NCC Group白皮书(2017):解析企业内部安全威胁及缓解方案

1.引言

本文旨在为寻求内网安全解决方案的人提供一个更高层的内部威胁视角。它包括内部攻击中可能发生的攻击类型和一些常见的脆弱点,还包括一些如何实现检测、阻止和防御内部威胁的政策和控制措施。

本文的目的在于提供一个整体的视角,对内部安全威胁的主题做一个总结,文章最后会提供更多的相关资料,为感兴趣的人提供了更多资源。

有一个观念由来已久,那就是对于企业威胁而言,大多数的威胁来源是外部攻击者,黑客为了利益可以无所不用其极进行网络犯罪。另外,在进行渗透测试的过程中,内部基础设施的安全问题往往不被当作真正的威胁来进行关注和处理,防护措施主要用于阻止外部攻击者入侵到内部。

上述观点的问题是,它没有考虑到来自内部的恶意的威胁。人们观念上有一种倾向,一旦一个员工被录用并通过了背景调查之前的政策规范,那么对员工赋予信任。在寻求安全解决方案时,只考虑外部攻击向量。来自计算机经济学的一份报告指出,低于40%受访者认为内部威胁事件是一个主要威胁。然而,IBM的研究表明,在针对企业的攻击中,超过60%的攻击来自合法访问。而这些攻击中四分之三是出于个人的恶意企图,无论是雇员、承包商或服务人员,都可能开启“邪恶女佣”式的攻击。当然了,很少有员工会加入一个恶意的组织,但是,无论是在工作场所或是外部环境,都可能存在一些可以改变员工的行为或观点的事件。

这是一个相当严重的问题。内部人员对公司的系统和业务流程有更多的认知,这为有针对性的活动提供了便利,因为他们可能有一个合法的原因要去访问资源或系统。此外,内部人员不需要花费时间绕过外部安全防护,这大大节省了攻击的成功,提高了成功率。

大多数围绕内部威胁的讨论中,提出的主要问题是通过盗窃或访问受限制的系统而导致的保密性的损失。然而,有些形式的内部威胁会对系统的完整性和可用性造成损害,比如通过欺诈交易或篡改数据的形式进行攻击,或者破坏或故意损坏系统可用性。

本文的其余部分将分析来自内部人员威胁的常见的三种攻击类型,以及常见的脆弱点和薄弱环节,针对那些易被攻击的脆弱点,有必要采取一些针对性的防护措施。

2.内部威胁的攻击类型

对于发生在内部的威胁,并没有一个统一的定义。它们产生的原因多种多样,表现形式也极为不同,对内部威胁进行分类是困难的。

在本文中,我们对内部威胁定义为一种个人攻击行为,攻击者拥有合法的系统访问权限。需要指出,这个定义并不严格限制为物理访问,类似通过VPN或其他方式远程访问公司的资源,也被认为是内部威胁的考虑范围。另外,内部威胁的对象,不仅包括员工,也包括其他拥有合法访问权限的人,比如供应商、承包商、咨询顾问等。

虽然比较难分类,不过攻击活动明显的会分解为三种类型:破坏、偷盗和欺骗。

一个有趣的现象是,内部攻击中,人员的技术水平并不是一个考量的指标。大量被发现的攻击表明,内部攻击只需要一些简单的手法而不需要大量的或特殊的技能。早期在银行和金融领域的研究中,这一特征非常明显,不过它同样适用于其他的大多数行业。

2.1 破坏

破坏是指对系统或物理资产的损害,通常是由心怀不满的员工执行的报复性攻击,例如当员工被解雇或觉得受到不公平对待时,极易引发不满情绪。

当员工还在为公司工作时,没必要进行破坏性攻击,取而代之的是,他们可能在离职后依然保留了继续访问的权限,或者在职时设置了事件触发的计时器(即在某一个时间点或某件事情发生时,一个隐藏在程序某处的“逻辑炸弹”会被触发,从而造成严重的损坏,比如删除硬盘或数据库里的数据),当然了物理损害也应该考虑在内。

2.2 盗窃

盗窃往往是考虑安全问题时第一个被关注的风险,尤其是如果一个企业涉及到处理个人可识别信息(PII)时,尤其会关注盗窃的风险。盗窃的对象包括知识产权(如源代码)、客户名单、专有的研究成果或更具体的项目(如公司财产、甚至金钱)等。华盛顿邮报的一篇文章中指出,高达60%的离职员工可能会盗窃公司数据。

盗窃背后的动机并不总是直接的,但往往来自对财务收益的渴望。比如攻击者认为这是他们应得的,或者攻击者陷入了财务困境,甚至有可能为了获得竞争对手提供的工作岗位而希望可以带走一些有价值的信息。

在某些情况下,盗窃也可能是一种报复行为,其动机与2.1破坏章节描述的类似。

最近几年,最有名的雇员盗窃案就是Edward Snowden事件。斯诺登窃取美国政府的机密信息并泄漏给媒体,可能是由于意识形态的原因,不过盗窃事件也可能是由于不满或者为了获取更多的财物。

值得注意的是,盗窃事件可能会涉及到第三方,而不单纯由一个人实施,比如有亲友参与或进行敲诈勒索。这也会产生一定的破坏,不过还是要把这类事件归为盗窃。

2.3 欺诈

欺诈往往涉及到绕过控制和业务流程规范。如果一个技术攻击中。欺诈行为包括修改源代码从而获取私利,更多的是出于财物的动机。

类似的案例包括:如管理人员私自签署审批报告,以隐瞒未经授权的交易;利用软件的业务逻辑漏洞,躲避检测进行欺诈交易。

欺诈的攻击与盗窃的攻击相似,大多数是为了个人的财物利益。还有一种欺诈行为的动机,是为了对错误或失败进行隐瞒。比如一个投资者操作交易记录,表面上看起来他是销售明星,但事实上他刚刚给公司带来了一大笔的损失。

3. 风险

如前所述,有关内部威胁的证据指标和哪些人员可能发起攻击,并没有明显的模式可以来指明。本节试图突出一些风险领域,不过读者不应该把它们看作攻击行为的确凿证据。

本部分包括三个领域:人员、技术和业务,这三部分之间有一些重叠。

内部案件时复杂的,个别指标不能孤立的用于检测攻击。相反,必须采取更全面的方法,审查所有领域,以有效的减轻风险。

3.1 人员

人事问题是广泛而复杂的,应谨慎对待,避免在没有证据的情况下对个人进行指责或过度监视,这可能会侵犯到当事人的人权,可能会承担法律后果。还有一个重要的环节,就是高级管理层的说辞,为促进良好的企业文化,管理层在调查事件时应使用更柔和的语言。

CPNI发布的一份报告强调了一些地方可能需要重点关注,比如人格特质、生活方式和工作行为。不过这些特征只有在特别频繁或严重时,才会引起内部威胁。CERT的研究表明,犯罪往往发生在一般行为的恶化或一些轻微的不寻常行为,如与同事的关系恶化,来自管理层的轻微指责、缺乏管理层的参与。财物问题是很多内部威胁事件的起因,特别是在欺诈和盗窃案件中,值得重点关注。如果一个人试图隐藏他的个人问题,维持他们难以负担的奢侈生活方式、有吸毒、赌博等行为、家庭问题或健康问题等等,都可能导致财务问题,绝望之中的人更容易采取偏激行为。

另一个经常看到的因素是缺乏工作满意度或感觉受到了不公平对待,这可能源于职位晋升、薪资待遇或经历了办公室不公平对待。这种情况下,员工可能会觉得公司对自己有所亏欠,而导致采取一些不当的措施。

另外,管理不当或缺失也是内部恶意行为的一种因素,特别是对于远程协作的工作人员,这种风险更高。

最后一个需要考虑的因素是,那些发起攻击行为造成损害的人,是因为他们有能力这样做,这就带来了一个挑战,因为攻击者发现了系统的脆弱点。

值得关注的是忠诚度、满意度和个人状态随时间的变化情况。CPNI的一项调查显示,超过75%的内部案件当事人在进入公司时并没有犯罪意图,然而忠诚度在被解雇后发生了变化。

3.2 技术

虽然技术问题不是导致内部攻击的直接因素,但是技术熟练的人比不熟悉攻击路径的人来说,更容易成功。如果技术系统得到保障,会使攻击变得更加困难。

其中,最常见的安全问题涉及到密码管理, 包括复杂性和密码共享。如果密码容易被猜解或是多个用户共享同一个系统的账号密码,那么就失去了保密性、完整性和不可否认性。这意味着攻击者不进可以访问和更改未授权的信息,而且可以伪装成其他用户的样子进行操作。尤其要关注管理员密码和其他可以提权的帐号密码。

除了密码共享,还应该实现一个强大的、基于角色的访问控制系统,确保用户只能访问他们需要的系统和资源,拒绝并记录他们获取其他资源的请求。

系统漏洞也是需要考虑的一个因素,如果未能及时打补丁或存在其他未知的、被忽略的漏洞,一个熟练的攻击者可以利用这些漏洞越权访问系统。

有时,虽然你可能无法阻止攻击,但是可以检测和暂缓攻击。这就需要一个有效的记录和监控系统,这个系统需要实时调整。实际情况是,监控可能会完全丢失或留在默认设置,这可能会导致高假阳性或假阴性率。

监测是无效的,除非有人真的在检查日志和报警信息。如果组织内部存在一个监控系统,那么最好有专人负责监管。

此外,开发过程中还存在一个重大的风险,那就是开发人员可能会在自己的机器上保留源代码,而且它可能是唯一的副本。这是小团队面临的特有的风向,如果是这样,代码丢失,会导致整个项目的倒退或失败。

3.3 业务

与技术风险不同,业务问题不会直接造成攻击。然而,如果有适当的控制措施,并确保措施落实到位,就可以更好的处理业务风险。

缺乏监督是一个潜在的值得关注的领域,包括:个人没有足够的监督可以任意执行恶意活动;管理岗位的人可以要求下属执行某些行为然后自己授权批准。

这某些情况下,如果一个人在一个岗位待了很长时间,可能就会成为一个单点故障。

许多企业对于用户权限管理缺乏一个撤销流程。如果当合同终止了,依然保留着访问权限,这就使得系统和数据处于盗窃或破坏的危险中。身份和访问控制管理解决访问可以减轻这类内部威胁,不过一般组织通常都很缺乏。

还有一类渐变的角色积累风险,即用户保留着之前的角色特权(可以访问某些系统和数据),位置变化后,特权没有移除而是在逐步积累,随着用户获得的权限越多,就存在越多的风险。

高层的支持是缓解内部威胁的一个关键因素,但是经常被忽视。研究表明,恶意内部时间的当事人经常会表现出一些迹象,这些可疑的迹象会被同事知晓,但是,如果没有安全机制向管理层报告这些担忧,这些怀疑也就不会公开。不过也必须要避免错误的指控,任何告密策略都必须仔细考虑。

CERT关于内部威胁的研究表明,事件的当事人都不知道或者没有考虑过自己行为的后果。另外一种情况是。他们不知道有监测解决方案或其他的控制措施在检测他们的活动。

4. 缓解方案

本节中,我们将讨论一些缓解或防护措施。

当考虑任何安全策略时,应该首先意识到,没有单一的控制足以防止所有的威胁。一个好的方法是采取纵深防御战略,并实施各种措施。这可以确保一旦某一个缓解措施失败,依然有其他措施可以阻止攻击者的行为。

当然,这也存在一种安全措施过度的情况。所以,尽量确保采取必要的、适当的安全措施,并确保措施到位,而不致于造成一种不信任和怀疑的文化,有利于员工有效的进行自己的个工作。

4.1 人员

最有效的人事控制策略之一是员工审核。审核水平取决于被保护数据的风险和安全合规要求。着将覆盖现有或未来员工的所有值得关注的领域。审核不应该视为一次性活动。

情况可能会发生变化,因此审核活动应持续的进行。如前所述,那些恶意事件的当事人在事发之前通常会有一些行为上的改变,许多情况下,如果组织能够及时发现并正确处理,可能会阻止一个潜在的攻击事件。必须注意,实施任何一种告密方案,实施过程必须是透明的,公司政策要详细具体,防止不受控制的指控进而引发出蓄意解雇或欺凌。

4.2 技术

如上文所述,技术问题并不能直接产生内部威胁,但是薄弱的技术控制会使的攻击更容易获得成功,导致后果恶化。

一个强壮的和强制执行的密码策略是安全防护的必要策略。密码应该足够强壮并且有明确的规范。同时,密码要确保与用户一对一的对应,并且禁止用户向其他人泄露自己的账户信息。

在某些情况下,二次认证是一个很好的解决途径,用户需要提供出了密码之外的其它身份认证信息,如令牌指令、短信或邮箱验证等。

生物识别是另一种防护措施,尽管生物识别模式存在一些问题,不过依然可以考虑。

一个安全的环境应该通过组策略(如果有的话)适用于所有的机器,所有服务器和工作站的安全加固应当达到适当的水平。这就使得越权访问数据变得困难。

网络中的所有系统都应当定期的进行安全测试,从攻击者的角度提出问题。如引言中提到的,大部分的安全措施用于防护外部威胁,这是一个错误的假设,应当考虑内部基础设施的评估,内部检测结果也应当给予适当的优先级进行整改。

为了保护重要的数据,应当定期执行备份。不允许未经事前授权的访问。除此之外,重视源代码的控制,对于版本库的使用给予适当的授权,定期备份代码,使项目免遭难以防范的内部破坏。如果这些解决方案从项目开始就实施了,并且新加入的成员也按约定执行,那么就为后续有效控制违规用户提供了一种便利。

实现一个日志记录和/或监控系统,它将对当前网络中运行中的系统提供一个可视化的展现,同时也能为攻击事件提供有价值的证据。对于一个有效的监控解决方案而言,分析师必须定期检查报警和输出,否则可能会错过攻击的迹象。针对具体的系统或网络,确定一个正常的基线,对偏离基线的活动进行调查。从用户的角度而言,如果在试图访问一个受限制的区域的时候弹出一个报警提示,警告用户正在接受监控,这是一种有效的威慑,可以作为监测解决方案的一部分。

对于自己内部开发软件的公司而言,建议在部署之前进行彻底的代码审查。由外部安全专家进行代码审查,删除安全漏洞,同时确保开发团队中没有人可以插入后门或故意留存可以利用的有缺陷的代码。

数据丢失防御(Data Loss Prevention ,DLP) 解决方案是一重保证,可能会给出一些公司内部恶意活动的警告。解决方案通过指纹数据可以分析网络边界的一些情况,同时通过流量分析可以发现大规模数据泄露的迹象,也能防止数据通过可移动媒体进行传输。

4.3 业务

与技术防护相比,业务安全的防护战略更加关注环境中已有的、至关重要的内部威胁。

权责分离是一个尽可能要去努力落实的策略,即一个人不能同时担任执行和监督的角色。另外,双人备份原则也需要适当的落实,尤其是在一些重要的业务操作方面。

确保组织中没有单点故障很重要,同时要确保没有任何一个员工可以积累到大量重要的数据。这些数据包括源代码、数据库、知识产权或其它业务重要职能。

最小权限原则应该覆盖到所有用户。这就意味着员工只允许被赋予当前角色应当获取到的最低权限。适用于数据库和系统的访问控制。

当用户角色改变时,对应的权限也应当及时调整,改变或删除。当员工即将离职的时候,及时进行权限删除的操作是至关重要的,

安全政策要有意义,而不是制造错误的文化。例如,如果密码策略要求用户不能共享自己的账户信息,但IT部门精要要求员工提供登录凭据才能进行技术支持,这会让员工以为在某些情况下可以忽略政策。这样做的后果之一,就是导致他们极易被社会工程学攻击突破。

应对内部威胁的响应流程,应该连接到企业内部不同的功能部门。如物理安全团队意识到有人在非正常营业时间进入了办公室,人力资源团队已经报告了有人在偷窃客户数据,IT团队发现有大量数据被下载的警示信息,这些结合在一起就能提供可靠的证据,一个风险被及时发现,而不是事后。

高级管理层的支持和赞助,是任何安全政策得以执行的重要因素。董事会成员在考虑安全问题时,应同时考虑到内部和外部攻击者。相应地计划和审计活动应该考虑到所有的系统和过程,它们存在哪些威胁?该如何缓解?这样做有助于产生一个更强大的和可执行的安全策略。

这也应当延伸到创造良好的安全文化这个主题。任何落实到位的政策都应适用于所有级别的员工。

根据CERT的报告,很多内部威胁的当事人都没有意识到行为的后果,他们的行为没有任何监控。加强用户安全意识可能会使潜在的攻击者三思而后行。不过这个环节要注意,确保不透露技术细节,否则可能允许攻击者绕过控制。另外一个透明的安全政策,是使员工意识到存在监测程序,该政策允许任何必要的调查,面向所有员工。

5. 结论

来自恶意的内部威胁越来越受到关注,不过大多数公司往往忽略了采取必要的安全措施。内部威胁的形式多种多样,不过根据其潜在动机的不同,在系统的任何薄弱环节,都可以进行识别和实施相应的措施。

为了实施缓解内部威胁的最佳实践,需要确定组织中的高风险角色,并且确定适当的措施落实到,有效减少个体造成损害的机会,无论是故意还是意外。

除此之外,组织应该识别他们的重要资产并进行保护。这不仅涉及到阻止攻击者的访问控制,还涉及到尽力控制个人的合法访问,确保只对真正需要访问它的人开放权限。

在解决人员、技术和业务面临的风险方面,有很多策略需要实施,一个成功的系统控制,必须考虑到所有领域。

传统的渗透测试突出了技术风险,但不会有效的发现程序或业务层面的漏洞。将风险评估与业务审计结合起来,安全检测可能会发现更多的程序和业务控制漏洞,需要进行改善。

基于场景的测试可以为发现内部威胁提供更多的可能,这大概是最有效的解决方案,即内部有一个特定权利的团队,包括管理人员、技术人员和工程师,他们试图执行某个行为,可能保护敏感数据泄露或(无害/模拟)的逻辑炸弹。测试报告中突出在各个领域发现的问题,并提出建议,从整体层面上最大限度的限制内部威胁。

6. 更多资料

6.1 阅读资料

https://www.cpni.gov.uk/system/files/documents/62/53/Holistic-Management-of- Employee-Risk-HoMER-Guidance.pdf

https://www.cpni.gov.uk/system/files/documents/63/29/insider-data-collection-study- report-of-main-findings.pdf

https://www.cert.org/insider-threat/best-practices/index.cfm

http://resources.sei.cmu.edu/library/asset-view.cfm?assetid=484738

https://www.cpni.gov.uk/reducing-insider-risk

https://www.cert.org/insider-threat/index.cfm

6.2 可用工具

https://www.strozfriedberg.com/press-release/stroz-friedberg-announces-insider-threat- detection-tool-scout/

https://www.cert.org/insider-threat/research/merit-interactive.cfm

http://resources.sei.cmu.edu/asset files/TechnicalNote/2013 004 001 64688.pdf

http://resources.sei.cmu.edu/asset files/TechnicalNote/2013 004 001 40234.pdf

http://resources.sei.cmu.edu/asset files/TechnicalReport/2016 005 001 454627.pdf

https://www.cpni.gov.uk/system/files/documents/c3/69/CPNI-personnel-security- maturity-model.pdf

http://resources.sei.cmu.edu/asset files/WhitePaper/2015 019 001 451069.pdf

 

参考来源:nccgroup,转载请注明来自MottoIN

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/102545.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code