七大真實內部威脅案例
造堵墻,墻頭堆滿各種邊界防御措施,再投入大量資源維護?沒問題,你可以這么干。但如果你的敵人來自內部,這墻沒啥用處。
不同的戰場
內部敵人,你早晚會遇到,或者,現在就遇到了。老牌安全公司邁克菲表示,43%的數據泄露都是內部人干的。ISF信息安全論壇則將內部人所致數據泄露的比例定在了54%。無論你覺得哪個數字靠譜,邪惡的內部人員都是真實存在的問題。
保護自己的領地不受內部人威脅侵害是與正面戰場完全不同的戰爭形式。很難定義這是個怎樣的戰場,里面的士兵難以分辨,也無法用更好的反惡意軟件產品加以阻止。這是必須以知識、情報和內部協議打贏的戰爭。
知己知彼百戰不殆。與敵人過招的第一步就是要了解敵人。下面是著名的七個自毀長城的例子供參考:
1. 偷走未來的人
Anthony Levandowski 的故事或許還未完全終結。但他的事跡以及自動駕駛汽車的誕生過程,卻似乎可以概括內部人數據泄露的大概特征。
Levandowski曾受聘于Waymo的前身,谷歌自動駕駛汽車研發部門。在那里,他參與研發了奠定整個智能汽車產業基礎的lydar。2016年5月,Levandowski離開谷歌,創立了 Otto Motors。之后不久,2016年7月,Uber買下了Otto。
故事的高潮就出在Levendowski的跳槽過程中。有傳言說,Uber當時的首席執行官 Travis Kalanick 一手導演了Levendowski打入Waymo盜取知識產權再轉而開啟自身無人駕駛汽車項目的劇本。據稱,在Levendowski離開谷歌前,他下載了包括藍圖在內的數千份文件,并將這些文件都帶到了Otto,以便賣給Uber。當然,谷歌憤而起訴了,很高調地。
2018年2月,Waymo和Uber和解。Uber現任首席執行官 Dara Khosrowshahi 公開道歉,并承諾此后將以誠信為先。和解協議中,Uber給了Waymo 0.34%的股份(價值2.45億美元)。
2. 42.5萬美元的文檔
Jason Needham 事件再一次證明,員工離職時確保其沒有順走專利數據可能是明智的做法。在2013年離職成立自己的公司之前,Needham是田納西州工程公司 Allen & Hoshall 的雇員。
然而,離職后的兩年間,他依然可以偷偷摸摸地訪問前雇主的文件服務器和電子郵件。他下載了價值42.5萬美元的文檔和設計,無數次查看某前同事的郵件。法庭上,Needham宣稱,自己只是習慣性查看以前的項目而已。但是,當一名客戶發現他競標的一份提案十分可疑地與 Allen & Hoshall 的設計非常相似的時候,他的說辭就顯得蒼白無力了。
FBI介入調查,并幫 Allen & Hoshall 立案。最終,Needham被吊銷了工程師執照并被判入獄18個月。
3. IBM集群文件系統源代碼
徐家強(音譯)案就是受信內部雇員可對公司造成多大傷害的絕佳案例。徐家強是在IBM開發集群文件系統源代碼的中國籍員工。他是少數幾個能夠接觸到該專利軟件的人,此專利產品存儲在精心打造的防火墻之后,受到重重保護。
在被IBM聘用并取得公司信任后,徐家強拷貝了該軟件,然后辭職,出售該副本以牟利。一名FBI探員臥底調查該案。他與臥底探員見面時提供了該軟件的一個版本,并附上可證明該版軟件出自IBM的源代碼。而且他還提出可為臥底探員提供代碼修改服務,去掉代碼源產地信息。那次見面過后不久,徐家強就被捕了。
徐家強認下了美國司法部對他的所有指控,被判入獄5年。
4. 損失了10億美元的股票
Dejan Karabasevic 從清潔能源公司AMSC跳槽到中國風力渦輪機公司華銳風電(Sinovel)絕不是表面上看上去那么簡單。
在AMSC工作的時候,Karabasevic是 AMSC Windtec 自動化工程部門的負責人,可以接觸到該公司的風機效率專利技術。Karabasevic不僅僅是在華銳風電謀得了更好的職位,他根本是被這家AMSC最大的競爭對手給策反了。華銳風電讓他在入職時把AMSC的軟件一起帶過來。于是,在離職前,Karabasevic將代碼秘密下載到了外部計算機上。
一拿到代碼,華銳風電就翻新了自己的風力渦輪機,省下8億美元從AMSC購置相關產品的費用。該代碼盜竊案之所以被發現,是因為受華銳風電委托翻新渦輪機的某供應商發現了可疑之處。
代碼失竊對AMSC傷害重大。審理中呈上的證據顯示,AMSC損失超過10億美元的股票和近700個工作職位——超過其全球員工總數的一半。代理助理總檢查長在聲明中稱:“通過盜取知識產權,華銳風電幾乎摧毀了一家美國公司。”
5. 垃圾郵件成救星
David Kent 為石油公司員工建了個名為Rigzone.com的社交網站。2010年,Kent將這家網站以5100萬美元的價格出售給了DHI集團,并簽署了競業禁止協議。
他遵從了該協議。但一待協議過期失效,他就馬上建立了另一個類似的站點Oilpro.com,希望再被DHI看上而買下。幾年過后,Oilpro的注冊用戶達到了50萬人,DHI有意以2000萬美元的價格買下該網站。
然后,一封垃圾郵件曝光了他的整個騙局,令他鋃鐺入獄。
原來,Kent根本不是所謂的社交網絡天才,他其實就是個黑客。他入侵了已賣給DHI的那家網站,在如今受雇于該網站的前同事的幫助下,盜取了70萬個客戶賬戶。
一名Rigzone客戶投訴稱,在絲毫沒有給過Oilpro任何信息的情況下仍收到了來自Oilpro的垃圾郵件。于是,Rigzone設置了幾個虛假賬戶以捕獲作惡者。這些賬戶根本沒有公開,卻仍很快收到來自Oilpro的垃圾郵件。至此,Rigzone明白了事情的真相,FBI介入,Kent獲刑3年。
6. 系統破壞者被判一年
Christopher Victor Grupe 的故事就是心懷怨恨的雇員可帶來危險的真實案例。
Grupe是加拿大太平洋鐵路公司的系統管理員,但他與同事相處得不太順利。2015年12月,他因不服從上級而被停職。而當他復工時卻被告知已經被解雇了,而且是當場解雇,立即生效。他說服老板讓他以辭職而不是被解雇的形式離開。但在交還公司筆記本電腦前,他用這臺筆記本電腦登錄了公司網絡,刪除了重要文件和一些管理員賬號,修改了其他人的賬戶口令。然后,他格式化了硬盤以隱藏其操作痕跡,之后才上交了這臺筆記本電腦。
在他離開后,公司網絡就開始不穩定,公司IT員工紛紛發現自己登錄不了系統,執行不了修復操作了。最終,他們只能重啟網絡,雇傭外部公司進行修復。系統日志揭示了Grupe就是罪魁禍首。
Grupe被發現后獲刑1年。
7. 還記得塔吉特嗎?
有時候泄露數據的內部人未必真的在內部,也不一定非得突破網絡才可以泄露。這一點在2014年臭名昭著的塔吉特白虎數據泄露案中被體現得淋漓盡致。塔吉特案曝光了約7000萬人的姓名、地址、電話號碼、電子郵件地址和信用卡數據。
黑客在塔吉特銷售終端設備上成功安裝了數據刮取器。但想要取回偷到的數據,他們必須進到塔吉特的網絡中才行。因此,他們需要內部信息。通過突破一個相對較弱的系統,他們獲取到了內部信息。
該系統就是塔吉特的一家承包商:Fazio Mechanical ——一家制冷業承包商。Fazio的一名雇員中了網絡釣魚騙局,在公司網絡中安裝了Citadel惡意軟件。當在Fazio的某人登錄塔吉特網絡的時候,Citadel就會捕獲登錄信息并發送給黑客。有了這些敲門磚,黑客就可以用他們瘋狂的技術侵入塔吉特的網絡。接下來發生的事,大家都知道了。
