美軍核潛艇機(jī)密泄露案:如何防御受過(guò)內(nèi)部威脅培訓(xùn)的內(nèi)部威脅者?
2021年10月,美國(guó)海軍核工程師喬納森·托比(Jonathan Toebbe)及其妻子戴安娜·托(Diana Toebbe)因試圖將核動(dòng)力戰(zhàn)艦的設(shè)計(jì)出售給外國(guó)代表被以間諜罪逮捕。此次內(nèi)部威脅事件再次引發(fā)了一個(gè)問(wèn)題:企業(yè)組織應(yīng)該如何處理接受過(guò)內(nèi)部威脅培訓(xùn)的內(nèi)部威脅者?
背景介紹
美國(guó)海軍工程師喬納森·托比因試圖以500萬(wàn)美元出售敏感的核潛艇機(jī)密被捕入獄,如今,他正在西弗吉尼亞州的監(jiān)獄中等待12月份的最終審判。
我們只能想象海軍信息安全團(tuán)隊(duì)在得知最敏感機(jī)密泄露后的慌亂場(chǎng)景,他們應(yīng)該會(huì)組織談?wù)撘粤私膺@些機(jī)密究竟是如何被人為帶出機(jī)密環(huán)境,帶回員工住所,然后傳遞給未經(jīng)授權(quán)的第三方。內(nèi)部威脅的縮影再次重現(xiàn)了!
那些參與過(guò)緩解內(nèi)部威脅項(xiàng)目的人幾乎一致認(rèn)為,人們從工作場(chǎng)所竊取專有機(jī)密的傾向會(huì)隨著離職期接近而與日俱增。據(jù)法庭文件顯示,Toebbe曾希望獲取高額薪資,并從海軍工作中抽身。此次公開(kāi)事件也許再次印證了他正考慮退出的想法。
注意!您的惡意內(nèi)部人員受過(guò)內(nèi)部威脅培訓(xùn)!
Toebbe講述了自己是如何在不引起同事們懷疑的情況下竊取海軍機(jī)密的犯罪過(guò)程。他表示:“我在日常工作中非常小心地、慢慢地、自然地收集我擁有的文件,所以沒(méi)有人會(huì)懷疑我的計(jì)劃。而且,我們接受過(guò)內(nèi)部威脅培訓(xùn),我可以有針對(duì)性地避免觸發(fā)任何可疑行為。即便將來(lái)有調(diào)查,我也堅(jiān)信我以前的任何同事都不會(huì)懷疑到我身上。”
法庭文件顯示,雖然他多年來(lái)拿走了10,000多頁(yè)的文件,但他堅(jiān)稱只拿了自己可以自然接觸的文件。他還默記了部分信息,回家后重新繪制了圖表。此外,他還在多個(gè)海軍研究地點(diǎn)竊取了這些機(jī)密。他的信件和他執(zhí)行非個(gè)人間諜活動(dòng)的嘗試表明,他正在借鑒其他成功竊取機(jī)密的內(nèi)部人員所使用的大量間諜歷史和方法論。
其他類似內(nèi)部威脅案例
就Toebbe的數(shù)據(jù)泄露方法而言,我聯(lián)想到了其他四起政府內(nèi)部威脅案例。所有這四個(gè)人都接受過(guò)反間諜培訓(xùn),其中包括有關(guān)內(nèi)部威脅的部分內(nèi)容。他們還被教育需要自我報(bào)告處理機(jī)密信息時(shí)的任何錯(cuò)誤,并報(bào)告工作場(chǎng)所內(nèi)的任何可疑活動(dòng)。
上世紀(jì)80年代中期,海軍分析師喬納森·波拉德(Jonathan Pollard)曾一周多天,每天兩至三次將文件帶離工作場(chǎng)所。他將文件統(tǒng)一存放在一個(gè)手提箱中,等待交付給他的以色列情報(bào)處理人員。在長(zhǎng)達(dá)一年的時(shí)間里,Pollard盜竊文件的行為都沒(méi)有被發(fā)現(xiàn)。直到一位同事看到Pollard對(duì)機(jī)密材料處理不當(dāng)并舉報(bào)。最終,政府認(rèn)定Pollard已將相當(dāng)于18立方英尺的機(jī)密材料帶離工作場(chǎng)所。
2015年,美國(guó)國(guó)家安全局(NSA)的承包商Reality Winner在她的工作場(chǎng)所打印了一份機(jī)密文件,并將其塞進(jìn)連褲襪中,然后順利地躲過(guò)安檢,將其郵寄給了一家媒體。她同樣接受過(guò)內(nèi)部威脅培訓(xùn)。直至媒體要求美國(guó)國(guó)家安全局確認(rèn)發(fā)送給他們的數(shù)據(jù)時(shí),她才被發(fā)現(xiàn),美國(guó)國(guó)家安全局的調(diào)查顯示,Winner是有權(quán)限閱讀該文件的少數(shù)人之一,也是唯一一個(gè)打印文件的人。
然后是情報(bào)界的承包商哈羅德·馬丁(Harold Martin),他被發(fā)現(xiàn)在1996年至2016年期間從不同的工作地點(diǎn)泄露信息。據(jù)悉,當(dāng)他被發(fā)現(xiàn)時(shí),聯(lián)邦調(diào)查局調(diào)查人員發(fā)現(xiàn)他保留的信息量超過(guò)50 TB。在審判期間,政府部門(mén)注意到他也接受過(guò)內(nèi)部威脅培訓(xùn)。
安娜·貝倫·蒙特斯(Ana Belen Montes)于2002年被判入獄,她被捕時(shí)正是國(guó)防部(DoD)的首席分析員。在她擔(dān)任分析師的整個(gè)任期內(nèi)(大約17年),她也是古巴政府的秘密間諜。 她天生具有近乎攝影般的記憶力,因此據(jù)信她從未從工作場(chǎng)所帶走任何文件。相反地,她記住了內(nèi)容,然后將其重新創(chuàng)建以傳遞給她的古巴情報(bào)人員。最終,一名古巴叛逃者提供了可以識(shí)別Montes的線索才將其逮捕入獄。
如何識(shí)別此類內(nèi)部威脅者?
Toebbe長(zhǎng)期竊取文件是否足以觸發(fā)當(dāng)今可用的內(nèi)部威脅監(jiān)控技術(shù)?是否足以觸發(fā)同事檢測(cè)到涉及機(jī)密文件的異常事件?毫無(wú)疑問(wèn),海軍內(nèi)部的損害評(píng)估正在努力回答這些問(wèn)題。
Code42公司的Joe Payne指出,政府和私營(yíng)部門(mén)之間存在差異。他觀察到,在設(shè)定對(duì)員工行為的期望以及在非常真實(shí)的期望范圍內(nèi)運(yùn)作時(shí),政府部門(mén)的標(biāo)準(zhǔn)比私營(yíng)部門(mén)高得多,政府員工從一開(kāi)始就接受過(guò)培訓(xùn),并且養(yǎng)成了“看到可疑,立即上報(bào)”的習(xí)慣。不過(guò),只要作案總有痕跡可尋,調(diào)查人員可以以此來(lái)檢測(cè)Toebbe的行為。
那么,技術(shù)應(yīng)該如何檢測(cè)Montes(上述擁有超凡記憶力的內(nèi)部威脅者)和Toebbe這種通過(guò)記住機(jī)密內(nèi)容,隨后重新創(chuàng)建副本的行為呢?DTEX Systems公司安全和商業(yè)智能總監(jiān)Armaan Mahbod指出,單純?cè)陂喿x/掃描的用戶不會(huì)長(zhǎng)時(shí)間逗留。技術(shù)應(yīng)該能夠判斷用戶與其他人相比在特定文檔中的用時(shí)長(zhǎng)短,并在出現(xiàn)異常活動(dòng)時(shí)發(fā)出警報(bào)。
從殘酷的內(nèi)部威脅現(xiàn)實(shí)中吸取教訓(xùn)
問(wèn)題的本質(zhì)仍然是人員匱乏。鑒于審計(jì)職能人員不足,那些竊取文件的內(nèi)部威脅者才有機(jī)會(huì)從職權(quán)訪問(wèn)范圍緩慢且有條不紊地向其他領(lǐng)域滲透。如今,組織在人力資源、IT和安全等部門(mén)間已經(jīng)實(shí)現(xiàn)不同程度的跨部門(mén)溝通。不過(guò),我們的最終目標(biāo)是在整個(gè)組織內(nèi)加強(qiáng)他們的溝通,從而進(jìn)一步加強(qiáng)安全性。
關(guān)注內(nèi)部威脅的CISO需要與企業(yè)和基礎(chǔ)設(shè)施的其他領(lǐng)域緊密合作,以確保當(dāng)調(diào)查員工在一個(gè)領(lǐng)域的行為時(shí),他們?cè)谒蓄I(lǐng)域的行為都能得到審查。此外,最高管理層應(yīng)該鼓勵(lì)所有員工和承包商在與同事互動(dòng)時(shí)接受“發(fā)現(xiàn)異常,立即上報(bào)”的心態(tài)。
最后,應(yīng)該讓您的員工以受信任的方式完成他們的工作,并用一把“保護(hù)傘”將他們包裹起來(lái),這樣如果他們冒險(xiǎn)偏離流程和程序——例如,加載到基于Web的存儲(chǔ)——就會(huì)立即得到糾正。
本文翻譯自:https://www.csoonline.com/article/3641410/what-cisos-can-learn-from-the-navy-insider-who-went-undetected-stealing-us-nuclear-secrets.html如若轉(zhuǎn)載,請(qǐng)注明原文地址。
