观察这些年的信息泄漏案件比例,内部威胁在快速上升。内*的范围其实很多,传统上安全会抓账号泄漏、横向移动之类。但如果是商业间谍、搞破坏、内部欺诈这些行为,安全上基本上没能力管。很多安全同学吐槽,安全在公司不受重视,得不到资源,在我看来,是安全目前做的这些事相对于公司的大风险来看,太小,在高层那里不受重视理所当然,当安全有能力为公司发现、收敛更大的风险,地位当然会上升。如果你有能力抓内*,汇报层级也会直线上升。本文要和大家说的就是:怎么抓内部威胁。
本文不涉及美人计,想了解美人计的私聊。
一、内*动机及范围内*的动机一般包括:搞破坏、窃取数据、欺诈、商业间谍、无意犯错、偶然间装逼犯。内部人员作案一般是一个持续过程,在这个过程中有逐渐变化,最后到事件一次发生,多次得手。
内部人员的范围并非是“纯粹”内部人员,也包括生态上下游合作伙伴、外包、访客等任何具有内部访问权限或数据的人。给一个清晰定义,就是基于知识、访问、信任的角色。
所谓知识,如果一个人知道系统的位置、防御措施可被绕过,则为掌握了相关知识。常见例如系统的开发人员可能知道产品的几个0DAY,离职员工掌握测试系统账号密码等。
从技术角度看,IT系统验证凭证有效性,允许访问资源。因此任何获得凭证的人都可被视为内部人员,也即访问角色。即使系统有多因素认证,内部人员也可把短信验证码之类的验证要素提供给其他人员,所以从这个角度来说,IT系统很难完全防范。
还有一种是信任角色,最简单可理解为你的合作伙伴、外包等人群,也包括内部人员。这些人群获得公司一定程度的信任,可以获得部分权限资源,并且以公司名义活动。例如公司的用户数据如果泄漏,在监管和舆论来看,这就是你的问题,而不是外包或代理商。
通常内部抓到的坏人处于公司形象的问题不会公开,而由于不会公开,所以实际案例可能比我们看到的多的多。但其实你可以从法院的公开判决文书找到很多案例。对内部坏人的处理逻辑,首先是内部调查,确定性质和行为。再接下来是走司法程序,但事实上很多公司会开除且不声张。
系统破坏数据窃取内部欺诈商业间谍装逼犯谁技术人员(例如,系统管理员或网工、开发);特权人员设计师、工程师、程序员、销售较低层员工(例如,服务台、客服、数据录入等);低/中层管理窝案技术和非技术都有可能什么时候在职期间待离职期间离职前后60天内较长时期内较长时期内间歇性动机报复创业跳槽钱钱对现状不满怎么做获取、能力和动机邮件、u盘等数据泄漏利用业务漏洞贪污关键环节缺少控制所有手段都可能做了什么对系统产生影响窃取信息贩卖数据获取利益利用补贴、采购等过程获利销毁信息,隐藏自身1、破坏对IT系统的破坏可能是大家最不重视的环节了,这些人往往都是技术人群,工作中有较高的系统权限,也是相对信任人群。如果这些人准备删库跑路,实施起来很容易,业界此类案例屡见不鲜。
动机主要是报复,不管是什么原因,总之是员工期望没有得到满足,可能是加薪升职,也可能是绩效,也可能是和主管关系不好。案件一般发生在离职前后,有些情况是在系统放入后门,离职后进行操作,例如前阵时间芜湖某网管的案件,就是掌握了远程路由设备的密码,然后更改配置进行了破坏。其结果一般导致可用性、完整性被破坏。
2、数据窃取对很多公司来说,数据或核心资料泄漏是最大担忧,这一类案件层出不穷,从世界巨头商业公司到*府部门。大公司数据泄漏还能活下来,很多小公司因为一个配方、工艺的泄漏,可能就结束了。设计师、工程师、程序员和销售最有可能,一般情况下获取的是自己创造的信息。行为上可能发生在离开公司前后60天之内,方式上有很多,邮件、网盘、U盘、拍照、打印等都有可能。
3、内部欺诈这是公司里面最大的群体了,跟其他不同的是,其目标是为钱。而这部分里面有相当多是工资比较低的那部分人群,非专业、非技术人员。由于对钱的需求,所以这些行为可能持续较长时间,如果有一个中低层主管参与的团伙,则更容易获得成功。内部欺诈是破坏公司现有流程实现的,例如客服向用户发放红包,就存在内外勾结的可能。除此之外,特权比较多的人员也是其中一个群体。
另外常见的一种情况是贩卖用户个人敏感信息,例如房产公司销售会把用户手机号卖给装修公司。个人敏感信息相对套现比较容易,需求方也明确,获取难度也不大。
4、商业间谍不要觉得商业间谍是一个遥远的事情,在当前的商业竞争形势下,各种套取信息、混入内部的案件比比皆是,只不过被公开报道出来的比较少。商业间谍不是在电视上看到的那种高大上间谍场景,又是色诱又是富家子弟什么的。现实中他们既有可能来自竞争对手,也有可能来自黑产,例如一个某宝店铺,雇用了一个员工,这个员工有相当多的某宝运营经验,在获取了用户地址、联系方式等信息后即辞职,去了下一家。而这个员工,就是间谍的一种,专门获取信息获利。
商业间谍在作案时间上和其他不同,他们可能偶然活跃一次,然后沉静下来,直到下一次。
5、无意威胁前面的