內(nèi)部威脅檢測的監(jiān)測策略
隨著越來越多的日志記錄和監(jiān)測工具可供使用,在企業(yè)組織檢測內(nèi)部非法活動看起來似乎應(yīng)該很簡單。但是,內(nèi)部惡意破壞的案件數(shù)量卻在不斷增加,其主要原因是大多數(shù)從事欺詐、盜竊、IT蓄意破壞或者間諜活動的內(nèi)部人員都能獲得經(jīng)授權(quán)的訪問權(quán)限,而且從表面上來看,他們的惡意活動跟其每天從事的在線活動沒有什么異常。
對于企業(yè)來說,內(nèi)部人員引起的數(shù)據(jù)丟失是一個非常大的威脅。所以,采取一定的策略來監(jiān)測和防止或者減少惡意內(nèi)部人員的這些活動至關(guān)重要。在本文中,我將根據(jù)我所在團隊九年的研究、CERT數(shù)據(jù)庫中的400個真實的內(nèi)部威脅案例、從評估中學(xué)來的教訓(xùn),以及在我們內(nèi)部威脅研討會上提到的行為模式,為大家闡述幾個切實可行的,使用內(nèi)部威脅檢測工具的安全策略。
在討論內(nèi)部威脅檢測過程之前,有必要簡要地定義一下內(nèi)部惡意人員(malicious insider)這個詞的含義。一個惡意內(nèi)部人員可以是任何一位具有以下特征的現(xiàn)任或者前任員工、承包人或者其他業(yè)務(wù)合作伙伴:
◆目前或者曾經(jīng)具有訪問企業(yè)內(nèi)部網(wǎng)絡(luò)、系統(tǒng)或者數(shù)據(jù)的權(quán)限;
◆在一定程度上故意超越或者濫用其訪問權(quán)限,對企業(yè)的機密、完整性,或者企業(yè)信息或信息系統(tǒng)的可用性產(chǎn)生了不利影響。
本文包含了三種內(nèi)部犯罪活動:內(nèi)部IT蓄意破壞、內(nèi)部欺詐,以及知識產(chǎn)權(quán)(IP)盜竊。每種犯罪活動都需要用特定的內(nèi)部威脅檢測策略來監(jiān)測。
內(nèi)部IT蓄意破壞:這種犯罪活動旨在給企業(yè)或者個人造成損失。從事這種活動的罪犯通常是那些心懷不滿的系統(tǒng)管理員或者數(shù)據(jù)庫管理員,他們的活動往往會造成系統(tǒng)崩潰、數(shù)據(jù)被擦除,或者導(dǎo)致業(yè)務(wù)運行中斷等后果。這種犯罪活動通常使用以下幾種技術(shù):采用后門賬戶、在職期間植入惡意代碼,或者用密碼破解器、社會工程得到密碼等。
這里有幾個關(guān)鍵的監(jiān)視和檢測策略,專門針對潛在的內(nèi)部IT蓄意破壞活動。企業(yè)應(yīng)該考慮把這幾個策略添加到標準的安全實踐中。它們包括:
檢測配置的變化——許多內(nèi)部人員會在操作系統(tǒng)腳本中、產(chǎn)品程序或者系統(tǒng)工具中植入惡意代碼。攻擊目標多種多樣,而且攻擊方法也在不斷演變。然而,利用改變控制,來用工具來監(jiān)測這些文件的變化是有可能的,因為它們很少被改變。
對網(wǎng)絡(luò)外圍進行控制,對可疑流量進行預(yù)警——大多數(shù)企業(yè)會使用像入侵檢測系統(tǒng)(IDS)工具來監(jiān)視內(nèi)部流量。然而,在CERT數(shù)據(jù)庫中,有的內(nèi)部人員從地下因特網(wǎng)(Internet Underground)得到黑客工具并獲得幫助(請看CERT的報告:熱點聚焦,與地下因特網(wǎng)社區(qū)有聯(lián)系的惡意內(nèi)部人員),從而盜竊認證信息和敏感信息。由于這個緣故,企業(yè)很有必要考慮使用像IDS這樣的工具來監(jiān)測惡意的外部流量,并提高警惕。
監(jiān)視未授權(quán)的賬戶——許多內(nèi)部人員會創(chuàng)建后門賬戶,以便于以后進行攻擊。這些賬戶可能很難被監(jiān)測到。我們建議把所有的賬戶跟現(xiàn)有的員工賬號目錄進行比較,通過驗證每個賬戶是否與現(xiàn)有的員工有關(guān)、是否需要員工主管進行認可等手段,積極主動地審查新賬戶。
內(nèi)部欺詐:在這種犯罪活動中,內(nèi)部人員為了達到個人目的或者盜竊用來欺詐(身份偷竊,信用卡欺詐等)的信息,他們會利用IT技術(shù)對企業(yè)的數(shù)據(jù)進行未授權(quán)的改變、添加或者刪除等。
內(nèi)部欺詐通常來自低層次員工(如,客戶支持或者服務(wù)臺員工),他們會利用日常的訪問權(quán)訪問系統(tǒng)。主要的檢測策略是審計數(shù)據(jù)庫事務(wù),從而監(jiān)視針對個人認證信息(PII)、信用卡信息以及其他敏感信息的可疑活動。這種審計應(yīng)該定期進行,但是進行的頻率則依賴于企業(yè)自己的風(fēng)險分析。
知識產(chǎn)權(quán)(IP)盜竊:進行這種犯罪活動的人一般是科學(xué)家、工程師以及程序員,他們會盜竊他們自己所創(chuàng)造的知識產(chǎn)權(quán),比如工程圖紙、技術(shù)細節(jié)以及源代碼等。在表面上,他們的盜竊行為可能并不違法,這使得檢測這些活動更加困難。許多數(shù)據(jù)泄漏防護產(chǎn)品(DLP)會導(dǎo)致信息過載,如果沒有如下所述的相關(guān)政策和過程,它們在監(jiān)測知識產(chǎn)權(quán)信息盜竊時并不實用。CERT的研究表明,大多數(shù)內(nèi)部人員會在辭職以后的30天內(nèi)盜竊知識產(chǎn)權(quán)。
因此,一個實用的監(jiān)測策略包括:
◆記錄日志、監(jiān)視并審計系統(tǒng)日志中的查詢、下載、打印任務(wù),以及電子郵件消息中是否包含大量的數(shù)據(jù)(特別是,是否包含了和知識產(chǎn)權(quán)相關(guān)的信息)。
◆警惕那些發(fā)送給競爭對手、外部地點或者個人電子郵件賬戶的電子郵件。
◆監(jiān)視網(wǎng)絡(luò)流量中異常的大型文件傳輸、長期連接、可疑端口以及可疑資源/目的地IP地址等。
◆使用基于主機的代理來記錄臺式電腦以及筆記本電腦的活動,包括可移動媒體的使用等。
◆對那些能夠訪問知識產(chǎn)權(quán)的辭職員工實施具有針對性的日志審計。總之,持續(xù)進行日志記錄、有目的地監(jiān)視那些與本文描述相符的員工,并實時保持警惕,企業(yè)就能夠有效地防止內(nèi)部威脅,保護自己。
【編輯推薦】
