随着越来越多的日志记录和监测工具可供使用,在企业组织检测内部非法活动看起来似乎应该很简单。但是,内部恶意破坏的案件数量却在不断增加,其主要原因是大多数从事欺诈、盗窃、IT蓄意破坏或者间谍活动的内部人员都能获得经授权的访问权限,而且从表面上来看,他们的恶意活动跟其每天从事的在线活动没有什么异常。
对于企业来说,内部人员引起的数据丢失是一个非常大的威胁。所以,采取一定的策略来监测和防止或者减少恶意内部人员的这些活动至关重要。在本文中,我将根据我所在团队九年的研究、CERT数据库中的400个真实的内部威胁案例、从评估中学来的教训,以及在我们内部威胁研讨会上提到的行为模式,为大家阐述几个切实可行的,使用内部威胁检测工具的安全策略。
在讨论内部威胁检测过程之前,有必要简要地定义一下内部恶意人员(malicious insider)这个词的含义。一个恶意内部人员可以是任何一位具有以下特征的现任或者前任员工、承包人或者其他业务合作伙伴:
目前或者曾经具有访问企业内部网络、系统或者数据的权限;
在一定程度上故意超越或者滥用其访问权限,对企业的机密、完整性,或者企业信息或信息系统的可用性产生了不利影响。
本文包含了三种内部犯罪活动:内部IT蓄意破坏、内部欺诈,以及知识产权(IP)盗窃。每种犯罪活动都需要用特定的内部威胁检测策略来监测。
内部IT蓄意破坏:这种犯罪活动旨在给企业或者个人造成损失。从事这种活动的罪犯通常是那些心怀不满的系统管理员或者数据库管理员,他们的活动往往会造成系统崩溃、数据被擦除,或者导致业务运行中断等后果。这种犯罪活动通常使用以下几种技术:采用后门账户、在职期间植入恶意代码,或者用密码破解器、社会工程得到密码等。
这里有几个关键的监视和检测策略,专门针对潜在的内部IT蓄意破坏活动。企业应该考虑把这几个策略添加到标准的安全实践中。它们包括:
检测配置的变化——许多内部人员会在操作系统脚本中、产品程序或者系统工具中植入恶意代码。攻击目标多种多样,而且攻击方法也在不断演变。然而,利用改变控制,来用工具来监测这些文件的变化是有可能的,因为它们很少被改变。
对网络外围进行控制,对可疑流量进行预警——大多数企业会使用像入侵检测系统(IDS)工具来监视内部流量。然而,在CERT数据库中,有的内部人员从地下因特网(Internet Underground)得到黑客工具并获得帮助(请看CERT的报告:热点聚焦,与地下因特网社区有联系的恶意内部人员),从而盗窃认证信息和敏感信息。由于这个缘故,企业很有必要考虑使用像IDS这样的工具来监测恶意的外部流量,并提高警惕。
监视未授权的账户——许多内部人员会创建后门账户,以便于以后进行攻击。这些账户可能很难被监测到。我们建议把所有的账户跟现有的员工账号目录进行比较,通过验证每个账户是否与现有的员工有关、是否需要员工主管进行认可等手段,积极主动地审查新账户。
内部欺诈:在这种犯罪活动中,内部人员为了达到个人目的或者盗窃用来欺诈(身份偷窃,信用卡欺诈等)的信息,他们会利用IT技术对企业的数据进行未授权的改变、添加或者删除等。
内部欺诈通常来自低层次员工(如,客户支持或者服务台员工),他们会利用日常的访问权访问系统。主要的检测策略是审计数据库事务,从而监视针对个人认证信息(PII)、信用卡信息以及其他敏感信息的可疑活动。这种审计应该定期进行,但是进行的频率则依赖于企业自己的风险分析。
知识产权(IP)盗窃:进行这种犯罪活动的人一般是科学家、工程师以及程序员,他们会盗窃他们自己所创造的知识产权,比如工程图纸、技术细节以及源代码等。在表面上,他们的盗窃行为可能并不违法,这使得检测这些活动更加困难。许多数据泄漏防护产品(DLP)会导致信息过载,如果没有如下所述的相关政策和过程,它们在监测知识产权信息盗窃时并不实用。CERT的研究表明,大多数内部人员会在辞职以后的30天内盗窃知识产权。
因此,一个实用的监测策略包括:
记录日志、监视并审计系统日志中的查询、下载、打印任务,以及电子邮件消息中是否包含大量的数据(特别是,是否包含了和知识产权相关的信息)。
警惕那些发送给竞争对手、外部地点或者个人电子邮件账户的电子邮件。
监视网络流量中异常的大型文件传输、长期连接、可疑端口以及可疑资源/目的地IP地址等。
使用基于主机的代理来记录台式电脑以及笔记本电脑的活动,包括可移动媒体的使用等。
对那些能够访问知识产权的辞职员工实施具有针对性的日志审计。总之,持续进行日志记录、有目的地监视那些与本文描述相符的员工,并实时保持警惕,企业就能够有效地防止内部威胁,保护自己。