内部用户,因此检测更加困难,危害性却更大。随着企业信息安全机制的建立建全,单纯想从外部Hack进入目标系统的攻击门槛不断提高;内部威胁逐渐增多,并且开始在各大安全报告中崭露头角,引起了国外研究者的高度重视。遗憾的是,国内此类事件曝光率极低,研究重视不够,因此缺乏行之有效的防范措施。

基于近一年的研究调研,我整理出当前内部威胁研究的相关情况,供诸位FB同仁讨论交流,以作抛砖引玉之用。

什么是内部威胁?

2016年4月,某涉密科研单位职员黄某,由于平时工作态度不认真,绩效考评落后被原单位解职后,出于报复将之前利用职务之便复制的工作中的涉密内容出卖给国外间谍机关;之后设法策反老同事、伺机从同在涉密单位的妻子与姐夫处获取机密进行倒卖。最终,包括军用短波机技术参数在内的多项国家秘密被出卖给境外间谍机关,严重威胁国家安全。黄某被以间谍罪判处死刑,其妻子和姐夫也因过失泄露国家机密罪被判处有期徒刑,而黄某原单位有29人受到不同程度处分。

上述案例是离职人员泄露机密的典型内部威胁事件。无独有偶,早在2011年4月,韩国三星前雇员窃取家电部门核心技术信息,通过下载高度机密文件,打印后拍照保存照片信息,存储到笔记本中带出。2013年6月斯诺登“棱镜门(PRISM)”事件轰动全球。作为参与美国涉密安全工作的一名承包商雇员,斯诺登利用其职务便利获得了对关键性系统的访问权,随后从美国国家安全局拷贝了数十万份机密文件,并将这些资料提供媒体记者进行发表。结果揭露了美国国家安全局与联邦调查局于2007年就启动的一个美国有史以来最大规模的秘密监控项目。借助在美国主要互联网企业服务数据的挖掘分析,美国情报机构得以从包括音视频、图片、文档、邮件等多种数据形式中关联分析个体的行为,以达到监视监听民众通话与网络活动的目的。2014年1月,韩国信用局内部员工窃取了2000万银行和信用卡用户的个人数据,造成韩国历史上最严重的数据泄露事件,等等。

上述内部威胁(Insider Threat)是信息化下内部管控风险的新表现。过去我们将此类人称为“细作、内鬼”,在信息系统领域则统称为“内部人(Insider)”。简单来说内部威胁就是由内部人威胁企业或组织安全的行为。内部威胁定义的关键在于定义内部人的内涵与外延,过去的认识往往将内部人看作是具有计算机登录权限的用户、数据库登录用户以及网络可访问用户等具体的虚拟身份凭证,2012年美国CERT提出了一个内部威胁的完整定义,基于丰富的内部威胁案例数据,明确了内部威胁中的主体与客体,在实际中具有很好的适用性,可以作为参考:

内部威胁攻击者一般是企业或组织的员工(在职或离职)、承包商以及商业伙伴等,其应当具有组织的系统、网络以及数据的访问权;内部威胁就是内部人利用合法获得的访问权对组织信息系统中信息的机密性、完整性以及可用性造成负面影响的行为。

上述定义内部人外延是与企业或组织具有某种社会关系的个体,如在职员工,离职员工(如黄某),值得注意的是承包商与商业伙伴扩展了内部人的范围,即“合伙人”也是潜在的内部攻击者;内涵则是具有系统访问权。内部威胁的结果是对数据安全造成了破坏,如机密性(如数据窃取)、完整性(如数据篡改)以及可用性(如系统攻击)等。

为什么要重视内部威胁?

2.1 内部威胁特征

我们从CERT的内部威胁定义中,可以分析、提取出内部威胁的关键特征,而这些特征也是内部威胁与外部威胁区别的最主要因素。通常来说,内部威胁具有以下特征,如图1:

1 透明性:攻击者来自安全边界内部,因此攻击者可以躲避防火墙等外部安全设备的检测,导致多数内部攻击对于外部安全设备具有透明性;

2 隐蔽性:内部攻击者的恶意行为往往发生在正常工作的间隙,导致恶意行为嵌入在大量的正常行为数据中,提高了数据挖掘分析的难度;同时内部攻击者具有组织安全防御的相关知识,因此可以采取措施逃避安全检测。所以内部攻击者对于内部安全检测具有一定的隐蔽性;

3 高危性:内部威胁往往比外部威胁造成更严重的后果,主要原始是攻击者自身具有组织的相关知识,可以接触到组织的核心资产(如知识产权等),从而对组织的经济资产、业务运行以及组织信誉进行破坏,对组织造成巨大损失;如2014年的美国CERT发布的网络安全调查显示仅占28%的内部攻击却造成了46%的损失

内部威胁因为攻击者具备内部知识,因此可以直接访问核心信息资产,对企业造成严重危害;同时,透明性与隐蔽性却使得这种威胁难以检测发现,难以防范,因此我们说内部威胁要比外部威胁更需要重视,采取切实有效地应对方法。

2.2 内部威胁形势

虽然国内媒体常年被娱乐信息占据,对关系国计民生的重要信息报道少之又少,但是内部威胁却始终不曾消失,攻击形式升级,事件频发,造成了巨大危害。

攻击升级方面,CERT统计了现有的内部威胁案例,发现其复杂性逐渐提升,当前的内部威胁已经具有相当的复杂度,如图2:

其中复杂性主要表现在四个方面:

  1. 内外勾结:越来越多的内部威胁动机与外部对手关联,并且得到外部的资金等帮助;
  2. 合伙人:商业合作伙伴引发的内部威胁事件日益增多,监控对象群体扩大;
  3. 企业兼并:当企业发生兼并、重组时最容易发生内部威胁,而此时内部检测难度较大;
  4. 文化差异:不同行为人的文化背景会影响其同类威胁时的行为特征;

威胁损失方面,除了之前介绍过的内部威胁案例,美国CSI/FBI在2008年公布的《计算机犯罪和安全调查》中对信息安全事件当中的事件来源做了统计,发现内部安全事件所造成的损失明显要高于外部事件,如图3:

2013年英国一家安全公司的年度报告指出,58%的安全事件来自于企业自身内部,其中部分根据主观恶意程度进一步区分为误用操作与恶意操作;斯诺登的“棱镜门”对美国安全部门无疑是沉重打击,是一起非常严重的内部威胁事件,其影响已经无法简单用经济、声誉损失来衡量;2015年普华永道的调查显示,大陆与香港地区的企业信息安全事件同比增长517%,而其中50以上是内部员工造成的威胁。

尽管内部威胁形式严峻,但是企业现有的安全机制对于内部威胁而言作用微乎其微。2014年Vormetric内部威胁调查显示,只有9%的欧洲IT经理与安全人员表示对内部威胁感到安全;26%的欧洲受访者与47%的美国受访者认为很容易遭受内部威胁攻击。企业的大部分IT安全预算花在了数据保护、访问控制与用户监控技术,然而并没有提升对内部威胁的安全感。不同国家容易受到内部威胁攻击的组织比例如图4:

因此,内部威胁危害巨大,现有安全机制作用却又微乎其微,内部威胁形式严峻,需要引起社会各界高度重视。

内部威胁分析

内部威胁应对形式严峻,需要社会各界的高度重视。首要工作是分析内部威胁的特征,从而研究可能的应对方案。学界曾经对内部威胁提出过诸多的行为模型,希望可以从中提取出行为模式,这部分主要的工作开始于早期提出的SKRAM模型与CMO模型,两个模型都从内部攻击者的角度入手,分析攻击者成功实施一次攻击所需要具备的要素,其中的主观要素包括动机、职业角色具备的资源访问权限以及技能素养,客观要素则包括目标的内部缺陷的访问控制策略以及缺乏有效的安全监管等。延续SKRAM与CMO模型的思想,当前代表性的工作分别来自于两个团队:美国CMU大学的CERT内部威胁研究团队与英国Oxford的网络安全团队。

美国CERT中心是迄今为止最富有成效的内部威胁研究中心,其不仅建立了2001年至今的700多例内部威胁数据库,还基于丰富的案例分析不同内部威胁的特征,提出了系统破坏、知识产权窃取与电子欺诈三类基本的攻击类型,由此组合形成复合攻击以及商业间谍攻击;此外CERT还建立了内部威胁评估与管理系统MERIT用于培训安全人员识别、处理内部威胁。三类基本的威胁模型我们会在之后的章节中分别详细介绍。

英国Oxford的网安团队分析了CERT数据库中的内部威胁案例,抽象攻击链,提出了最全面的内部威胁模型。该模型从内部威胁的动机开始建立攻击链,描述了行为以及威胁目标和资源客体等诸多属性。具体如图5:

上图中刻画了内部威胁的四个方面:触发事件、攻击者特征、攻击特征以及组织特征,分别分析如下:

  1. 触发事件:主要用于刻画内部威胁的导火索,前提是内部攻击者的特征决定了触发事件成为了攻击实施的“最后一根稻草”。此类触发事件通常是对内部人的较大负面事件,如降职、解雇、家庭剧变或与上司激烈争吵等;
  2. 攻击者特征:主要用于刻画攻击者的心理状态,从而刻画出内部威胁动机;动机可以从人格特征、行为特征及职能角色三个角度分析。人格特征主要可以用大五人格来分析,即OCEAN-开放性、尽责性、外倾性、宜人性及神经质性五类具体的人格度量;行为特征主要分为当前行为与历史行为两类,当前行为需分析其工作绩效表现、出勤率等,而历史行为则是犯罪历史、精神病史等档案信息;职能角色分主要决定了内部人具有的技能等级、访问权限以及工作区的门禁权限等,这些共同构成了内部威胁实施的“机会”条件;
  3. 攻击特征:主要刻画不同的攻击类型,如系统破坏攻击则主要是在系统中埋设逻辑炸弹,还原系统等;而产权窃取与欺诈则需要进一步入侵服务器与数据库,访问关键信息;
  4. 组织特征:主要刻画组织的安全程度,其脆弱性给了内部攻击者以可乘之机,内部审计机制与访问控制机制决定了内部威胁的技术门槛;

通过以上四点特征,可以从攻击链各个角度刻画内部威胁。现有研究的焦点在于攻击者行为特征的刻画,忽视了人格、角色等特征的分析,因此对于攻击链中动机因素重视不够,导致单纯分析行为存在误报,且无法建立有效的威胁预测系统。可以说,上述模型全面反映了内部威胁的各个要素,为进一步研究提供了分析基础。

本章小结

本节主要介绍了内部威胁基本知识,首先从现实案例引入内部威胁的定义,便于从攻击者与结果两个维度把握内部威胁;之后从内部威胁透明、隐蔽以及高危的特征出发,结合形式复杂演变与攻击事件频发说明了内部威胁正极具加重,而企业现有安全机制作用微乎其微无疑使得形式更加严峻;接下来我们从Oxford安全团队的模型分析了内部威胁攻击链中各个因素,从而对内部威胁有了全面的认识。接下来的章节我们将分别详细分析三类基本的内部威胁,提出针对性的解决方案。

在结束本章之前,我觉得有必要说明当前国内的内部威胁研究早已落后于国际,以美国CERT为例,2000年即由美国国防部赞助开启内部威胁检测项目,2011年又进行了ADAMS项目,将其发展轨迹表示如下,对比国内零散冷门的研究现状,差距可窥一斑:

五 参考文献

1 科研人员偷卖90项国家绝密情报 http://news.sina.com.cn/o/2016-04-19/doc-ifxriqqv6232884.shtml

2 维基百科:https://en.wikipedia.org/wiki/PRISM%28surveillanceprogram%29

3 Lawrence A. Gordon, Martin P. Loeb, William Lucyshyn, and Robert Richardson. CSI/FBI computer crime and security survey, 2006

4 Kroll and Economist Intelligence Unit, “Annual Global Fraud Survey, 2011/2012,” 2012

5 The Seven Largest Insider-Caused Data Breaches of 2014, C Preimesberger, , 2014

6 2014 US State of Cybercrime Survey, US CERT, Camegie Mellon University, 2014

7 基于文件访问行为的内部威胁,北京邮电大学,张锐,2015

8 The CERT Guide to Insider Threats, 2012

*本文原创作者:木千之,本文属FreeBuf原创奖励计划,未经许可禁止转载。

发表评论

已有 4 条评论

取消
Loading...
css.php