内鬼泄密猛于黑客,如何保护好墙内的世界?
发布日期:2018-05-084月底,美团、饿了么、百度外卖等外卖平台的用户信息泄露事件再次引起了全民探讨。信息泄露原本不是什么新鲜事了,但这一次,泄露信息的并不是人们谈之色变的黑客,也不是因为什么没有及时修复的漏洞,而是企业没有引起足够重视但却能造成严重危害的内鬼(Insider)。
猖獗的内鬼
随着国内外立法和宣传逐渐增多,很多企业对于信息安全和数据保护已经有了初步的认识,也采取了适当的安全产品和安全服务来防范来自外部的威胁与攻击。但是,明枪易躲暗箭难防。他们在重视外部威胁的同时,却忽视了内部的威胁同样严重,同样需要采取对应措施。
关于内鬼泄露信息的案例,国内外其实比比皆是。除去尚未调查出结果的美团、饿了么和百度外卖不提,传闻表示前段时间刚被美国制裁的中兴,也是因为企业自身的不谨慎而被“内鬼间谍”获取机密文件,最终在法庭上处于劣势。据说,美国为了调查中兴、搜集证据,派了卧底律师进入中兴, 结果发现中兴把包括合同、战略等高度机密的文件都放在内网中,只要是公司员工都可公开访问。因此,该律师不费吹灰之力就拿到了压倒中兴的致命证据。后来,美国商务部还专门做了一份中兴反面教材 PPT 公开到网上,提醒后来者注意。
2016 年,智联招聘的经营方北京网聘咨询有限公司(以下简称“智联招聘”)报案称,公司员工申某利用公司业务逻辑的问题非法获取用户的简历库账号及密码,并将用户简历向外兜售,涉案信息数量超过 15 万条。这些简历包括了姓名、身份证号、住址、电话、受教育程度、工作单位、薪资收入等大量详细的个人信息,导致智联招聘损失将近 2500 万元。最终,法院判处该员工有期徒刑三年六个月。
2017 年,谷歌前高管离职加入 Uber,同时带走了将原本属于谷歌的自动驾驶技术。对此,谷歌起诉了这名高管以及 Uber,最终获得 2.45 亿美元的业务赔偿金。当然,最有代表性的的内鬼泄密估计就是斯诺登“棱镜门”了:斯诺登利用其安全部门承包商雇员的职务之便,获得对关键系统的访问权,随后从美国国家安全局拷贝了数十万份机密文件。他将这些资料提供给英国《卫报》与美国《华盛顿邮报》两家著名媒体,曝光之后引发轩然大波。这件事情的直接后果就是美国国家安全局与联邦调查局于2007年就启动的美国有史以来最大规模的秘密监控项目公之于众。在这个过程中,攻击者(斯诺登)来自美国安全部门内部,无需利用黑客入侵手段,只利用职务权限就能窃取机密信息;而遭受攻击的是美国国家安全部门,导致国家安全防御体系遭到破坏,让美国政府饱受舆论压力。
内鬼带来的威胁
内鬼在信息领域统称为”Insider”,他们造成的威胁叫做内部威胁(Insider Threat),与外部威胁相对应。确切说来,内部威胁就是由内部人威胁企业或组织安全的行为。按照 2012 年美国 CERT 提出的定义:
内部威胁攻击者一般是企业或组织的员工(在职或离职)、承包商以及商业伙伴等,其应当具有组织的系统、网络以及数据的访问权;内部威胁就是内部人利用合法获得的访问权对组织信息系统中信息的机密性、完整性以及可用性造成负面影响的行为。
美国CERT中心认为,内部威胁主要分为系统破坏、知识产权窃取与电子欺诈三类基本的攻击类型,由此组合形成复合攻击以及商业间谍攻击。本文所说的泄密内鬼,实施的就是其中的知识产权窃取类攻击。
安全公司迈克菲近期的调查显示,43% 的数据泄露都来自内鬼,而 Information Security Forum 的调查结果则显示为 54%。这表明,内鬼泄密其实已经成为信息泄露的主要原因。我国公安部网络技术研发中心主任许剑卓曾公开表示:目前,公民个人信息泄露造成危害最大的行业主要是银行、教育、工商、电信、快递、证券、电商等行业,由于这些行业掌握大量个人信息,内部人员更易泄露数据。
企业应当如何防范内鬼?
内鬼来自企业安全边界的内部,可以躲避防火墙等安全设备的检测,因此很方便就能获取到企业内部资料及财产,而且由于他们自身具有关于企业的相关知识,更容易实施攻击。内鬼具有高度的隐蔽性,对企业造成的危害也更严重。
需要注意的是,内鬼通常不是单独作案,而是会与信息交易产业链中的上下游人员接触。就算他们凭一己之力完成信窃取过程,最终也需要与他人或其他组织联系,将手中的信息处理出去。在前文提到的外卖平台内部人员泄露信息的案例中,电话销售群、网络运营公司、商家及骑手均参与其中,他们与地下黑市的人员勾结,将数量庞大的用户数据变成了交易和谋利的对象。
国内的内部威胁研究并没有多少系统性成果,我们可以参考美国 CERT 对于内部威胁的政策,总结出一些方法供国内企业参考。
企业管理层人员可以采取的措施:
数字资产标识
作为管理者或企业安全业务相关的人员,最好按照 ISO 55000 国际标准对企业数字资产进行标识。ISO 标准规定:
资产是对组织有实际价值或潜在价值的物品、事物或实体。资产管理使组织能够在实现目标的同时实现资产价值。
虽然ISO 55000侧重于实物资产管理,但其定义也适用于数字资产(包括数据)。“关键资产”价值之外的内容在于:如果关键资产受到严重损害,就会影响组织的继续运营。
毫无疑问,数据是当今世界任何组织最重要的资产之一,因此需要安全、高效的管理。但是,并非所有数据在业务上都是平等的。每个企业都应当对其客户、合作伙伴、库存、供应商和自己业务的数据负责。在组织内部流通的数据通常包括公司的财务数据,运营数据,客户的个人可识别数据以及一些分类数据。
预防数据泄露的第一步是识别并分类数据。尽管企业的 IT 专业人员熟知企业信息系统的运行方式,但他们并未全面了解整个业务的运营和流程。此刻,企业的管理人员应当帮助相关专业人员进行合理的识别与分类。
企业数据一般分为以下几类:公共数据、内部数据、已分类数据和合规要求的数据。注企业中每个流程相关联的数据类型非常重要,因为攻击者通常不会窃取所有类别的数据,而是会有针对性地下手。很多时候,攻击者和内部人员会获取非常具体的数据,因此,将数据合理分类后,再有针对性地进行保护,才能有效防御威胁。
内部威胁项目
内部威胁是每个组织面临的一个非常独特的安全问题,因此需要配置专门的资源来解决这个问题。有能力的企业最好设置一个全组织范围内的内部威胁项目,这个项目具有统一的愿景和使命,包含多个角色、不同的职责以及专业培训。内部威胁项目的参与者最好包括人力资源、法律、IT、工程、数据所有者和部门主管。最重要的是,这种项目应该只向企业中最值得信赖的员工开放。
内部威胁项目的主要目的是建立相关的信息、协议和机制,以检测、防范和应对内部威胁。内部威胁项目应包括:任务、详细预算、管理结构和共享平台。
内部威胁项目的主要工作内容如下:
合规与流程监督委员会:负责审查组织现有的工作流程,并在发生数据泄露之前提出变更建议;
报告机制:办公室政治、集团行为和一系列其他因素都可能阻碍员工举报可疑行为。因此需要设置保密机制,保护举报可疑人员的员工,防止举报人遭遇报复;
事件响应计划:如果内部威胁已经发生、数据已经泄露,仅仅解雇员工并向当局报告还不够。如果制定了内部事件响应计划,管理者就能更加清楚地了解到警报是如何识别、管理和升级的。此外,内部威胁的行为与流程的具体时间范围也能在内部事件相应计划中体现。
专业培训:内部威胁培训详细介绍了组织中所有人员的安全意识培训计划。但是,直接参与内幕威胁项目的人员需要接受更专门的培训,以便更好地检测和缓解内部威胁;
基础设施:这一部分主要是检测、防范和应对内部威胁的基础设施,包括协助管理层实现使命的技术。应该定期审查部署的技术以获得最佳选择。
典型的内部威胁项目总共包含十三个组成部分,除了上述重要环节,其他的还包括:公民自由保护、沟通框架、内部威胁方案支持政策、数据收集工具、供应商管理和风险管理整合等。
安全审查和监督(HR)
在雇用人员时,最好对候选人进行详细的背景调查。虽然企业在招人时也会进行背调,但如果涉及网络安全层面,招聘过程的调查只是人员审查的第一步。最应当关注的就是犯罪历史和就业经历。有时候,造成内部威胁的人员很可能是处于商业目的或者政治目的间谍,他们可以通过各种渠道赢得信任、进入企业。
NIST 网络安全框架建议组织应为每个职位设置风险等级。风险级别越高,工作岗位所需的信任和安全先决条件就越多。当雇佣新人进入风险较高的职位时,监管人员应该对他们进行高风险行为的监督。此外,最好记录所有异常事件并分析行为趋势。行为分析和风险分析技术是这一过程中需要用到的重要技术。
人力资源部门还应该准备一份终止协议,以便在员工出现可疑行为是随时辞退他们。这份协议应要求管理人员进行离职面谈,提供最终绩效评估,并讨论最终薪水安排。企业的 IT 专业人员应删除所有离职员工的账户。对于离职前为特权用户的员工,应当在他们离职后更改所有共享密码。人力资源部门需要再次向离职员工阐明与知识产权相关的规定。
形成健康的企业文化
这一部分看似与内部威胁关联性不大,但是有证据表明,在高压环境中工作,可能让员工形成消极的态度,导致他们更容易犯错。如果管理者没有注意到这些负面情绪和影响并采取缓解措施,那么员工就会觉得被忽视,甚至降低对企业的忠诚度。在这种情况下,他们更有可能做出不利于企业发展的事,甚至实施会对企业造成威胁的行动。因此,设置合理的业务考核标准,营造良好的工作氛围、行程健康的企业文化,也有助于增强员工信任感,减少企业可能遭遇的内部威胁。
供应商管理流程和政策
要想应对复杂的内部威胁,除了企业内部采取防范措施外,对供应商和业务合作伙伴的安全管理也是重要一环。依旧以外卖平台信息泄露为例,其中的网络运营公司就是供应商环节的泄密。因此,企业还需要设置供应商管理流程和规则,拟定一系列协议,用于企业与供应商合作过程中的问责和监督。供应商管理流程和规则主要依赖企业管理层制定,如果没有相关的详细计划,企业的安全人员只能在威胁发生后救火,而无法防范于未然。
供应商管理流程主要包含四个阶段:定义、规范、控制和整合。定义阶段主要用于确定组织中最关键的供应商,此处关键的标准是一旦与供应商的关系出现问题,企业的运营和收入都会受到负面影响。规范则涉及为每个合作的供应商指定安全联络人,其职责是维护合规知识、执行审计过程、促进安全通信、提供培训、跟踪合同和所有文件,并实施监督。
供应商政策应当包含的重点内容有:审核安全控制的权利、供应商遵守监管的要求、安全绩效报告以及及时上报任何数据泄露事件。最后阶段是整合,主要关注数据收集、分析和验证。收集到的信息需要与企业现有的安全实践和审计程序相结合,才能更好地发挥作用。
安全意识培训
如今,国内企业已经逐渐意识到安全意识培训的重要性。除了普通的安全意识培训之外,企业还应当针对不同的群体进行有针对性的培训才能达到最好的效果。
首先是针对领导层、管理层的培训,前文所说的方法如果没有管理层的参与,是无法落地实施的。只有管理层意识到内部威胁的严重性,有了防范意识,企业内部的防御才能顺利实施。安全专业人员最好定期总结威胁情报并回报给管理层,让他们了解到这些威胁对于企业的财务状况和声誉所造成的严重影响,进而引起他们的重视。
其次是针对企业内安全专业人员的培训,他们直接负责安全业务,但也可能存在一些误区。需要让他们意识到,安全工具不代表一切,更难以防范来自内部的威胁。安全工具只是动态问题的静态解决方案。但人永远是多变的,他们总能找出破解或者绕过工具的方法。因此,安全专业人员不能依赖工具而高枕无忧,他们必须时刻准备好面对各种变化。此外,他们也应当意识到,一旦出现问题,最好的办法是及时通报而非刻意遮掩。哪怕管理层对此并不重视,也应当承担起作为安全专业人员的责任,直面问题并尽力解决问题。
最后,针对普通员工,定期进行培训和考核,在公司显眼位置张贴宣传语或播放宣传视频,在潜移默化中培养员工的安全意识与安全习惯,不失为一种好方法。
技术层面的防范
除了上述的理论层面,在技术层面也可采取一定的措施来防范内部威胁,以下列举部分常用办法:
加密存储,对数据进行业务管理:即负责某一项业务的人,只能在一定范围内看到一部分数据;
数据分级管理:即下层业务人员如果要查询某些数据,必须要得到上级或相关业务管理者的临时授权;
数据协同管理、内部流量管控;
基于蜜罐、蜜标的内部威胁检测;
实施 BYOD 政策,增强身份认证和识别;
加强用户行为分析(UBA)
监管部门也当亮剑
国内内鬼猖獗的原因除了企业安全意识不强、监管不严格,还有最重要的一点就是暴利诱惑以及犯罪成本太低。因此,近年来监管部门也逐渐加大了立法和执法力度,从法律和监管的角度遏制内鬼泛滥。
在“两高”发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中明确规定,对于公民的行踪轨迹信息、通信内容、征信信息、财产信息,只要非法获取、出售或者提供50条以上,即构成“情节严重”。而对于住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息,标准则是500条以上。对于其他公民个人信息,标准为5000条以上。
而对行业“内鬼”,《解释》则降低了入罪标准。《解释》规定,在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到司法解释规定的相关标准一半以上的,即可认定为刑法规定的“情节严重”,构成犯罪。
还要知道,泄露公民的个人信息是刑事犯罪。《刑法修正案(七)》规定:
金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或非法提供给他人,情节严重的,就可以构成犯罪。卖家违法搜集订餐客户信息,作为“商品”肆意倒卖,严重侵犯公民权利,理应受到法律追究和惩罚。
当然,我国对于企业应当遵守的信息安全规范也有相应的规定。《网络安全法》明确要求,“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”,“应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失”。否则,可作出警告、罚款、吊销营业执照等处罚。严格保管客户的隐私信息,是运营者的法定责任。
随着公民和企业安全意识的增强、随着立法不断细化落地、随着各类措施和流程的不断完善,内鬼泄密的情况也许能有所缓解。但是,“人永远是最薄弱的环节”,攻防之战中,我们也只能永不停歇地前行。
本文转自FreeBuf,作者AngelaY。更新于2018年5月8日