日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

觀察這些年的信息泄漏案件比例，內(nèi)部威脅在快速上升。內(nèi)鬼的范圍其實(shí)很多，傳統(tǒng)上安全會(huì)抓賬號(hào)泄漏、橫向移動(dòng)之類。但如果是商業(yè)間諜、搞破壞、內(nèi)部欺詐這些行為，安全上基本上沒(méi)能力管。很多安全同學(xué)吐槽，安全在公司不受重視，得不到資源，在我看來(lái)，是安全目前做的這些事相對(duì)于公司的大風(fēng)險(xiǎn)來(lái)看，太小，在高層那里不受重視理所當(dāng)然，當(dāng)安全有能力為公司發(fā)現(xiàn)、收斂更大的風(fēng)險(xiǎn)，地位當(dāng)然會(huì)上升。如果你有能力抓內(nèi)鬼，匯報(bào)層級(jí)也會(huì)直線上升。本文要和大家說(shuō)的就是：怎么抓內(nèi)部威脅。

創(chuàng)新互聯(lián)建站專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于網(wǎng)站制作、網(wǎng)站建設(shè)、萬(wàn)年網(wǎng)絡(luò)推廣、成都小程序開發(fā)、萬(wàn)年網(wǎng)絡(luò)營(yíng)銷、萬(wàn)年企業(yè)策劃、萬(wàn)年品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運(yùn)營(yíng)等，從售前售中售后，我們都將竭誠(chéng)為您服務(wù)，您的肯定，是我們最大的嘉獎(jiǎng)；創(chuàng)新互聯(lián)建站為所有大學(xué)生創(chuàng)業(yè)者提供萬(wàn)年建站搭建服務(wù)，24小時(shí)服務(wù)熱線：18980820575，官方網(wǎng)址：www.cdcxhl.com

[[279928]]

一、內(nèi)鬼動(dòng)機(jī)及范圍

內(nèi)鬼的動(dòng)機(jī)一般包括：搞破壞、竊取數(shù)據(jù)、欺詐、商業(yè)間諜、無(wú)意犯錯(cuò)、偶然間裝逼犯。內(nèi)部人員作案一般是一個(gè)持續(xù)過(guò)程，在這個(gè)過(guò)程中有逐漸變化，最后到事件一次發(fā)生，多次得手。

內(nèi)部人員的范圍并非是“純粹”內(nèi)部人員，也包括生態(tài)上下游合作伙伴、外包、訪客等任何具有內(nèi)部訪問(wèn)權(quán)限或數(shù)據(jù)的人。給一個(gè)清晰定義，就是基于知識(shí)、訪問(wèn)、信任的角色。

所謂知識(shí)，如果一個(gè)人知道系統(tǒng)的位置、防御措施可被繞過(guò)，則為掌握了相關(guān)知識(shí)。常見例如系統(tǒng)的開發(fā)人員可能知道產(chǎn)品的幾個(gè)0DAY，離職員工掌握測(cè)試系統(tǒng)賬號(hào)密碼等。

從技術(shù)角度看，IT系統(tǒng)驗(yàn)證憑證有效性，允許訪問(wèn)資源。因此任何獲得憑證的人都可被視為內(nèi)部人員，也即訪問(wèn)角色。即使系統(tǒng)有多因素認(rèn)證，內(nèi)部人員也可把短信驗(yàn)證碼之類的驗(yàn)證要素提供給其他人員，所以從這個(gè)角度來(lái)說(shuō)，IT系統(tǒng)很難完全防范。

還有一種是信任角色，最簡(jiǎn)單可理解為你的合作伙伴、外包等人群，也包括內(nèi)部人員。這些人群獲得公司一定程度的信任，可以獲得部分權(quán)限資源，并且以公司名義活動(dòng)。例如公司的用戶數(shù)據(jù)如果泄漏，在監(jiān)管和輿論來(lái)看，這就是你的問(wèn)題，而不是外包或代理商。

通常內(nèi)部抓到的壞人處于公司形象的問(wèn)題不會(huì)公開，而由于不會(huì)公開，所以實(shí)際案例可能比我們看到的多的多。但其實(shí)你可以從法院的公開判決文書找到很多案例。對(duì)內(nèi)部壞人的處理邏輯，首先是內(nèi)部調(diào)查，確定性質(zhì)和行為。再接下來(lái)是走司法程序，但事實(shí)上很多公司會(huì)開除且不聲張。

1. 破壞

對(duì)IT系統(tǒng)的破壞可能是大家最不重視的環(huán)節(jié)了，這些人往往都是技術(shù)人群，工作中有較高的系統(tǒng)權(quán)限，也是相對(duì)信任人群。如果這些人準(zhǔn)備刪庫(kù)跑路，實(shí)施起來(lái)很容易，業(yè)界此類案例屢見不鮮。

動(dòng)機(jī)主要是報(bào)復(fù)，不管是什么原因，總之是員工期望沒(méi)有得到滿足，可能是加薪升職，也可能是績(jī)效，也可能是和主管關(guān)系不好。案件一般發(fā)生在離職前后，有些情況是在系統(tǒng)放入后門，離職后進(jìn)行操作，例如前陣時(shí)間蕪湖某網(wǎng)管的案件，就是掌握了遠(yuǎn)程路由設(shè)備的密碼，然后更改配置進(jìn)行了破壞。其結(jié)果一般導(dǎo)致可用性、完整性被破壞。

2. 數(shù)據(jù)竊取

對(duì)很多公司來(lái)說(shuō)，數(shù)據(jù)或核心資料泄漏是最大擔(dān)憂，這一類案件層出不窮，從世界巨頭商業(yè)公司到政府部門。大公司數(shù)據(jù)泄漏還能活下來(lái)，很多小公司因?yàn)橐粋€(gè)配方、工藝的泄漏，可能就結(jié)束了。設(shè)計(jì)師、工程師、程序員和銷售最有可能，一般情況下獲取的是自己創(chuàng)造的信息。行為上可能發(fā)生在離開公司前后60天之內(nèi)，方式上有很多，郵件、網(wǎng)盤、U盤、拍照、打印等都有可能。

3. 內(nèi)部欺詐

這是公司里面最大的群體了，跟其他不同的是，其目標(biāo)是為錢。而這部分里面有相當(dāng)多是工資比較低的那部分人群，非專業(yè)、非技術(shù)人員。由于對(duì)錢的需求，所以這些行為可能持續(xù)較長(zhǎng)時(shí)間，如果有一個(gè)中低層主管參與的團(tuán)伙，則更容易獲得成功。內(nèi)部欺詐是破壞公司現(xiàn)有流程實(shí)現(xiàn)的，例如客服向用戶發(fā)放紅包，就存在內(nèi)外勾結(jié)的可能。除此之外，特權(quán)比較多的人員也是其中一個(gè)群體。

另外常見的一種情況是販賣用戶個(gè)人敏感信息，例如房產(chǎn)公司銷售會(huì)把用戶手機(jī)號(hào)賣給裝修公司。個(gè)人敏感信息相對(duì)套現(xiàn)比較容易，需求方也明確，獲取難度也不大。

4. 商業(yè)間諜

不要覺(jué)得商業(yè)間諜是一個(gè)遙遠(yuǎn)的事情，在當(dāng)前的商業(yè)競(jìng)爭(zhēng)形勢(shì)下，各種套取信息、混入內(nèi)部的案件比比皆是，只不過(guò)被公開報(bào)道出來(lái)的比較少。商業(yè)間諜不是在電視上看到的那種高大上間諜場(chǎng)景，又是色誘又是富家子弟什么的?，F(xiàn)實(shí)中他們既有可能來(lái)自競(jìng)爭(zhēng)對(duì)手，也有可能來(lái)自黑產(chǎn)，例如一個(gè)某寶店鋪，雇用了一個(gè)員工，這個(gè)員工有相當(dāng)多的某寶運(yùn)營(yíng)經(jīng)驗(yàn)，在獲取了用戶地址、聯(lián)系方式等信息后即辭職，去了下一家。而這個(gè)員工，就是間諜的一種，專門獲取信息獲利。

商業(yè)間諜在作案時(shí)間上和其他不同，他們可能偶然活躍一次，然后沉靜下來(lái)，直到下一次。

5. 無(wú)意威脅

前面的關(guān)注都是懷有惡意的內(nèi)部人員，無(wú)意威脅是那些可能沒(méi)有惡意動(dòng)機(jī)，但行為會(huì)給攻擊者提供入口，或?qū)Π踩珣B(tài)勢(shì)產(chǎn)生負(fù)面影響的人。例如亂下載軟件，引入病毒木馬，被人社工，U盤筆記本丟失等，都在這類范圍內(nèi)。

6. 裝逼犯

這類人群的特點(diǎn)是愛(ài)炫耀，尤其如果自己在一家知名大公司工作，為了向人證明自己有內(nèi)部消息，位高權(quán)重等。例如某互聯(lián)網(wǎng)大廠的內(nèi)部論壇，就曾有人截圖八卦。還有一些泄漏公司通告、張貼自己工資表、利用權(quán)限查詢男女朋友數(shù)據(jù)的愛(ài)好者。

二、內(nèi)鬼捕獲思路

1. 復(fù)雜性

內(nèi)鬼這事不是一個(gè)簡(jiǎn)單的技術(shù)、金錢需求問(wèn)題，和外部環(huán)境、誘惑交織在一起。這些外部環(huán)境包括：

• 內(nèi)外勾結(jié)，內(nèi)部人員可能一開始是個(gè)好人，后來(lái)開始為競(jìng)爭(zhēng)對(duì)手、黑灰產(chǎn)等工作。
• 合作伙伴，合作伙伴手上有大量信息，基于某些業(yè)務(wù)，可能掌握的是核心信息。
• 組織架構(gòu)調(diào)整，比如公司被收購(gòu)、裁員重組等，會(huì)對(duì)員工產(chǎn)生心理預(yù)期的不可預(yù)測(cè)性，尤其在員工利益受損時(shí)，變“壞”的可能性變大。
• 跨國(guó)公司的文化差異，不同國(guó)家的宗教信仰、政治態(tài)度區(qū)別很大，典型如Google前陣時(shí)間的某項(xiàng)目，就因?yàn)槟撤N原因而被泄漏給了媒體，導(dǎo)致項(xiàng)目終止。
• 黑灰產(chǎn)，員工參與黑灰產(chǎn)也是一個(gè)信號(hào)，黑產(chǎn)與內(nèi)部員工的聯(lián)系程度如何?員工是否羊毛黨愛(ài)好者，這些都增加了風(fēng)險(xiǎn)。

2. 威脅時(shí)間線檢測(cè)

內(nèi)鬼具有一些共同特征，這些特征出現(xiàn)在訪問(wèn)日志、流量、文件等地方，和正?；顒?dòng)混雜在一起，導(dǎo)致大量誤報(bào)，這是需要解決的問(wèn)題。特征分布在各個(gè)系統(tǒng)日志的時(shí)間軸上，需要清洗出來(lái)做數(shù)據(jù)融合，串聯(lián)起來(lái)一個(gè)人的行為，這個(gè)過(guò)程是這里的重活，而且需要多次修正讓數(shù)據(jù)可解釋，這取決于數(shù)據(jù)質(zhì)量、系統(tǒng)架構(gòu)、正確方法，當(dāng)然也需要數(shù)據(jù)人員的認(rèn)真細(xì)致。

特征分為技術(shù)指標(biāo)和非技術(shù)指標(biāo)兩類。非技術(shù)指標(biāo)會(huì)涉及HR、法務(wù)、管理層等參與，但在這一系列的指標(biāo)里要注意幾點(diǎn)，一是不要因?yàn)橘Y歷老、級(jí)別高就忽略，人是變化的。二是關(guān)注心理健康，這方面很多大公司都有心理測(cè)試和定期心理輔導(dǎo)。三是對(duì)員工應(yīng)有人道關(guān)懷的理解和幫助，而不是簡(jiǎn)單的指責(zé)懲罰。千萬(wàn)不要把這事變成官僚主義的形式，這樣不但不能幫助，而且會(huì)讓員工產(chǎn)生逆反心理。例如員工績(jī)效輔導(dǎo)，就不該是辦公室里走個(gè)過(guò)場(chǎng)，而是需要至少1個(gè)小時(shí)以上的一對(duì)一聊天。

每個(gè)人對(duì)工作、生活看法都千差萬(wàn)別，HR和leader的工作職責(zé)中需要了解個(gè)人風(fēng)格，對(duì)工作的期望和目標(biāo)，對(duì)周圍同事和上級(jí)的看法。當(dāng)技術(shù)指標(biāo)發(fā)生變化時(shí)，就需要人工干預(yù)防止惡化，因此要把兩類指標(biāo)結(jié)合起來(lái)，起到預(yù)防、檢測(cè)、響應(yīng)的作用。

搞破壞、泄漏數(shù)據(jù)和內(nèi)部欺詐的人，在時(shí)間線上是不同的，根據(jù)這個(gè)特征可以更好地發(fā)現(xiàn)異常，在關(guān)鍵節(jié)點(diǎn)加強(qiáng)監(jiān)控。

3. 建設(shè)路線

真的要去做這件事，不是安全技術(shù)部門負(fù)責(zé)這么簡(jiǎn)單，需要有組織保障。信息安全的這些技術(shù)，也不足以保障。

抓一個(gè)壞人，可能涉及到內(nèi)控、信息安全、內(nèi)部監(jiān)察、內(nèi)控、廉政、HR等部門，具體落在哪個(gè)部門取決于內(nèi)部博弈，但一般企業(yè)內(nèi)不會(huì)是先設(shè)立這么一個(gè)組織再來(lái)開展活動(dòng)，而是誰(shuí)能干這件事，責(zé)任就落在誰(shuí)頭上。但整體上是一個(gè)跨部門工作組才能完成的工作。

另外，這個(gè)團(tuán)隊(duì)需要高層授權(quán)，解決“誰(shuí)來(lái)監(jiān)視監(jiān)視者”的問(wèn)題。這個(gè)組的工作是保密的，因此需要管理好信任，確保監(jiān)視者會(huì)受到監(jiān)視，因?yàn)檫@個(gè)組掌握的信息太多太敏感。你可以簡(jiǎn)單理解為“東廠”角色，但又不能像東廠那樣不受約束、大張旗鼓、人人自危。

解決前面的問(wèn)題之后，接下來(lái)的路線就是：

• 建立風(fēng)險(xiǎn)處理制度，建立識(shí)別評(píng)估方法。
• 提升相關(guān)人員的能力。
• 培訓(xùn)演練，提高員工安全意識(shí)。
• 啟動(dòng)調(diào)查的程序

有一些具體操作上需要特別列出來(lái)的注意事項(xiàng)：

(1) 背調(diào)

員工入職一般都有背景調(diào)查，但這個(gè)是靜態(tài)的，只是在入職時(shí)由外包進(jìn)行調(diào)查。一旦本人發(fā)生變化，以前的背調(diào)就沒(méi)什么用了。

(2) 縱深防御

信息安全領(lǐng)域的常見做法，但在管理上也需要有縱深防御。

(3) 員工滿意度

員工滿意度跟公司規(guī)模有關(guān)，公司越大江湖越深，不滿度可能越高，不滿度指標(biāo)會(huì)間接產(chǎn)生影響。

(4) 內(nèi)部特權(quán)人員

特權(quán)用戶掌握了一些敏感關(guān)鍵權(quán)限，并且知道如何繞過(guò)監(jiān)控，對(duì)抗調(diào)查。所以就是剛才這個(gè)誰(shuí)來(lái)監(jiān)視監(jiān)視者的問(wèn)題。這需要公司組織架構(gòu)上有互相制衡的能力。

(5) 安全規(guī)則必定被繞過(guò)

在商業(yè)組織里，安全是一個(gè)支撐角色，賺錢才是核心業(yè)務(wù)。而安全措施疊加，必定會(huì)在一定程度上降低效率，由于效率原因，安全規(guī)則也一定不被完全遵守。要么是以免打擾的方式實(shí)現(xiàn)安全，要么就要讓違規(guī)受到必要的懲戒，實(shí)際工作中是兩者結(jié)合使用。

(6) 無(wú)意行為危害

無(wú)意行為危害更為常見，例如DLP抓到的外發(fā)，大量都是業(yè)務(wù)需要的非故意外發(fā)行為，真正的壞人可能就隱藏在這里而被淹沒(méi)。這需要靠安全意識(shí)教育、直接觸達(dá)的警告來(lái)強(qiáng)化安全。

三、檢測(cè)指標(biāo)

發(fā)現(xiàn)內(nèi)鬼可通過(guò)不同維度的指標(biāo)監(jiān)測(cè)，指標(biāo)異常引發(fā)報(bào)警，從而提升某個(gè)員工的關(guān)注度。

1. 個(gè)人情況指標(biāo)

個(gè)人情況指標(biāo)可能不會(huì)直接造成損害，但會(huì)是很多事情的誘因。

這里的最大問(wèn)題是，你可能無(wú)法掌握員工的變化情況。這些信息可能會(huì)被他周圍的同事和HR知道，需要打通這個(gè)信息渠道。例如精神類疾病在職場(chǎng)中常見的是抑郁癥，會(huì)導(dǎo)致無(wú)意犯錯(cuò)、破壞發(fā)泄，理論上可以在每年的體檢報(bào)告上獲取這個(gè)信息，但這屬于侵犯?jìng)€(gè)人隱私，在強(qiáng)保密體系下可以關(guān)注使用。另一個(gè)重點(diǎn)是績(jī)效為差的員工，待離職員工，這些都帶有強(qiáng)烈的離職動(dòng)機(jī)，從而導(dǎo)致竊取數(shù)據(jù)、搞破壞，這些數(shù)據(jù)是可以通過(guò)HR系統(tǒng)檢測(cè)到的指標(biāo)。

2. 背景及行為指標(biāo)

背景側(cè)重于歷史記錄，很多公司把敏感崗位背調(diào)作為招聘必選項(xiàng)。行為則是根據(jù)員工工作上的行為方式逐步形成。

參與某些團(tuán)體指的是例如國(guó)泰航空前陣時(shí)間的事件，參與了社會(huì)事件而帶來(lái)的對(duì)飛行安全的破壞、泄漏用戶信息。而在犯罪前科上，要兼顧考慮各類外包人員。背調(diào)不只是在入職前進(jìn)行，在晉升時(shí)也需要進(jìn)行。其他類型不再贅述。

3. 信息安全指標(biāo)

內(nèi)部欺詐是利用工作流程，掌握了規(guī)則后獲利行為，例如風(fēng)控部門的員工，就可能掌握規(guī)則從而繞過(guò)獲利，檢測(cè)上很難發(fā)現(xiàn)，但可以通過(guò)其他維度，例如與情報(bào)、釣魚、黑灰產(chǎn)關(guān)聯(lián)等。而數(shù)據(jù)竊取則可能有一些對(duì)抗繞過(guò)，比如對(duì)數(shù)據(jù)加密，使用代理等，可以根據(jù)基線、閾值來(lái)做關(guān)聯(lián)判斷。商業(yè)間諜則考慮賬號(hào)、設(shè)備、競(jìng)對(duì)關(guān)聯(lián)、行為。

4. 終端指標(biāo)

終端是指用戶的終端電腦、手機(jī)等，由于員工可以對(duì)終端進(jìn)行操作，所以他可能會(huì)篡改數(shù)據(jù)，破壞監(jiān)控agent，因此要額外檢測(cè)agent和日志的運(yùn)行情況，尤其是當(dāng)員工有離職等不良傾向的時(shí)候需要重點(diǎn)關(guān)聯(lián)檢測(cè)。

數(shù)據(jù)竊取可通過(guò)打印、復(fù)制外發(fā)文件，把這個(gè)日志和背景行為指標(biāo)關(guān)聯(lián)，可以監(jiān)測(cè)到數(shù)據(jù)竊取、商業(yè)間諜行為。內(nèi)部人員如果登陸其他同事賬號(hào)，目的可能是隱藏自己，提升權(quán)限，又或者代其他員工操作。多次登陸失敗則說(shuō)明賬號(hào)正在被暴力破解。終端多用戶登錄代表的風(fēng)險(xiǎn)則更大，但要注意有些例如三班倒的工作崗位、測(cè)試崗位會(huì)存在公用設(shè)備現(xiàn)象，但排除這些崗位也行后，其他人員需要重點(diǎn)關(guān)注。當(dāng)然還有其他維度，例如非正常工作時(shí)間，只不過(guò)在互聯(lián)網(wǎng)公司這個(gè)太常見了，所以沒(méi)有加入特征。

對(duì)終端的檢測(cè)幾乎發(fā)現(xiàn)不到什么內(nèi)部欺詐，欺詐行為一般出現(xiàn)在業(yè)務(wù)層。

5. 服務(wù)端指標(biāo)

對(duì)應(yīng)的則是用戶在服務(wù)端的操作行為：

對(duì)集中存放的審計(jì)日志進(jìn)行修改是個(gè)明確信號(hào)，有人在試圖抹掉痕跡。同賬號(hào)多設(shè)備則表明賬號(hào)可能被泄漏，也可能是橫向移動(dòng)攻擊。

四、總結(jié)

以上所有的指標(biāo)，單一來(lái)看可能只是一個(gè)異常，因此需要多指標(biāo)關(guān)聯(lián)權(quán)重，從而提煉出真正的風(fēng)險(xiǎn)。但指標(biāo)不僅限于此，可以根據(jù)自身業(yè)務(wù)數(shù)據(jù)形成更廣闊的檢測(cè)維度，例如一個(gè)銷售，從來(lái)不上傳新合同，但總是在大量查詢歷史合同。某個(gè)員工的手機(jī)號(hào)和采購(gòu)供應(yīng)商相同，員工與黑產(chǎn)多次出現(xiàn)在同一地址，同一時(shí)間維度內(nèi)同WIFI出現(xiàn)大量注冊(cè)等等諸如此類的規(guī)則，都能夠形成某個(gè)單項(xiàng)指標(biāo)。

除了自身數(shù)據(jù)，也可接入外部數(shù)據(jù)驗(yàn)證，例如員工是否多頭借貸，歷史工作單位驗(yàn)證是否一致等。最后，還可以利用情報(bào)數(shù)據(jù)，反向驗(yàn)證內(nèi)部人員作案。

空間很大，可做的事情有很多，不要自己給信息安全設(shè)置了邊界。

 

網(wǎng)站名稱：安全|企業(yè)安全無(wú)間道之抓內(nèi)鬼
網(wǎng)頁(yè)地址：http://www.5511xx.com/article/dpjhehd.html