欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

内鬼泄密猛于黑客,如何保护好防火墙内的世界

来源:本站整理 作者:佚名 时间:2018-05-08 TAG: 我要投稿

你可以建起一面墙,设置周全的防御措施,花费大量人力物力来维护,以便抵御威胁。但是,如果你的敌人来自内部,那么这面墙就形同虚设。与内部敌人的斗争是一场没有硝烟但依然严峻的战争。

4月底,美团、饿了么、百度外卖等外卖平台的用户信息泄露事件再次引起了全民探讨。信息泄露原本不是什么新鲜事了,但这一次,泄露信息的并不是人们谈之色变的黑客,也不是因为什么没有及时修复的漏洞,而是企业没有引起足够重视但却能造成严重危害的内鬼(Insider)。
猖獗的内鬼
随着国内外立法和宣传逐渐增多,很多企业对于信息安全和数据保护已经有了初步的认识,也采取了适当的安全产品和安全服务来防范来自外部的威胁与攻击。但是,明枪易躲暗箭难防。他们在重视外部威胁的同时,却忽视了内部的威胁同样严重,同样需要采取对应措施。
关于内鬼泄露信息的案例,国内外其实比比皆是。除去尚未调查出结果的美团、饿了么和百度外卖不提,传闻表示前段时间刚被美国制裁的中兴,也是因为企业自身的不谨慎而被“内鬼间谍”获取机密文件,最终在法庭上处于劣势。据说,美国为了调查中兴、搜集证据,派了卧底律师进入中兴, 结果发现中兴把包括合同、战略等高度机密的文件都放在内网中,只要是公司员工都可公开访问。因此,该律师不费吹灰之力就拿到了压倒中兴的致命证据。后来,美国商务部还专门做了一份中兴反面教材 PPT 公开到网上,提醒后来者注意。

2016 年,智联招聘的经营方北京网聘咨询有限公司(以下简称“智联招聘”)报案称,公司员工申某利用公司业务逻辑的问题非法获取用户的简历库账号及密码,并将用户简历向外兜售,涉案信息数量超过 15 万条。这些简历包括了姓名、身份证号、住址、电话、受教育程度、工作单位、薪资收入等大量详细的个人信息,导致智联招聘损失将近 2500 万元。最终,法院判处该员工有期徒刑三年六个月。
2017 年,谷歌前高管离职加入 Uber,同时带走了将原本属于谷歌的自动驾驶技术。对此,谷歌起诉了这名高管以及 Uber,最终获得 2.45 亿美元的业务赔偿金。当然,最有代表性的的内鬼泄密估计就是斯诺登“棱镜门”了:斯诺登利用其安全部门承包商雇员的职务之便,获得对关键系统的访问权,随后从美国国家安全局拷贝了数十万份机密文件。他将这些资料提供给英国《卫报》与美国《华盛顿邮报》两家著名媒体,曝光之后引发轩然大波。这件事情的直接后果就是美国国家安全局与联邦调查局于2007年就启动的美国有史以来最大规模的秘密监控项目公之于众。在这个过程中,攻击者(斯诺登)来自美国安全部门内部,无需利用黑客入侵手段,只利用职务权限就能窃取机密信息;而遭受攻击的是美国国家安全部门,导致国家安全防御体系遭到破坏,让美国政府饱受舆论压力。

内鬼带来的威胁
内鬼在信息领域统称为”Insider”,他们造成的威胁叫做内部威胁(Insider Threat),与外部威胁相对应。确切说来,内部威胁就是由内部人威胁企业或组织安全的行为。按照 2012 年美国 CERT 提出的定义:
内部威胁攻击者一般是企业或组织的员工(在职或离职)、承包商以及商业伙伴等,其应当具有组织的系统、网络以及数据的访问权;内部威胁就是内部人利用合法获得的访问权对组织信息系统中信息的机密性、完整性以及可用性造成负面影响的行为。
美国CERT中心认为,内部威胁主要分为系统破坏、知识产权窃取与电子欺诈三类基本的攻击类型,由此组合形成复合攻击以及商业间谍攻击。本文所说的泄密内鬼,实施的就是其中的知识产权窃取类攻击。

安全公司迈克菲近期的调查显示,43% 的数据泄露都来自内鬼,而 Information Security Forum 的调查结果则显示为 54%。这表明,内鬼泄密其实已经成为信息泄露的主要原因。我国公安部网络技术研发中心主任许剑卓曾公开表示:目前,公民个人信息泄露造成危害最大的行业主要是银行、教育、工商、电信、快递、证券、电商等行业,由于这些行业掌握大量个人信息,内部人员更易泄露数据。
企业应当如何防范内鬼?
内鬼来自企业安全边界的内部,可以躲避防火墙等安全设备的检测,因此很方便就能获取到企业内部资料及财产,而且由于他们自身具有关于企业的相关知识,更容易实施攻击。内鬼具有高度的隐蔽性,对企业造成的危害也更严重。
需要注意的是,内鬼通常不是单独作案,而是会与信息交易产业链中的上下游人员接触。就算他们凭一己之力完成信窃取过程,最终也需要与他人或其他组织联系,将手中的信息处理出去。在前文提到的外卖平台内部人员泄露信息的案例中,电话销售群、网络运营公司、商家及骑手均参与其中,他们与地下黑市的人员勾结,将数量庞大的用户数据变成了交易和谋利的对象。
国内的内部威胁研究并没有多少系统性成果,我们可以参考美国 CERT 对于内部威胁的政策,总结出一些方法供国内企业参考。
企业管理层人员可以采取的措施:
数字资产标识  
作为管理者或企业安全业务相关的人员,最好按照 ISO 55000 国际标准对企业数字资产进行标识。ISO 标准规定:
资产是对组织有实际价值或潜在价值的物品、事物或实体。资产管理使组织能够在实现目标的同时实现资产价值。
虽然ISO 55000侧重于实物资产管理,但其定义也适用于数字资产(包括数据)。“关键资产”价值之外的内容在于:如果关键资产受到严重损害,就会影响组织的继续运营。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载