隨著越來越多的日志記錄和監(jiān)測(cè)工具可供使用,在企業(yè)組織檢測(cè)內(nèi)部非法活動(dòng)看起來似乎應(yīng)該很簡(jiǎn)單���。但是�,內(nèi)部惡意破壞的案件數(shù)量卻在不斷增加����,其主要原因是大多數(shù)從事欺詐����、盜竊�����、IT蓄意破壞或者間諜活動(dòng)的內(nèi)部人員都能獲得經(jīng)授權(quán)的訪問權(quán)限���,而且從表面上來看����,他們的惡意活動(dòng)跟其每天從事的在線活動(dòng)沒有什么異常�。
對(duì)于企業(yè)來說,內(nèi)部人員引起的數(shù)據(jù)丟失是一個(gè)非常大的威脅����。所以,采取一定的策略來監(jiān)測(cè)和防止或者減少惡意內(nèi)部人員的這些活動(dòng)至關(guān)重要�。在本文中,我將根據(jù)我所在團(tuán)隊(duì)九年的研究�、CERT數(shù)據(jù)庫中的400個(gè)真實(shí)的內(nèi)部威脅案例、從評(píng)估中學(xué)來的教訓(xùn)�,以及在我們內(nèi)部威脅研討會(huì)上提到的行為模式�����,為大家闡述幾個(gè)切實(shí)可行的���,使用內(nèi)部威脅檢測(cè)工具的安全策略��。
在討論內(nèi)部威脅檢測(cè)過程之前�,有必要簡(jiǎn)要地定義一下內(nèi)部惡意人員(malicious insider)這個(gè)詞的含義。一個(gè)惡意內(nèi)部人員可以是任何一位具有以下特征的現(xiàn)任或者前任員工����、承包人或者其他業(yè)務(wù)合作伙伴:
◆目前或者曾經(jīng)具有訪問企業(yè)內(nèi)部網(wǎng)絡(luò)、系統(tǒng)或者數(shù)據(jù)的權(quán)限�;
◆在一定程度上故意超越或者濫用其訪問權(quán)限,對(duì)企業(yè)的機(jī)密���、完整性���,或者企業(yè)信息或信息系統(tǒng)的可用性產(chǎn)生了不利影響。
本文包含了三種內(nèi)部犯罪活動(dòng):內(nèi)部IT蓄意破壞���、內(nèi)部欺詐����,以及知識(shí)產(chǎn)權(quán)(IP)盜竊。每種犯罪活動(dòng)都需要用特定的內(nèi)部威脅檢測(cè)策略來監(jiān)測(cè)���。
內(nèi)部IT蓄意破壞:這種犯罪活動(dòng)旨在給企業(yè)或者個(gè)人造成損失�����。從事這種活動(dòng)的罪犯通常是那些心懷不滿的系統(tǒng)管理員或者數(shù)據(jù)庫管理員���,他們的活動(dòng)往往會(huì)造成系統(tǒng)崩潰、數(shù)據(jù)被擦除��,或者導(dǎo)致業(yè)務(wù)運(yùn)行中斷等后果�。這種犯罪活動(dòng)通常使用以下幾種技術(shù):采用后門賬戶、在職期間植入惡意代碼��,或者用密碼破解器�����、社會(huì)工程得到密碼等�。
這里有幾個(gè)關(guān)鍵的監(jiān)視和檢測(cè)策略,專門針對(duì)潛在的內(nèi)部IT蓄意破壞活動(dòng)。企業(yè)應(yīng)該考慮把這幾個(gè)策略添加到標(biāo)準(zhǔn)的安全實(shí)踐中�。它們包括:
檢測(cè)配置的變化——許多內(nèi)部人員會(huì)在操作系統(tǒng)腳本中、產(chǎn)品程序或者系統(tǒng)工具中植入惡意代碼�����。攻擊目標(biāo)多種多樣��,而且攻擊方法也在不斷演變���。然而��,利用改變控制,來用工具來監(jiān)測(cè)這些文件的變化是有可能的����,因?yàn)樗鼈兒苌俦桓淖儭?/p>
對(duì)網(wǎng)絡(luò)外圍進(jìn)行控制,對(duì)可疑流量進(jìn)行預(yù)警——大多數(shù)企業(yè)會(huì)使用像入侵檢測(cè)系統(tǒng)(IDS)工具來監(jiān)視內(nèi)部流量��。然而��,在CERT數(shù)據(jù)庫中����,有的內(nèi)部人員從地下因特網(wǎng)(Internet Underground)得到黑客工具并獲得幫助(請(qǐng)看CERT的報(bào)告:熱點(diǎn)聚焦,與地下因特網(wǎng)社區(qū)有聯(lián)系的惡意內(nèi)部人員),從而盜竊認(rèn)證信息和敏感信息���。由于這個(gè)緣故�,企業(yè)很有必要考慮使用像IDS這樣的工具來監(jiān)測(cè)惡意的外部流量�����,并提高警惕�����。
監(jiān)視未授權(quán)的賬戶——許多內(nèi)部人員會(huì)創(chuàng)建后門賬戶�,以便于以后進(jìn)行攻擊。這些賬戶可能很難被監(jiān)測(cè)到��。我們建議把所有的賬戶跟現(xiàn)有的員工賬號(hào)目錄進(jìn)行比較����,通過驗(yàn)證每個(gè)賬戶是否與現(xiàn)有的員工有關(guān)、是否需要員工主管進(jìn)行認(rèn)可等手段�,積極主動(dòng)地審查新賬戶。
內(nèi)部欺詐:在這種犯罪活動(dòng)中�����,內(nèi)部人員為了達(dá)到個(gè)人目的或者盜竊用來欺詐(身份偷竊,信用卡欺詐等)的信息���,他們會(huì)利用IT技術(shù)對(duì)企業(yè)的數(shù)據(jù)進(jìn)行未授權(quán)的改變�����、添加或者刪除等���。
內(nèi)部欺詐通常來自低層次員工(如,客戶支持或者服務(wù)臺(tái)員工)��,他們會(huì)利用日常的訪問權(quán)訪問系統(tǒng)��。主要的檢測(cè)策略是審計(jì)數(shù)據(jù)庫事務(wù)�,從而監(jiān)視針對(duì)個(gè)人認(rèn)證信息(PII)、信用卡信息以及其他敏感信息的可疑活動(dòng)�。這種審計(jì)應(yīng)該定期進(jìn)行����,但是進(jìn)行的頻率則依賴于企業(yè)自己的風(fēng)險(xiǎn)分析。
知識(shí)產(chǎn)權(quán)(IP)盜竊:進(jìn)行這種犯罪活動(dòng)的人一般是科學(xué)家���、工程師以及程序員����,他們會(huì)盜竊他們自己所創(chuàng)造的知識(shí)產(chǎn)權(quán),比如工程圖紙���、技術(shù)細(xì)節(jié)以及源代碼等���。在表面上,他們的盜竊行為可能并不違法��,這使得檢測(cè)這些活動(dòng)更加困難�����。許多數(shù)據(jù)泄漏防護(hù)產(chǎn)品(DLP)會(huì)導(dǎo)致信息過載�����,如果沒有如下所述的相關(guān)政策和過程�,它們?cè)诒O(jiān)測(cè)知識(shí)產(chǎn)權(quán)信息盜竊時(shí)并不實(shí)用。CERT的研究表明��,大多數(shù)內(nèi)部人員會(huì)在辭職以后的30天內(nèi)盜竊知識(shí)產(chǎn)權(quán)��。
因此����,一個(gè)實(shí)用的監(jiān)測(cè)策略包括:
◆記錄日志�����、監(jiān)視并審計(jì)系統(tǒng)日志中的查詢����、下載����、打印任務(wù),以及電子郵件消息中是否包含大量的數(shù)據(jù)(特別是��,是否包含了和知識(shí)產(chǎn)權(quán)相關(guān)的信息)����。
◆警惕那些發(fā)送給競(jìng)爭(zhēng)對(duì)手、外部地點(diǎn)或者個(gè)人電子郵件賬戶的電子郵件���。
◆監(jiān)視網(wǎng)絡(luò)流量中異常的大型文件傳輸、長(zhǎng)期連接����、可疑端口以及可疑資源/目的地IP地址等��。
◆使用基于主機(jī)的代理來記錄臺(tái)式電腦以及筆記本電腦的活動(dòng)�,包括可移動(dòng)媒體的使用等�����。
◆對(duì)那些能夠訪問知識(shí)產(chǎn)權(quán)的辭職員工實(shí)施具有針對(duì)性的日志審計(jì)���?����?傊?����,持續(xù)進(jìn)行日志記錄���、有目的地監(jiān)視那些與本文描述相符的員工,并實(shí)時(shí)保持警惕�,企業(yè)就能夠有效地防止內(nèi)部威脅,保護(hù)自己�����。