吉宁博士观点
我们都对2013年美国塔吉特(Target)超市遭遇网络攻击事件记忆犹新:黑客窃取了约4000万顾客的支付卡号和约7000万顾客的个人数据。这一事件沉重打击了塔吉特:名誉扫地、利润大幅下滑、CEO和CIO相继离任。可能很多人并不知道:尽管黑客是外贼,但他们之所以能进入这一零售连锁公司系统,是因为使用了内部人员证书:证件持有者正是塔吉特的冰箱供应商。
网络攻击日益增多,塔吉特只是其中一例。来自外部的网络攻击已经引起了各界极大关注,比如无孔不入的知识产权黑客攻击,Stuxnet蠕虫病毒以及东欧黑客集团的恶意滋扰等。但相关企业或内部员工造成的网络攻击威胁更大,而且内鬼的危害要比外部黑客攻击严重得多,因为内鬼更容易进入系统,作案机会也大得多。他们造成的损失五花八门:操作中断、知识产权遗失、名誉受损、投资者和顾客信心下跌、以及将敏感信息泄露给第三方,包括媒体。据多个机构估计,每年美国至少发生8000万起内部攻击,实际数字可能会更高,因为很多攻击并未被报道。这些攻击每年造成的影响价值以百亿计。
很多组织承认,它们尚未有完备的安全措施来查找或抵御内部攻击。原因之一是,这些组织仍不愿承认这一威胁规模已如此之巨。
过去两年间,我们一直负责一个国际研究项目,其目的是大幅改善组织发现和抵御内部威胁的能力。该项目由隶属英国安全局军情五处的国家基础设施保护中心(CPNI)赞助,研究团队由来自牛津大学、莱斯特大学和卡迪夫大学的16名成员组成,包括计算机安全专家、商学院研究公司治理的学者、管理学教育家、信息可视化专家、心理学家和犯罪学家。
我们以跨学科方式研究所得的结论不同于通常的观点和做法(见“失效的常规做法”)。例如,很多公司目前的做法是:阻止员工使用工作电脑登陆与其工作不直接相关的网站,比如Facebook、交友网站和政治话题网站。我们则认为,公司应该给予员工网上浏览的自由,但要用常备安全软件监督他们的活动,从而得出与行为和人格有关的重要信息,便于查找隐患。我们在本文中将分享把内部攻击可能性降至最低的有效方法。
轻视内部攻击
内部威胁来源多种多样,可能是刻意为之,也可能是无心之过,有人将所在单位的网络资源用于非法和恶意用途,也有人在无意间造成了安全隐患。他们可能是正式员工(从清洁工到高管)、合同工、或第三方数据及计算机服务供应商。斯诺登就是一个广为人知的例子。他曾是美国国家安全局(NSA)的一名合同工,从NSA窃取了敏感信息。通过合法登录,内部人员可以窃取、扰乱或损毁计算机系统和数据,而且不会被那些只防御外部攻击的普通安全解决方案检测出来。因为此类方案的防范重点是网络入口,而非系统内容和内部人员。
据计算机安全龙头公司伏尔米(Vormetric)统计,54%的管理者和中型组织表示,和2011年相比,如今检测和防御内部攻击要困难得多。而且被报道的内部攻击数量,及其占全部网络攻击的百分比都在增加。根据毕马威(KPMG)一项研究统计,这一百分比从2007年的4%增加到2010年的20%。我们的研究认为,该数字还会继续提高。外部攻击也可能涉及内部人员,只不过他们有的知情,有的不知情。前文中塔吉特事件就是例证。
内部攻击增长原因
这类日益增长的风险可归因于IT领域中迅速变化的诸多因素,而这些因素看上去没什么特别。造成组织内部网络风险的原因大都司空见惯、熟视无睹。
IT业规模增大、复杂程度提高。你知道哪些人在管理你的云服务器吗?你和谁共享服务器?服务器安全吗?为你提供其他外包项目(呼叫中心、物流、清洁、人力资源和客户关系管理)的人是否可靠?2005年,4名纽约花旗银行客户被位于印度浦那的呼叫中心诈取了近35万美元。罪犯就是承担花旗银行外包工作的软件和服务公司员工,他们收集了客户的个人数据、用户个人密码和账户号码,从而可以实施犯罪。
目前有很多“黑网页”站点,里面有很多兜售大量敏感信息的无良掮客,从顾客密码、信用卡信息到知识产权,应有尽有。经常有内部人员愿以远低于信息资产黑市总价的价格,出卖能够获得各种信息资产的渠道,从而形成网络犯罪地下产业链。
员工使用个人设备工作。不知不觉中,越来越多的内部人员使用个人电子设备工作,这也是风险所在。我们的团队和其他研究者都发现,工作中个人设备数量剧增,所造成的风险让公司安全部门防不胜防。根据阿尔卡特-朗讯(Alcatel-Lucent)最近的报告,全球约有1160万台移动设备随时会遭到感染,移动恶意软件感染数量在2013年增加了20%
不光智能手机和平板电脑会出问题,即使闪存或手机存储卡这样的简单设备也不安全。“进入一家不设防公司的最佳方法是:将带有公司标志的染毒U盘撒在停车场附近。”我们团队成员之一,牛津大学网络安全中心副主任迈克尔·戈德史密斯如是说。他指的是2012年荷兰化学公司帝斯曼集团遭遇攻击事件,因为“总有员工至少会试用其中一个U盘。”
还有几则相关新闻也被广泛报道。2013年在圣彼得堡附近参加G20峰会的代表收到了一些U盘和手机充电器,里面含有能够窃取信息的恶意软件。在2008到2010年间,通过未连接互联网U盘植入系统的Stuxnet计算机蠕虫病毒,甚至毁坏了伊朗的铀提炼设施。
实际上,我们所有人都面临风险。
社交媒体爆炸式增长。社交媒体使得形形色色信息从一台电脑散布到全世界,而公司往往并不知情。外部犯罪者可能通过社交媒体找到企业内部人员,利用他们获取公司资源。比如老练的骗子会设下“浪漫陷阱”,装作追求者诱使员工泄露敏感数据。事实证明,这招特别有效。此外,他人还可以利用从社交网络上获得的信息,对员工施压。比如,网络敲诈者可能会威胁内部员工:如果不提供敏感信息,就删除受害人公司电脑上的文件或在上面显示色情图片。
内外缘何勾结
不少政府和民间案例研究证明,有意参与网络攻击的内部人员的作案动机繁多,比如经济利益、报复、对认可和权力的渴望、受到敲诈勒索,对组织里他人效忠,以及政治信仰等。
在研究中,我们获悉一起2014年的攻击,作案者是一家成长很快的小型虚拟培训公司职员,其作案动机是求爱遭拒。公司一名管理者向上级投诉了这名问题员工。作案者经常在工作时给这位管理者送花、发送不合时宜短信,还经常开车路过他家。遭到明确拒绝后,作案者损毁了公司培训视频的数据库,并破坏了获取备用文件的路径。遭公司开除后,因为知道缺乏指控犯罪的真凭实据,作案者又勒索公司几千欧元,扬言将安全漏洞公之于众,此举可能危及即将到来的IPO。和很多其他内部犯罪一样,这起代价沉重的事件并未被报道。
内部人员和犯罪团伙及激进组织勾结也越来越常见。很多国家现已运作计算机应急响应小组(CERT),抵御各式各样攻击。根据卡内基梅隆大学2012年的报告《聚焦:恶意内部和组织犯罪活动》,该校CERT内部威胁中心分析的150个案例中,16%与组织犯罪有关。
其中一例是:2012年俄罗斯黑客团伙窃取了南卡罗来纳州380万个未加密的银行账户,和将近400万份纳税申报单的详细资料。司法调查表明,一名银行雇员点击电子邮件中的链接促成了该攻击,黑客团伙盗取了该职员的证书,登入了该州的数据服务器。
我们团队成员,莱斯特大学的心理学家莫妮卡·惠蒂(Monica Whitty)以及很多其他研究者表示,愿意协助或参与网络攻击的内部人员多少都符合“三重心理阴影”中的一种或多种,即:马基亚维利主义(为达目的不择手段)、自恋和病态人格。2013年CPNI的一项研究支持了上述观点。研究发现,内部攻击者通常具有至少超过一种下列人格特征:不成熟、缺乏自尊心和道德或道德观低下、浅薄、爱妄想、冲动、缺乏良知、喜欢操纵和不稳定。
瑞银集团(UBS)财富管理系统管理员罗杰·杜罗尼奥(Roger Duronio),被判决在2006年使用恶意“逻辑炸弹”程序,毁坏公司电脑网络。杜罗尼奥表现出多种上述人格特征。他对自己的工作缺乏安全感;当收到的奖金只有3.2万美元,而不是自己原先期待的5万时,便怒火中烧。他抛售公司股票,启动恶意程序,导致瑞银美国的2000多个服务器瘫痪。其中一些服务器连续数周无法交易,给公司造成310万美元的直接损失,以及数以百万计美元未公开的突发损失。杜罗尼奥终被判处8年零1个月监禁。
如何看待这一问题
内部网络安全威胁管理与质量和安全管理十分类似。这些工作曾经都由某一特定部门负责。但在如今极其复杂多变的环境下,组织不希望出现任何风险。因此任何规模企业的领导都应动员全体员工参与网络安全工作。以下是急需采取的五步骤:
执行强有力内部规章。内部规章须明确规定员工必做和禁止事项,防止内部人员因大意、疏忽或错误带来风险。规章须简明易懂,不仅针对安全和技术专业人员,应该让公司全员都能看到、理解和遵守。规章须适用于组织所有层级,包括高层。美国伊利诺伊州政府提供了很好的框架样板,以下是链接:www.illinois.gov/ready/SiteCollectionDocuments/ Cyber_SOSSamplePolicy.pdf
给予员工遵守规章所必需的工具。例如,当有人试图登入含有敏感材料的分系统时,系统应具有闪烁报警信息的功能,系统应询问该人是否有权限登入,并记录跟踪那些没有权限的人员。
违反规章应该受罚。毫无疑问,如果员工发生出售客户个人信息或有意在公司系统安插恶意软件这类严重违规,应被开除和接受法律制裁。如果是较轻违规(比如将密码告知其信任的同事,使其登入公司系统),念其初犯,可予以警告并载入员工记录。
帮助员工了解如何安全完成每日任务。应通过宣讲会和内部交流活动等方式,加强贯彻规章制度,比如在工作场合张贴宣传海报。一些公司也用大屏幕播放视频,展示违反政策导致的网络攻击的后果,以及加强可防范攻击的安全操作等等。
提高安全意识。公布可能出现的威胁,便于员工检测威胁以及防范任何向他们寻求帮助实施攻击的人。培训应视具体情况而定,根据员工负责的不同工作,将他们可能遇到的攻击纳入培训内容。比如网络钓鱼是一种常见的非法登入手段,是指利用伪造电邮,套出员工的个人详细信息或访问代码,或诱使其点击下载恶意软件的链接(很多人不知道电邮中“发件人”地址很容易伪造)。测试可由公司内部或外部安全服务发起,来考察员工对这类攻击的防范能力。
即便如此,面对处心积虑的外来攻击,内部人员依然很难抵御。2013年4月,一家法国跨国公司遭到颇为狡猾的攻击。一位副总裁的行政助理收到一封电邮,含有一张在云文件里分享的发票。她当时就感到可疑,觉得不能打开这个文件,但几分钟后,又接到一个自称是公司另一位副总裁打来的电话,而且听起来很可信。来电人指示她下载并处理发票,她照做了。发票实际含有远程访问木马病毒,一家位于乌克兰的犯罪集团控制了她的工作电脑,记录下她的键盘按键,最终窃取了公司的知识产权。
正如机场候机室中无人看管的行李需要上报,反常或违禁技术和行为也应该上报。例如,将便携式硬盘带到员工经常接触网络数据和软件的办公室,以及未经授权的员工或供应商索要机密数据文件等。
招聘时应防患于未然。最关键的是,利用专门设计的筛查程序和面试技巧,评判候选人的诚信度,例如:犯罪背景调查、查验简历中有无歪曲事实、以及直接考查求职者道德准则的面试问题。我们的团队正在设计测试,以冀帮助雇主判断候选人是否具有CPNI判定的危险人格特征。
面试过程中还需要对网络安全意识进行评估。求职者是否知道内部威胁是什么?何时他才能告诉另一位团队成员密码?在何种情况下,他可以允许团队成员以他的权限使用他本人的电脑?如果候选人其他各方面都很过硬,可以先聘用他们,但一定要马上对其进行组织政策和实践培训。如果所聘用者的工作处于高度敏感环境,那么将其纳入麾下前一定要三思。
采取严格转包流程。如前述塔吉特违规案例所示,公司必须保证供应商或分销商不会为自己带来风险。可采取的措施有:除非万不得已,外部IT服务提供商的人员不可另辟蹊径进入公司系统。如果供应商失败或违规的风险比公司所承担的风险小,那么供应商很有可能不履行公司提出的管控要求。寻找那些和你风险指数相近,公司文化相似的合作伙伴和供应商,他们更愿意和你采取共同的网络安全模式。
签合同前,应询问准供应商,了解其如何管理内部相关风险。如果你选择了它们,要定期审查,确保它们一直按规定操作。一开始就要和它们说清楚,你会进行审查,并约定他们需要参与的审查内容。公司可以要求供应商采取和自己一样的控制标准:审查员工的犯罪记录、核实求职者的雇用记录是否属实、监督公司数据和应用的访问情况。由此确认是否其中有未经授权的行为,以及防止入侵者进入存有敏感信息的场所。
监督员工。让员工知道,在法律允许范围内,公司有能力监督他们在网络上的一举一动,并且也会这么做。把网络安全管理全权授予专家远远不够;公司全体员工都要形成日常防范意识,对系统内外的特殊情况都要提高警惕。这意味着要求安全团队或服务供应商设计定期风险评估测试。测试应包括威胁来源、易受影响的员工和网络,以及风险成真可能导致的后果。公司还应量化减小风险的举措,比如对警报回应的次数等等。
路由器或防火墙通常能监督输出通路,但应确保监督功能处于激活状态。如果没有监督输出流量的设备请务必采购。还请跟踪和监督其他可疑的输出设备,比如U盘、其他各类移动存储设备和输出打印设备等。可通过抽样调查以及对进出建筑物人员的机场式搜查监督输出设备,通用电器和威普罗(Wipro)在印度班加罗尔就采取了这些措施。
为达到有效监督,企业须勤加管理所有员工的权限,包括那些具有公司系统最高级别访问权限的人,而他们往往正是内部攻击的调查者。措施还包括:随时调整具最高权限的员工名单,继续观察留在名单上的人,证实他们确实值得信任;找到有效的内部威胁检测系统,预判出可防控的风险;收集网络犯罪历史资料,利用大数据得出线索和警示。
恶意软件检测工具也能派上用场,内外勾结时尤其有效。如果发现了恶意软件,请判断其是否属于内部攻击。分析恶意软件的使用方法,也可以为攻击者的身份和更广范目标提供线索。
这种级别的监督会增加所有人的工作量,但能够提高公司的防御能力并降低风险,因此值得实施。
消除内部网络威胁最有效的策略是:不仅要使用现有防御性技术并修复这些技术中的薄弱环节,更要关组所有内部人员,确保他们的一举一动不会给公司带来安全隐患。他们需要清楚哪些事可以做,哪些不能做。一定要提醒他们:保护组织,也正是保护自己的工作。(刘铮筝/译 熊静如/校 钮键军/编辑)
大卫·阿普顿是牛津大学赛德商学院美国标准公司运营和管理教授。赛迪·克里斯是牛津大学网络安全教授及其全球网络安全能力中心主管。阿普顿和克里斯还是牛津大学公司内部威胁检测研究项目的首席调查员。
