企業安全之如何抓內鬼

方明

觀察這些年的信息泄漏案件比例，內部威脅在快速上升。內鬼的范圍很多，傳統上的安全會抓賬號泄漏、橫向移動之類。但商業間諜、搞破壞和內部欺詐這些行為，公司的安全部門基本上沒能力管。很多做IT安全的同學表示，IT安全在公司不受重視、得不到資源，在個人看來，是因為IT安全部門目前做的這些事相對于公司的大風險來看太小。在高層那里不受重視理所當然，當安全部門有能力為公司發現、收斂更大的風險，地位自然會上升。如果有能力抓內鬼，匯報層級也會上升。這里和大家說的就是：怎么來抓住內部威脅。

內鬼動機及范圍

內鬼的動機一般包括：搞破壞、竊取數據、欺詐、商業間諜、無意犯錯和偶然間惡意表現。內部人員作案一般是一個持續過程，在這個過程中有逐漸變化，最后到事件一次發生，多次得手。

內部人員的范圍并非是“純粹”內部人員，也包括生態上下游合作伙伴、外包和訪客等任何具有內部訪問權限或數據的人，就是基于知識、訪問和信任的角色。

所謂知識，就是如果一個人知道系統的位置、防御措施可被繞過，則是掌握了相關知識。例如系統的開發人員可能知道產品的幾個“0DAY”，離職員工掌握測試系統的賬號密碼等。

從技術角度看，IT系統驗證憑證有效性，允許訪問資源。因此任何獲得憑證的人都可被視為內部人員，即訪問角色。即使系統有多因素認證，內部人員也可把短信驗證碼之類的驗證要素提供給其他人員，從這個角度來說，IT系統很難完全防范。

還有一種是信任角色，可簡單理解為你的合作伙伴、外包等人群，也包括內部人員。這些人群獲得公司一定程度的信任，可以獲得部分權限資源，并且以公司名義活動。例如公司的用戶數據泄漏，在監管和輿論來看，就是你的問題，而不是外包或代理商。

通常內部抓到的壞人處于公司形象的問題不會公開，而由于不會公開，所以實際案例可能比我們看到的多。但其實可以從法院的公開判決文書找到很多案例。對內部壞人的處理邏輯，首先是內部調查，確定性質和行為，再接下來是走司法程序，但事實上很多公司會開除且不聲張。

1.破壞

對IT系統的破壞可能是大家最不重視的環節，這些人往往都是技術人群，工作中有較高的系統權限，也是相對信任人群。如果這些人準備刪庫跑路，實施起來很容易，業界此類案例屢見不鮮。

動機是報復，不管是什么原因，總之是員工期望沒有得到滿足，可能是加薪升職、績效或者是和主管關系不好。案件一般發生在離職前后，有些情況是在系統放入后門，離職后進行操作，例如蕪湖某網管案件，就是掌握了遠程路由設備的密碼，然后更改配置進行了破壞。結果導致可用性、完整性被破壞。

2.數據竊取

對很多公司來說，數據或核心資料泄漏是最大擔憂，這一類案件層出不窮，從世界巨頭商業公司到政府部門。大公司數據泄漏還能存活，很多小公司因為一個配方、工藝的泄漏，就倒閉了。設計師、工程師、程序員和銷售最有可能，一般情況下獲取的是自己創造的信息。竊取行為可能發生在離開公司前后60天之內，方式上有很多，郵件、網盤、U盤、拍照和打印等都有可能。

3.內部欺詐

這是公司最大的群體了，跟其他不同的是，其目標是為錢。這部分多是工資比較低的人群，非專業、技術人員。由于對錢的需求，這些行為可能持續較長時間，如果有一個中低層主管參與的團伙，更容易獲得成功。內部欺詐通過破壞公司現有流程實現，例如客服向用戶發放紅包，就存在內外勾結的可能。除此之外，特權比較多的人員也是其中一個群體。

另外一種常見的情況是販賣用戶個人敏感信息，例如房產公司銷售會把用戶手機號賣給裝修公司。個人敏感信息相對套現比較容易，需求方也明確，獲取難度也不大。

4.商業間諜

不要覺得商業間諜是一個遙遠的事情，在當前的商業競爭形勢下，各種套取信息、混入內部的案件比比皆是，只不過被公開報道的較少。商業間諜不是在電視上看到的那種高大上的間諜場景，或是色誘富家子弟那些。現實中他們既有可能來自競爭對手，也有可能來自黑產，例如某網店鋪，雇用了一個員工，這個員工有相當多的某寶運營經驗，在獲取了用戶地址、聯系方式等信息后辭職，去了下一家，這個員工，就是間諜的一種，專門獲取信息獲利。

商業間諜在作案時間上和其他不同，他們可能偶然活躍一次，然后沉靜下來，直到下一次。

5.無意威脅

前面關注的都是懷有惡意的內部人員，無意威脅是那些沒有惡意動機，但行為會給攻擊者提供入口，或對安全態勢產生負面影響的人。例如亂下載軟件，引入病毒木馬，被人社工和U盤、筆記本丟失等，都在這類范圍內。

6.偶然間惡意破壞

這類人群的特點是愛炫耀，尤其是自己在一家知名大公司工作，為了向人證明自己有內部消息、位高權重等。例如某互聯網大廠的內部論壇，就曾有人截圖八卦。還有一些泄漏公司通告、張貼自己工資表、利用權限查詢男女朋友數據的愛好者。

內鬼捕獲思路

1.復雜性

內鬼不是一個簡單的技術、金錢需求問題，和外部環境、誘惑交織在一起。這些外部環境包括：

內外勾結，內部人員可能一開始是個好人，后來開始為競爭對手、黑灰產等工作。

合作伙伴，合作伙伴手上有大量信息，基于某些業務，可能掌握的是核心信息。

組織架構調整，比如公司被收購、裁員重組等，會對員工產生心理預期的不可預測性，尤其在員工利益受損時，變“壞”的可能性變大。

跨國公司的文化差異，不同國家的宗教信仰、政治態度區別很大，典型如Google前段時間的某項目，因為某種原因被泄漏給媒體，導致項目終止。

黑灰產，員工參與黑灰產也是一個信號，黑產與內部員工的聯系程度如何？員工是否為“羊毛黨愛好者”，這些都增加了風險。

2.威脅時間線檢測

內鬼具有一些共同特征，這些特征出現在訪問日志、流量和文件等地方，和正常活動混雜在一起，導致大量誤報，這是需要解決的問題。特征分布在各個系統日志的時間軸上，需要清洗出來做數據融合，串聯起來一個人的行為，這個過程是重活，而且需要多次修正讓數據可解釋，這取決于數據質量、系統架構和正確方法，當然也需要數據人員的認真細致。

特征分為技術指標和非技術指標2類。非技術指標涉及HR、法務和管理層等參與，但在這一系列的指標里要注意幾點，一是不要因為資歷老、級別高就忽略，人是會變化的；二是關注心理健康，這方面很多大公司都有心理測試和定期心理輔導；三是對員工應有人道關懷的理解和幫助，而不是簡單的指責懲罰。千萬不要把這事變成官僚主義的形式，這樣不但不能有所幫助，而且會讓員工產生逆反心理。例如員工績效輔導，就不應該是在辦公室里走個過場，而是需要至少1個小時以上的一對一聊天。

每個人對工作、生活看法都千差萬別，HR和Leader的工作職責中需要了解個人風格，對工作的期望和目標，對周圍同事和上級的看法。當技術指標發生變化時，需要人工干預防止惡化，因此要把2類指標結合起來，起到預防、檢測和響應的作用。

搞破壞、泄漏數據和內部欺詐的人，在時間線上是不同的，根據這個特征可以更好地發現異常，在關鍵節點上加強監控。

3.建設路線

真的要去做這件事，不是安全技術部門負責這么簡單，需要有組織保障，信息安全的這些技術不足以保障。

抓一個壞人，可能涉及到內控、信息安全、內部監察、內控、廉政和HR等部門，具體落在哪個部門取決于內部博弈，但一般企業內不會先設立這么一個組織再開展活動，而是誰能干這件事，責任就落在誰頭上。但整體上是一個跨部門工作組才能完成的工作。

另外，這個團隊需要高層授權，解決“誰來監視監視者”的問題。這個組的工作是保密的，因此需要管理好信任，確保監視者會受到監視，因為這個組掌握的信息太多太敏感。可以簡單理解為“東廠”角色，但又不能像東廠那樣不受約束、大張旗鼓、人人自危。

解決前面的問題之后，接下來的路線就是：

建立風險處理制度，建立識別評估方法；

提升相關人員的能力；

培訓演練，提高員工安全意識；

啟動調查的程序

有一些具體操作上需要特別列出來的注意事項：

①背景調查

員工入職一般都有背景調查，但這個是靜態的，只是在入職時由外包進行調查。一旦本人發生變化，以前的背調就沒什么用了。

②縱深防御

信息安全領域的常見做法，但是在管理上也需要有縱深防御。

③員工滿意度

員工滿意度跟公司規模有關，公司越大“江湖”越深，不滿度可能越高，不滿度指標會間接產生影響。

④內部特權人員

特權用戶掌握了一些敏感關鍵權限，并且知道如何繞過監控對抗調查。所以就是誰來監視監視者的問題，這需要公司組織架構上有互相制衡的能力。

⑤安全規則必定被繞過

在商業組織里，安全是一個支撐角色，賺錢才是核心業務。而安全措施疊加，必定會在一定程度上降低效率，由于效率原因，安全規則也不一定被完全遵守。要么是以免打擾的方式實現安全，要么就要讓違規受到必要的懲戒，實際工作中是二者結合使用。

⑥無意行為危害

無意行為危害更為常見，例如DLP抓到的外發，大量都是業務需要的非故意外發行為，真正的壞人可能就隱藏在這里而被淹沒，這需要靠安全意識教育、直接觸達的警告來強化安全。

檢測指標

發現內鬼可通過不同維度的指標監測，指標異常引發報警，提升某個員工的關注度。

1.個人情況指標

個人情況指標可能不會直接造成損害，但會是很多事情的誘因。

最大問題是可能無法掌握員工的變化情況。這些信息可能會被他周圍的同事和HR知道，需要打通這個信息渠道。例如精神類疾病在職場中常見的是抑郁癥，會導致無意犯錯、破壞發泄，理論上可以在每年的體檢報告上獲取這個信息，但這屬于侵犯個人隱私，在強保密體系下可以關注使用。另一個重點是績效為差的員工、待離職員工，這些都帶有強烈的離職動機，從而導致竊取數據、搞破壞，這些數據是可以通過HR系統檢測到的指標。

2.背景及行為指標

背景側重于歷史記錄，很多公司把敏感崗位背調作為招聘必選項。行為則是根據員工工作上的行為方式逐步形成。

參與某些團體指的是例如國泰航空前不久的事件，參與了社會事件而帶來的對飛行安全的破壞、泄漏用戶信息。而在犯罪前科上，要兼顧考慮各類外包人員。背調不只是在入職前進行，在晉升時也需要進行。

3.信息安全指標

內部欺詐是利用工作流程，掌握規則后的獲利行為，例如風控部門的員工，就可能掌握規則從而繞過獲利，檢測上很難發現，但可以通過其他維度，例如與情報、釣魚以及黑灰產關聯等。而數據竊取則可能有一些對抗繞過，比如對數據加密和使用代理等，可以根據基線、閾值來做關聯判斷。商業間諜則考慮賬號、設備、競對關聯和行為。

4.終端指標

終端是指用戶的終端電腦、手機等，由于員工可以對終端進行操作，所以他可能會篡改數據，破壞監控Agent，因此要額外檢測Agent和日志的運行情況，尤其是當員工有離職等傾向時需要重點關聯檢測。

數據竊取可通過打印、復制外發文件，把日志和背景行為指標關聯，可以監測到數據竊取、商業間諜行為。內部人員如果登陸其他同事賬號，目的可能是隱藏自己、提升權限或者代其他員工操作。多次登陸失敗則說明賬號正在被暴力破解。終端多用戶登錄代表的風險則更大，但要注意例如三班倒的工作崗位、測試崗位會存在公用設備現象，排除這些崗位后，其他人員需要重點關注。當然還有其他維度，例如非正常工作時間，只不過在互聯網公司這個太常見了，所以沒有加入特征。

對終端的檢測幾乎發現不到什么內部欺詐，欺詐行為一般出現在業務層。

5.服務端指標

對應的是用戶在服務端的操作行為。

對集中存放的審計日志進行修改是個明確信號，有人在試圖抹掉痕跡。同賬號多設備表明賬號可能被泄漏，也可能是橫向移動攻擊。

以上所有指標，單一來看只是一個異常，因此需要多指標關聯權重，從而提煉出真正的風險。但指標不僅限于此，可以根據自身業務數據形成更廣闊的檢測維度，例如一個銷售，從來不上傳新合同，但總是在大量查詢歷史合同。某個員工的手機號和采購供應商相同，員工與黑產多次出現在同一地址，同一時間維度內同WiFi出現大量注冊等諸如此類的規則，都能形成某個單項指標。

除了自身數據，也可接入外部數據驗證，例如員工是否多頭借貸，歷史工作單位驗證是否一致等。最后，還可以利用情報數據，反向驗證內部人員作案。空間很大，可做的事情很多，不要自己給信息安全設置邊界。