随着网络安全事件的频发,当前各行业的安全态势愈发严峻。然而,最具破坏力的安全威胁不是外部攻击或恶意软件,而是源自可访问敏感数据和系统的内部员工。根据Fortinet《2019年内部威胁报告》调查显示,90%的网络安全组织感到容易受到内部攻击;53%的网络安全专业人员确认在过去一年中其组织遭受过内部攻击。

内部威胁主要是指组织或企业的员工或承包商通过盗窃敏感数据、滥用访问权限或者欺诈等行为使得企业或组织造成财产及声誉方面的负面影响。根据安全内参平台收录内容显示,近年来各行业内部威胁事件频发,但不同行业的形势颇有不同。

  • 比如运营商、银行、公安等高敏感个人信息的行业,对数据查询下载有较多限制规定,查数据风险最为严重,卖数据其次;

  • 学校、医院、物流等关乎日常生活敏感信息的行业,本身信息风险管控意识和能力较弱,卖数据风险最为严重;

  • 至于房地产、保险、猎头等中介行业,私下交换用户数据已泛滥成灾;

  • 而像互联网、生物、智能制造等新兴技术行业,主要风险则是泄露公司知识产权数据。

安全内参精选了近年来比较有代表性的十个内部威胁案例,以供参考,防患于未然。

01 香港一名电信技术员利用公司系统非法获取警员信息被起诉

2020年10月,香港一名电信公司男性技术员涉嫌利用工作之便,非法获取超过20名公众人物、警务人员及警员家属信息,之后向Telegram(即时通讯软件)一群组帐户管理人“报料”,并发布一名警察父亲的个人资料。据了解,该案件将于11月3日量刑,期间被告仍被羁押看管。

02 Twitter最严重账号劫持事故追踪:爆料称是黑客买通了内鬼

2020年7月17日,据国外媒体报道,Twitter遭遇了该公司历史上最严重的一次安全破坏事件,而知情人士今日称,黑客之所以能够得手,主要是因为买通了一名Twitter“内鬼”。Twitter于7月15日晚间宣布,黑客通过获得Twitter员工凭证的控制权,劫持了多位知名人士的账户。如果该消息属实,这将是Twitter至少第二次遭遇“内鬼”事件。2019年底,美国司法部曾指控两名Twitter员工向沙特阿拉伯国民提供Twitter账户的私人信息。

03 芜湖某互联网租车公司服务器遭前员工篡改导致网络瘫痪

2019年3月,芜湖某知名科技有限公司相关负责人报案,称公司网络发生重大故障,导致办公网络彻底瘫痪。该公司主要业务为互联网租车和客户服务,遭遇攻击后,公司业务全面瘫痪,影响十分巨大。经调查发现,该公司网络服务器被公司前网络技术员胡某某篡改,缩小了公司内部网络带宽,导致办公网络无法运行。胡某某由于被公司辞退产生报复的想法,他用担任网络运营维护人员时掌握的管理员权限和密码,使用电脑远程登陆并更改了公司的网络配置,随后清理了作案痕迹,但很快被警方抓获。

04 深圳金融公司内鬼贩卖数百万条公民信息被判5年

2019年2月,深圳佰仟金融公司前员工张某利用工作上的便利,通过连接公司管理系统数据库的方式导出大量含有客户姓名、电话、身份证号码等内容的公民个人信息,后以每条2角、5角钱不等的价格通过QQ、微信等即时聊天工具卖给谢某等人,张某从中非法获利40.2万元。经过对张某持有的一部手机及一台笔记本电脑进行电子证据检查,发现存有公民个人信息279.7万条。根据法院判决,张某侵犯公民个人信息罪,被判处有期徒刑5年,并处罚金人民币41万元。

05 以色列网络武器交易商遭遇内鬼窃取间谍软件并高价售卖

2018年7月,以色列网络武器交易商NSO Group遭遇内部人劫案,一名仅加入公司90天的员工拷贝了“天马”(Pegasus)间谍软件,并在暗网上挂出5000万美元高价售卖。Pegasus是包含恶意软件在内的一套工具,是一款极具侵入性的手机监视工具包。该名员工入职三个月后因业绩不佳被领导谈话,此后因心怀怨恨对公司开展报复行为。21天后该名员工被以色列国家安全局逮捕。

06 离职员工盗卖原公司源代码获利近八百万被捕

2018年7月,北京某科技公司员工陈某等人违反公司规定,私自开通公司多个重要技术项目权限,下载公司独立开发的三个项目源代码并倒卖非法牟利。经了解:陈某系该科技公司原运维主管,在职期间,通过非法手段提高自己系统操作权限,从而获取大量自己本无权限接触到的核心代码,并通过自己的账号进行下载,离职后伙同他人将代码非法出售谋取八百万元巨利。随后北京警方将涉案陈某、孙某某抓获,案件仍在进一步审理中。

07 特斯拉前员工黑进公司内部生产系统盗取并泄露机密数据

2018年6月,特斯拉一名前员工承认曾开发恶意软件进入特斯拉内部生产操作系统,偷取大量数据并交给第三方,还向媒体发表不实言论。这些被泄露的数据包括“数十份有关特斯拉的生产制造系统的机密照片和视频”。根据诉讼文件显示,该员工因工作绩效不佳并时常与同事发生冲突被其领导安排到新岗位,由此他产生不满情绪并对公司开展报复行为。特斯拉目前已对该名员工提起诉讼。

08 可口可乐前雇员泄露公司8000名员工个人信息

2018年5月,据外国媒体报道,可口可乐公司公布了一起数据泄露事件,他们在前员工的个人硬盘中,发现了大量现有员工的个人数据,而这些数据,是该前员工从可口可乐违规挪用的。据统计,有大约8000名员工的数据发生泄露,而且每个员工暴露的数据类型各不相同。事件发生后,可口可乐表示将通过第三方供应商向受影响的员工提供一年的免费身份监测。

09 上海某网游公司前员工利用漏洞入侵后台服务器导致1700万用户无法登陆

2018年2月,上海一网游公司旗下一款游戏产品服务器遭遇黑客攻击后宕机,造成约1700万用户无法登陆,持续时间长达8小时之久,公司损失难以估量。经调查,攻击者为公司前员工马某。据马某交代,其为报复前公司,于2018年2月18日在青岛家中笔记本电脑上,利用前公司后台服务器漏洞进行入侵,恶意删除游戏数据,导致约1700万用户无法登陆。目前,马某已因涉嫌破坏计算机信息系统罪被依法逮捕并移送起诉。

10 湖南民警盗取个人信息获利181万被判刑

2017年3月至2018年7月,湖南衡阳民警肖某盗取公民信息出售,共获利180余万元。肖某利用工作便利,盗用同事的数字证书,登录公安“云搜索”和“分布式查询”平台,非法获取公民行踪轨迹、住宿信息、车辆轨迹等个人信息后出售给买方,并将违法所得用于购买奢侈品挥霍。最终肖某被法院认定为侵犯公民个人信息罪,判处有期徒刑四年六个月,并处罚金人民币一百八十二万元。

根据以上案例不难看出,内部威胁产生的原因主要有两种,一种是员工因对公司不满产生报复心理,从而对公司发起的主动攻击;另一种是由于金钱或政治等目的驱使员工盗窃组织或公司的产品、源代码及个人信息;还有当下最流行的社工攻击通常也是从内部员工方面入手的。此外,还有一些员工虽然不是恶意破坏但因为操作不规范也会导致企业数据泄露等问题。除公司员工引发的内部威胁之外,有关供应商也是引起内部威胁的重要因素。

因此需要采取强有力的措施来保障企业数据安全,一是对员工进行安全教育和保密培训;二是使用最小特权原则,减少特权用户的人数;三是使用主流的账户保护措施,例如二次认证、设备风控等。

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。