内部威胁那些事儿(三):信息窃取

      内部威胁那些事儿(三):信息窃取无评论

内部威胁那些事儿(三):信息窃取

一、引言

前面两章我们先是从宏观层面整体介绍内部威胁现状,然后引入了全面刻画内部威胁的行为模型;根据内部威胁动机与破坏目标的不同将当前威胁分成系统破坏、信息窃取与电子欺诈三类基本威胁。

然后我们开始从局部深入分析每种基本威胁类型的特征与行为模式,从系统破坏威胁的分析中,我们获知此类威胁的动机通常是出于不满而实施报复,因此应当从内部人行为与技术特征两方面监测可以表征其心理不满与实际破坏的重要指示器;应对此类威胁最重要的建议是,最小化员工因期望落空而不满概率与程度,从根本上预防此类威胁。

第一章传送门:内部威胁那些事儿(一) http://www.freebuf.com/news/special/104030.html

第二章传送门:内部威胁那些事儿(二)http://www.freebuf.com/articles/security-management/105166.html

今天我们一起来分析第二类基本威胁:信息窃取。其实此类威胁在实际中更为常见,至今最为著名的信息窃取类攻击莫非2013年“棱镜门”:斯诺登利用其安全部门承包商雇员的职务便利获得对关键性系统的访问权,随后从美国国家安全局拷贝了数十万份机密文件,并将这些资料提供给英国《卫报》与美国《华盛顿邮报》两家著名媒体的记者进行发表。机密信息泄露的直接后果就是美国国家安全局与联邦调查局于2007年就启动的美国有史以来最大规模的秘密监控项目得以曝光。

美国情报机构得以从各种公共网络数据中分析包括音视频、图片、文档、邮件等多种数据,关联个体行为,从而监视监听民众通话与网络活动的目的。“棱镜门”事件可以看作是具有代表性的内部威胁案例,一方面攻击者来源于美国安全部门内部,与传统的黑客入侵手段无关,仅仅利用职务权限就可以窃取机密信息,技术门槛较低;另一方面受威胁方位国家安全部门,直接影响的是国家安全防御机制的有效运行,可以说其政治影响十分明显,不仅使美国政府因此而陷于道德与舆论漩涡被动之中,也造成世界其他国家提高警惕,防范来自网络的窃听攻击。

接下来,我们将从基本概念、威胁模型等角度进一步分析信息窃取类威胁。

二、基本介绍

分析信息窃取威胁的第一步是弄明白何谓“信息窃取”?美国CERT中心曾经从知识产权的角度给此类威胁下了一个定义:

内部人利用信息系统窃取组织的知识产权,组织包括企业、政府以及各种机构。  

上述定义围绕窃取的“对象”知识产权进行定义,我们认为内部人窃取对象绝非仅限于此。根据百度百科的定义,知识产权指“权利人对其所创作的智力劳动成果所享有的财产权利”,所为智力创造一般如发明、文学或艺术作品,以及商业中使用的标志、名称、图像以及外观设计等;具体到工业领域,则包括专利、商标、服务标志、厂商名称、原产地名称等。实际案例中,多数以窃取知识产权为主,但是不能排除窃取组织信息与客户数据的威胁行为,如销售部门人员在跳槽前窃取客户信息,从而方便在新单位开展工作等。因此,我们定义的信息窃取中信息的外延包括知识产权、组织信息(结构设置、工资福利数据、安全策略等)以及业务所需的客户信息三部分。常见易被内部人窃取的信息有:

1. 软件著作权,如源代码等;  2. 业务数据:商业计划书、提案、战略规划以及客户数据等;  3. 产品信息(设计方案、图标公式、整体框架等);  

一个误解是内部信息窃取的攻击者都是系统管理员?非也,管理员貌似替很多其他人背了黑锅。信息窃取的核心当然是核心信息访问权,而系统管理员并非具有任意信息的访问权,因此潜在攻击者只需要具备相应信息访问权即可。通过统计分析CERT数据,我们发现绝大多数的窃取信息者都是企业员工,职业则主要是科学研究人员、工程师、程序员以及销售人员;不应着重警惕男生,女生同样是潜在攻击群体。

另一个误解是内部人窃取信息主要用来卖钱吗?是,也不是。少部分人窃取了企业知识产权等信息用于出售,但是这样的人毕竟眼光狭隘,只看重眼前利益。作为能够接触核心信息的高级员工,一般都会利用到手的有价值信息谋求更大的发展机会,即多数选择另谋高就,跳槽到竞争企业,坑老东家无下限。

至于信息窃取威胁的危害显而易见,我想大多数企业管理人员最痛恨此类“叛徒”,因为内部人直接损害企业安身立命的根本,为企业带来巨大损失;单是CERT数据中信息窃取威胁造成的平均经济损失在135万美元,而实际中未发现的威胁的潜在损失则平均在1亿美元。

三、威胁模型

在了解到信息窃取威胁的基本介绍后,我们来开始威胁模型的分析。在实际的案例中,根据窃取信息时的攻击者数量关系,我们可以将其分为两类:

1. 个人信息窃取:内部人具有目标信息的访问权,因此自己窃取信息后跳槽谋求新职位;  2. 团体信息窃取:内部人本身不具有目标信息的访问权,必须招募其他内部伙伴一起窃取信息;  

我们分别为两类窃取威胁建立行为模型,个人信息窃取模型如图1:

内部威胁那些事儿(三):信息窃取

有上图可以看出,内部人因为待遇问题处于不满的心理状态,若此时有外部竞争对手抛出“橄榄枝”,提议带着核心信息去跳槽,则内部人就会窃取信息;对于内部威胁行为,我们均建议同时从信息系统痕迹与实际行为两方面综合监测。

对于团体信息窃取模型,如图2:

内部威胁那些事儿(三):信息窃取

团体与个体的不同在于增加了伙伴招募环节,并且存在一个组织、计划多人窃取信息的时间窗口;最终依旧可以从信息系统痕迹与实际行为两方面进行检测。接下来我们将分别讨论两类威胁,相同的部分不再重复。

四、个体威胁

个体威胁的重点是行为动机。其动机产生的根源依旧是不满,而不满则主要来自于权利方面。

内部威胁那些事儿(三):信息窃取

首先我们来看看这些内部人为什么会有独特的权利意识。由于从事的工作是企业的技术核心业务,如写源代码、开发项目产品等,所以这些高级员工不同于普通雇员,具有很强的主人翁意识;这种主人翁意识导致其具有独特的权利意识。一般来说,高级员工工作的时间越长,参与的项目越多,这种主人翁意识就越强,因此相应的权利意识也就越强,最终导致与普通雇员不同的权利期望。

当这些高级雇员的主人翁意识迅速增强时,而其权利诉求被拒绝后,就会滋生对企业的不满;如果同阶段恰好有外部企业提供权利更高的新职位,那么足够程度的不满与更好的选择就会形成攻击的动机,最终启动一次信息窃取攻击。

内部威胁那些事儿(三):信息窃取

那么我们应当如何判断这些高级员工不满呢?我们可以从容易引发不满的事件入手,通过监测这些事件,就可以判断员工的不满;当然下述事件只是其中一部分,更多事件需要管理部门根据自身情况确定。

易引起员工不满的事件:  1. 拒绝其知识产权所有权申请;  2. 经济补偿纠纷;  3. 拒绝福利待遇提高的请求;  4. 糟糕的工作环境;  5. 反对风险资本融资;  6. 同上级矛盾;  7. 错失晋升机会;  8. 解雇;  

了解了攻击动机,我们来分析下可以从哪些方面应对。 

1. 高级员工一般只能访问自己参与的项目或组织信息,因此根据核心信息的访问权确定一个内部人列表,重点监测

2. 制定灵活的访问控制策略,经常检查内部人的访问权变化,做到访问权限随着职务岗位随时变化。

五、团队威胁

团队配合的信息窃取行为关键在于存在一个Leader,该内部人最早制定了信息窃取计划,并且招募了其他内部伙伴。这类攻击与个体行为不同,攻击者不再局限于自己参与的项目的信息数据,而是希望可以获得项目的整体数据或者某个生产线的全部工艺;由于自己的权限明显不够,因此必须招募拥有其他信息访问权的伙伴一起行动。

攻击动机方面,从CERT数据中的案例来看,50%以上的Leader想要研发类似的产品或者使用窃取的信息拉拢原单位客户;38%的Leader受雇于竞争对手,而只有10%的Leader是为了售卖信息获利。此外,超过33%的案例中有外国政府或企业参与,其中多少参与政治背景因素。与个体威胁类似的部分我们不再重复,而是着重关注团队威胁特有的因素。第一个因素是“计划”。

1. 计划阶段

具有Leader的威胁团队明显更有计划性,在正式攻击前,会有一个明显的计划阶段,该阶段主要用于招募内部伙伴、制定信息窃取计划、建立新事业、考虑逃避检测方案以及与外部雇主联系等。

内部威胁那些事儿(三):信息窃取

上图中反映了Leader的计划阶段,这其中包括事先确定窃取的信息目标,指定反检测方案等。具备计划阶段的特征是非常有力的检测指示器,通常计划时间窗口为内部人离职前一个月。一般来说,计划阶段通常有以下行为:

-1. 确定要窃取的信息目标,分析其所需要的访问权;

-2. 根据访问权与友好度确定招募的内部伙伴,这里有两类:一种是内部伙伴明确要窃取信息,因此是主动参加;另一类则是Leader伪造上级命令等要求伙伴配合,这是一种被动的配合关系;

-3. 根据伙伴招募的情况,自己通过主动请缨的方法,提高自己的访问权;

-4. 与外部竞争对手联系,共同谋划,确定信息目标以及攻击方案;

2. 访问权改变

一般来说,Leader的访问权无法获得全部的目标信息,因此一种常见的做法是主动请求参与一个具有更高权限的项目,从而可以获得目标信息的访问权。如Leader初始具备项目A的访问权,而为了获得信息B,主动请求参与要求更高访问权的项目B+,从而间接具备了信息B的访问权。

3. 联系关系变化

由于Leader招募内部伙伴一起窃取信息,因此需要通过邮件、IM等方式联系。从内部人的邮件联系图或IM对话记录中可以建立起社交模型,然后分析模型的变化,包括新朋友(内部伙伴)的增加与原有朋友联系频率的变化。从联系关系变化角度也可以一定程度上反映计划阶段。

六、初步建议

应对信息窃取类内部威胁,不能再局限在单一的技术层面,必须从技术分析、心理侧写以及管理优化等多个方面采取应对措施。

1. 信息泄露途径监测

内部人窃取信息后,总要通过某种方式将信息发送出去,最常见的莫过于邮件附件与移动存储设备(U盘)。因此对于可以接触核心信息的重点用户或部门实施严格的出入检查是有效杜绝信息泄露的方法。美国CERT中心基于已有数据分析了常见的信息泄露途径,方便企业根据自身情况进行相应的检查:

内部威胁那些事儿(三):信息窃取

内部威胁那些事儿(三):信息窃取

内部威胁那些事儿(三):信息窃取

上表中的信息泄露方式可以归为虚拟与物理两类;而虚拟方法又可以分为主机和网络。主机层面要做好安全系统审查,建立深入全面的主机活动审计;网络方面要在防火墙上建立信息采集模块,检查邮件、FTP等重要网络行为;物理领域要建立严格的出入检查制度,尤其是移动存储设备、个人电脑、手机等具备电子存储功能的设备,以及物理文档等。

2. 多维角度检测

如本章所述,单纯的技术方案已经无法应对日趋愈烈的内部威胁。对于信息窃取威胁,应当结合技术监测、心理侧写等多个维度建立检测机制。

技术监测着重在用户信息系统痕迹上捕捉记录,刻画用户行为,对于信息窃取威胁应特别关注邮件信息,尤其是邮件的收发双方,及时检测出内部人与外部竞争对手的联系,把好外部因素这道关;对内邮件关系分析重点是内部人联系图的异常检测,以2个月为时间窗口,刻画Leader的计划阶段,从而发现潜在的内部威胁团伙。

最后,我们介绍CERT给出的对于信息窃取威胁非常有意义的指示器,当满足其中的指示器时,需要对相应内部人进行重点关注:

由左至右:  1. 员工有过在竞争对手处工作的经历;  2. 雇佣状态改变(如长期合同-->短期合同)  3. 外国背景;  4. 工作忠诚度(反映易招募指数);  5. 在家里未授权下载企业数据;  6. 未授权下载数据到移动存储设备;  7. 在职员工投简历等找工作行为;  8. 与竞争对手的邮件联系;  9. 与竞争对手的谋划;  10. 使文件保护机制失效;  11. 未授权数据导出;  12. 副业;  13. 隐瞒违法行为;  14. 安全部门关心的行为;  

内部威胁那些事儿(三):信息窃取

七、参考文献

1 科研人员偷卖90项国家绝密情报 http://news.sina.com.cn/o/2016-04-19/doc-ifxriqqv6232884.shtml

2 维基百科:https://en.wikipedia.org/wiki/PRISM%28surveillanceprogram%29

3 Lawrence A. Gordon, Martin P. Loeb, William Lucyshyn, and Robert Richardson. CSI/FBI computer crime and security survey, 2006

4 Kroll and Economist Intelligence Unit, “Annual Global Fraud Survey, 2011/2012,” 2012

5 The Seven Largest Insider-Caused Data Breaches of 2014, C Preimesberger, , 2014

6 2014 US State of Cybercrime Survey, US CERT, Camegie Mellon University, 2014

7 The CERT Guide to Insider Threats, 2012

8 A Survey of Insider Attack Detection Research, Malek Ben Salem, Shlomo Hershkop, Salvatore J.Stolfo, 2008

9 Detecting Insider Threats in a Real Corporate Database of Computer Usage Activity, Ted E.Senator, Henry G. Goldberg, Alex Memory etc. KDD’13

10 Understanding the Insider Threat: Proceeding of a March 2004 Workshop, Technical report, RAND Corporation, SantaMonica, CA, March 2004, Richard P. Brackney and Rober Helms Anderson.

*本文原创作者:木千之,本文属FreeBuf原创奖励计划,未经许可禁止转载(FreeBuf.COM)

发表评论