員工風險評估:發現高風險員工從而提高安全
在當今的信息安全環境中,我們經常聽到來自外部攻擊者(例如有組織的犯罪和國家)的高級持續威脅然而,信息安全從業人員還需要擔心內部威脅。這種威脅關系到那些能訪問組織數據、文件和IT系統的員工、承包商或是分包商,他們可能心懷不滿或是感覺“有責任”來偷取有價值的知識產權信息。他們的動機可能有所不同,從政治原因到個人忿怒、或是單純的貪婪。
本文提供了廣泛的總結,涉及內部威脅及內部威脅檢測最佳方法的關鍵問題。企業可能需要更新一些公司策略和實踐來更好地保護IT系統及知識產權資產。
內容目錄
內部威脅的類別
如何識別高風險的員工
數據是如何被竊取并拿走的?
如何應對增長的內部威脅風險
解決內部威脅風險的實際方法
內部威脅的類別:
據卡耐基梅隆大學的CERT內部威脅中心(該中心提供關于內部威脅的全面和權威的研究結果)以及我的個人經驗來說,內部威脅的關鍵類別包括下述內容:
蓄意破壞IT系統——破壞公司的IT系統或是偷取IT資產(例如偷取源代碼、私有程序等等)來進行報復。
業務優勢驅動——員工或是承包商偷竊公司的數據以便在他們新的雇主那里擁有優勢,后者通常是公司的競爭對象、或是計劃在他們開始的新業務上獲得優勢的雇主。
經濟利益驅動——這種類型犯罪通常涉及到欺詐,例如竊取社會保險號、信用卡和CVV編號等信息,掙錢是首要目標。
商業間諜活動——主要的動機是為別的公司或國家做間諜,并且為了政治上的利益直接將偷取的資產給“敵人”;在此類案例中也經常涉及到金錢,這把我們又帶回到了經濟利益驅動類型。
如何識別高風險的員工
為什么公司的內部人員想竊取數據、程序、源代碼、銷售策略等信息呢?動機通常是主要由兩個本能的問題所驅使:自我和貪婪。
識別高風險員工的最佳做法是觀察他們的行為。他們敵視他們的上司和同事嗎?他們在職權方面有沖突嗎?他們的工作表現有下滑、或他們遲到或缺席比平時多嗎?在正常的工作時間之外,是否有他們任何過度的工作、或是網絡上活動的證據?
同樣對于經濟利益驅動類型來說,員工是否欠債累累?他們是否在濫用毒品?他們是否開新的、昂貴的汽車,或是通過穿戴珠寶、昂貴的服裝,甚至是昂貴的小玩意來炫耀?這些可能是暴露真相的跡象,他們可能是潛在的竊取數據的內部威脅人員。
誰造成最大的風險?內部威脅心理學
以下類型的員工、承包商和分包商應引起企業的關注。尋找以下特征,將其作為你進行員工風險評估的一部分:
心懷不滿的員工——這些通常是感覺自己不被尊重的員工,可能是由于錯過期望的薪水提升機會,或是在個人利益、休息時間、降職、職位調動或是其它類似的問題上與管理者發生負面沖突。在這種情況下,報復是員工的動機。
尋求利益的員工——對于許多人來說這是簡單的動機。他們為了薪水工作,然而通過竊取信息他們能售賣偷到的信息給有組織的罪犯、或是修改數據來竊取別人的身份從而獲得更多的錢。對員工來說,這些信息很容易訪問并竊取,再加上偷竊行為可能被合理化,因為惡意的內部人員可能對自己說“公司也不會覺察到”。這種情況下,個人動機可能包括大型的金融,或是與毒品相關的債務。
員工打算跳到競爭對手那里或是自己創業——對于打算在同一領域自己創業的人來說,竊取客戶名單、商業計劃、甚至是簡單的表格或是模版都很有誘惑力的。此外,想象一下員工離開公司為競爭對手工作。可能競爭對象已經暗示員工,在入職時信息的交換能讓他得到更好的位置。
認為他們自己擁有源代碼或是產品——在這種情況下,員工對于他們寫的源代碼或是開發的產品有一種擁有權的感覺。因此他們帶走源代碼用于未來或是下一份工作使用。
據CERT內部威脅研究中心的研究,對于內部人員威脅/偷竊來說造成最大風險的員工包括技術職員,如工程師和科學家,管理人員,銷售人員和程序員。雇主應特別關注那些在部署的IT系統上擁有管理員權限或是特定用戶的員工。這些員工了解系統的強處和弱點。他們可能是“心懷不滿的怪人”在系統內植入邏輯炸彈或是破壞數據,這些造成的問題直到他們離開公司數月或是數年后才會被發現。#p#
數據是如何被竊取并被帶走的?
一旦數據、源代碼或是知識產權被竊取,必須被轉移到一個能夠實施員工計劃的地方。以下是途徑列表,用于提取將被惡意使用的信息:
電子郵件——對于小于10GB的數據來說,電子郵件是最簡單的傳輸方法。員工可能使用公司的郵件將信息發送到個人或是同伙的郵箱賬戶。此外,web郵箱(網頁郵箱)可以被用來訪問個人的郵箱賬戶并且郵寄數據給別的賬戶。當然,數據可能需要發送給別的目標如某個國家,所以郵件服務能再次用于直接給目標發送數據,或是通過個人郵箱賬戶發送給目標的國家或有組織的罪犯。
文件傳輸協議(FTP)——竊取的數據可以上傳到由員工、或是目標罪犯建立的某個FTP站點。對于更大的文件這是最佳的方法。
可移動媒介——隨著可移動媒體設備的普及,這是從雇主的系統中帶走數據最容易的方法。USB驅動器、CD/DVD燒錄器、移動硬盤、內存卡、便攜式音樂播放器甚至于手機都能用來拷貝信息并帶出辦公室。偷偷摸摸地使用物理存儲意味著信息可能被郵寄給員工或是壞人。
移動設備——下載信息到公司配備的便攜電腦或是員工自己的智能手機、平板電腦、或是其它移動設備上,是另外一種拷貝數據并且帶走的手段。
遠程訪問——遠程訪問公司的網絡是另一種訪問網絡以便竊取信息的方式。在CISO分配給我的某個任務中,一名員工在他的家里搭建自己的SSH服務器,并且能夠遠程地連接到公司網絡、或是反向連接到他的服務器來帶走數據。他是公司的“技術發燒友”之一,所以技術上他是精湛的,并且知道為了他的目標如何打開端口、建立服務等等。
紙張——打印數據和復印知識產權是一種快速、簡單的收集數據并帶走數據的方法。
拍攝和截屏——在辦公室手機照相機已經泛濫。除非系統規定阻攔,員工能夠進行簡單的屏幕拍攝并且隨后離線郵寄或是下載。
諸如即時信息、或是短消息服務(SMS)的方法也可能包括在上述列表中。不要忘記加密是很容易實施的方式。免費工具諸如TrueCryt能夠使用AES、Serpent、Twofish或是組合的算法加密數據,因此防止員工看到竊取的信息。
如何應對增長的內部威脅風險
公司需要持續關注內部威脅。即使是在最好的公司,也存在員工的人力資源問題。然而當宣布人員解雇或是解聘時,管理層應該特別警惕內部偷竊行為。同樣,如果好幾個員工打算跳槽到正在積極地招聘、或是打算進入公司業務領域的競爭對手那里怎么辦?如果一組承包商完成了他們的工作并且打算離開該怎么辦?那些懷有怒氣并且感覺他們的權利被侵犯的不滿員工怎么應對?這些情形都應該引起對內部威脅的警惕立場。
記得提早建立一個管理內部威脅問題的計劃。早在威脅發生前應該采取下面這些步驟:
1.確保組織遵守聯邦和各州的法律和規章關于隱私權、個人權利等。在歐盟的讀者要確保組織遵守歐盟的隱私要求。
2.讓董事會管理層包括CEO,以及其他團隊包括IT、信息安全、隱私、物理安全、法律和人力資源的管理層參與進來。使他們意識到任何隱約出現或是可能的威脅(可能的話讓他們閱讀本文!)。
3.決定恰當的時間來讓外部顧問、法律執行機構、FBI、秘密服務等介入。無論這些團體是否遲早晚要參與進來,或者如果是正在執行任何聯邦的敏感工作永遠不會取決于公司的合同。
據CERT內部威脅中心進行的研究,IT系統最可能發生內部偷竊/惡意破壞的時間是在員工離職的30天內。因此可能需要額外的關注包括使用技術上的監控手段(例如日志)以及行為監控,它們在這個期間內是恰當的。#p#
解決內部威脅風險的實用方法
對于大多數的信息安全方法來說,需要實施分層防御手段來減少內部威脅的發生。技術上,可以用先進的日志及日志過濾技術來監控高風險的員工。要監控的活動包括傳輸或是郵寄的大文件,給競爭對手的郵件、發往他們個人郵箱地址的大量郵件和文件,以及發往不合情理的國家或是異常站點的文件。
對于此類監控行為必須再次重申,所有的活動需要遵守法律規定。
以下是組織內不同部門的其它工作思路的列表,能夠用于保護組織的數據免于內部威脅:
人力資源部門
對所有可能的員工、承包商和分包商進行背景檢查。確保包括工作經歷驗證、犯罪記錄檢查以及相關的推薦人驗證。
對于任何將要處理金錢、金融設備、高價值資產等等的員工進行信用檢查。坦率地說,隨著所有人關注我們艱難的經濟,對新員工、承包商、分包商進行信用檢查也許是有用的審核過程。這能確保新員工不是高風險的,因為他們絕對不會需要金錢來還債。
監控異常的財務狀態變化
為監督人/經理以及員工建立關于內部威脅的定期培訓機制,并且培訓秘密地報告可疑行為或是個人的方法。
監控并報告搗亂的或是可疑的活動。甚至在雇用期間對涉及任何破壞行為的人進行背景檢查。
對可能影響工作場所的負面消息或是謠言提前采取行動并管理。
一旦雇用關系中止,則禁用員工的計算機訪問和遠程訪問。值得注意的是,一些公司一旦收到辭職申請后就立刻禁用計算機訪問,以便更好地保護數據和系統免于傷害。
制定內部威脅事件的應急預案。這可能是你的工作場所破壞計劃中的一部分。
報告外部人員在工作場所的可疑聯系。這可能是有組織的罪犯或是間諜代理人在收集/移動數據或資金。
管理部門
創建清晰明了的文檔并強制執行策略、流程以及控制措施來防范內部偷竊/威脅。
強制執行職責分離和最小權限。不允許員工訪問沒有理由查看、獲取或是下載的信息。同樣,確保財務上的任務是分隔開來的,例如保持對應付賬款和應收賬款的訪問是分隔和不同的。簡單來說,組織不想讓某人根據以欺騙手段寫的賬單來開發票。
?限制使用便攜媒體,或是在某些環境下禁止使用。
提醒員工——并且讓他們簽署確認聲明:他們創建、管理、使用的知識產權屬于公司而不是員工。
審計關鍵的行為(例如支票和支付準備工作以及郵件),并且審計任何可能用于操縱帶走資金的異常過程。
對IT資產和數據實施并強制執行恰當的使用策略。強調對敏感或是有價值的信息進行恰當的處理和管理。
技術實踐
從技術上限制員工只能訪問系統上完成工作需要的文件和數據。
最小化或是限制管理員的權限,并且不使用共享的用戶名和密碼。
記錄、監控和審計員工線上的行為。同樣要確保此類活動的合法性。
實施安全備份和恢復機制,并且確保備份數據沒有被破壞。
阻攔對個人郵箱、web郵箱和競爭對象郵箱的訪問。
自動標識不匹配的數據(例如給某公司的付款與發票的數額)。
未來的挑戰
我們必須面對的事實是,內部威脅可以(很可能已經)在每個企業內發生。隨著不斷增長的業務競爭全球化本質,內部威脅挑戰的增長不會讓我感到驚訝,同樣還有對于我們的IT系統來說,不斷增長的外部信息安全威脅。組織必須始終保持對內部威脅的警惕,包括為系統不可避免的風險制定計劃。熟知這些風險,并為這種可能性做好準備,良好的組織將受益于知曉如何快速地響應,以便減少或是防范內部威脅的發生。
【編輯推薦】
