Verizon发布的数据泄露调查报告(DBIR 2021)显示,高达85%的数据泄露事件都与内部人的因素有关。
尽管在员工激励、保护资产以及组织文化等方面存在较大差异,从国防部门到私营行业的大型机构雇主采用异常相似的最佳实践。政府机构内部防御受益于安全与背景审查,以及泄露受保护信息的刑事处罚。同样的原则适用于公共行业、国家安全部门和私营公司。
人、流程和文化是防御内部攻击的关键。有必要构建将人与流程融于系统防御的组织文化。
隔离和监测等传统防护手段是应对攻击的很好起点。但这些硬件和/或软件防护措施总会被滥用特权的内部人绕过。因此,有必要构建将人与流程融于系统防御的组织文化。
这种组织文化是传统网络安全防护方法的具体体现,但是由遵守管理程序的人员来实施的。认真观察系统防御,可以发现同样的传统防护方法在各个层面一再出现。但是,其在最低层(我们可以把它叫做内部防御架构)的实施则离不开人。
人不像计算机系统执行程序那样,可以盲目遵守管理程序。此外,人比计算机系统更易出错,可能会分心或上当。由于人可能受到工作环境内外事件的影响,人带来的漏洞与计算机系统全然不同。
但是人会因奖惩机制而改变行为;在组织文化的引领下,人会对异常或意外情况做出合理的响应,这与计算机系统不一样。因此,使用人来防御既带来了好处,也带来了与使用硬件或软件不同的挑战。
内部攻击的风险评估
内部攻击风险是机构安全评估的一部分。在进行评估时,须列出资产及应有的保护措施。这份列表可能包括:财务和客户数据的信息完整性及机密性、知识产权的机密性、系统功能的完整性以及服务的可用性。
内部攻击风险评估还需要确定机构中哪些个人和角色可信任、可访问什么资产,以及随着角色发生变化、对机构架构本身进行调整,如何维护和更新那些信任关系。
高盛银行金融服务首席信息安全官(CISO)菲尔•维尼布尔斯(Phil Veneables)认为,这就需要了解组织中的每个角色,以及一旦被操控可能带来的潜在影响,以确保没有任何角色能带来机构无法承受的风险和破坏。
需要注意的是,实际操作可能存在挑战,进而延缓全面、有效内部风险缓解方案的部署,直至安全方案的其他方面达到成熟,但是了解和告知内部风险仍然是值得的。
受操控的内部人员不仅威胁机构的资产,还威胁其稳定性(比如通过做出人员或组织上的变动以应对攻击)、任务的成功与否(比如关键产品未按预期运行) 以及客户满意度。
内部攻击还是对机构及其下游客户实施供应链攻击的一条途径。此外,机构中的某些职能和活动可能很敏感,理应受到保护,以避免可信赖员工犯意外错误或事故。许多防御内部攻击的措施在这里也能起到作用。
技术控制
传统的技术控制和机制在防御内部攻击方面起到了关键作用。
授权可防止危及安全政策的操作。
审计可通过问责制起到威慑。
日志可在安全遭到威胁后便于恢复。
遵守最小特权原则为授权提供了便利,因为个人访问限制根据需要进行限制,可以通过使用过去的活动、时间、位置和角色来描述(并因此予以验证)。因此,基于角色的访问控制似乎更可取,就像细粒度特权比粗粒度特权更可取。
高特权管理员和操作员帐户应该避免使用。这已促使至少一家全球IT公司用自动化系统替代传统的系统管理员root活动,使大多数数据中心运营无需特权用户参与。拥有root特权的人越少,滥用这些特权的人也就越少。
选择事先预防还是事后威慑问责制,这通常取决于监控、检测及/或恢复的可行性。是否可以及时发现威胁?受到威胁后是否可以恢复?当然,针对可能立即导致灾难性后果的操作,预防是首选之策。
日志和备份防篡改对于实施问责制至关重要。日志防篡改有助于确保攻击者无法轻易篡改日志以掩饰行踪,以避免被追究责任。备份防篡改则可防止攻击者篡改系统,进而在检测并重启后一直潜伏下来。如果想通过问责制起到威慑,应将访问敏感数据或功能的所有活动记入日志,并与个人对应起来。至于程序访问,日志条目将表明哪个程序在运行中、谁在运行程序,以及谁编写及/或审核了程序。因此要实施日志机制,势必需要保证可拦截所有请求的机制和强大的验证形式。
如果每次启动敏感或危险的操作,安全机制就执行检查及/或暂停以询问开发者或操作员,可以进一步利用问责制起到威慑的机制。比如说,每当有人更改密码、移动或删除大量数据、访问高度敏感的信息时,弹出消息可能会询问“您确定吗?请给出您进行这番操作的理由”。此外,通过要求提供程式化的理由(比如缺陷识别引用、支持工单、用户参与和需求等),可以迫使操作者反省,防止犯错误。很显然,自动化工具可以、应该事后检查日志,以发现可疑活动,比如涉及人员太少或解释缺乏详细的支持性引用的操作。
物理安全是重要的部分,不仅用来实施隔离,还用来授权和通过问责制起到威慑。一种流行的方案是,要求个人用胸卡登录(使用胸卡或其他独特的可审计令牌以进入特定位置)和退出。首先,如果计算机系统内的授权依赖发出请求的物理位置,它创建了深度防御机制。其次,如果物理安全意味着必须从可以观察到攻击者的物理位置发起攻击,通过问责制起到威慑将得到强化。
个人作为监控者
计算机系统不是对个人行为实施监控的唯一方法,人也可以充当监控者。因此,我们可以将监控者视为组织结构的基础;在组织结构中,执行敏感活动需要多个人的参与,彼此互相监督。
如今使用的这类组织结构的常见例子包括如下:
两个人的完整性。一个人观察第二个人的行为。然而,这种结构可能不受工作人员的欢迎,导致工作成本加倍。
驾驶员和副驾驶员或结对编程。两个人都积极参与活动,定期互换角色。结对编程可能对一些开发者很有效,但也可能带来成本,并给人数不足或边缘化群体的成员带来职场方面的挑战。
经办人/复核人。经办人办理交易,复核人核准交易,它们在金融行业广泛采用。高价值交易可能需要多个复核人,不过增加复核人数量会导致核准成为橡皮图章的情况。在一些实施环境中,可以汇集许多操作,复核人核准总体活动而不是单个活动。
监票。经办人/复核人的作法被美国选举投票站使用,分解关键的顺序型操作,每一步由不同的人执行。此外,可以邀请独立(未参与)的个人,通过系统方法或通过抽查,来确保行为适当。
独立的合作者。任务由完全单独的人完成,他们无法合谋,但又对操作和环境有深入的了解。通过随机选择合作者,我们可以挫败培植内部人员、便于以后攻击的企图。
诸如此类的组织结构体现了分布式信任(之所以这样命名,是由于我们对总体的信任超过了对其组成部分的信任),最终取决于参与者方面的假设。通常,我们假设很大一部分参与者可信赖;参与者表现出彼此独立——攻击N个参与者的成本是攻击一个参与者的成本的N倍,而多个参与者之间合谋的可能性很小。还有一个假设是,仅遵循规定的程序。基于角色的访问控制及其他特权分配有助于确保组织结构中的任何参与者没有夺取权限、没有代表另一人进行操作。独立方(通常是管理层)进行监控也有助于核查组织结构所需的任何假设。
公共和私营部门的专业人员都期待得到尊重,持续监控可能会对士气产生负面影响。另一个人的出现势必导致工作场所丧失隐私性,不过对工作场所隐私性的期望因行业、行业领域和工作类型而异。
有时,通过为私密的个人工作提供隔离的空间和时间,可以缓解隐私性因监控而丧失的问题。此外,如果组织文化公开明确重视敏感数据(无论是客户数据还是关键任务情报分析)的安全性和隐私性,可以帮助员工接受这一点:职场隐私性并非始终行得通,组织程序并不体现任何人的可信度。
负责监控当前操作或分析过去操作日志的人可能习惯于看到误报。与政府和私营部门的管理人员进行非正式讨论后表明,如果将这种活动限制在个人时间的约三分之一内,可以避免这种职场倦怠的风险。让个人核查自己的操作确实会带来次要好处。系统每日报告异常操作可充当针对可疑操作的提醒和培训工具。然而,除了让个人了解什么操作很敏感外,这条最佳实践还有可能让不法分子了解如何避免触发警报。内部人员很可能通晓他们使用的系统所采用的任何自动化机制,还很可能通晓如何规避自动化。
旨在减小内部风险的监控及其他组织结构设置往往会伴随成本。高级领导层必须做好准备,考虑到较低的生产力、所需的额外资源和员工队伍较低的士气。即使借助自动化系统(比如,仅暴露安全接口,因此采取预防措施以阻止攻击),实施安全所带来的负担可能导致重要员工决定离开。幸好,安全疲劳通常是这些人离职的次要原因,而非主要原因。还有一些员工(取决于其角色和职责)甚至欢迎监控及其他工具,这类工具有助于减少人为错误或提供防范渎职的手段。
理想情况下,因减小内部攻击风险而产生的额外成本在企业界不会是竞争劣势。而如今在大多数行业领域,它们却是竞争劣势。而且,披露的重大内部攻击非常罕见,市场并没有激励适当防御所需的支出。法律标准及/或监管方法将是确保市场没有反应的公平竞争环境的一种方法。
组织作为监控者
内部人员包括有权(即使是无意)访问敏感信息及/或运行系统的任何人:员工、合同工和朋友。这些不同类别的人对不同激励做出反应,为防御提供了不同的机会,需要不同的方法来评估威胁。
在所有情况下,预测何时需要对个人进行更严格审查可能包含与减少内部攻击有关的成本。此外,可使用组织业务流程模型来识别内部攻击针对流程的哪些部分。
将心理社会数据与网络安全工作进行结合,有助于确定哪些人应加强监控。政府和情报机构通常设有受严格监督的小组,负责整合人力资源和技术指标,对员工队伍实施监控。证券业和金融市场协会的最佳实践同样建议,要部署制度化的内部威胁团队。当然,一些监控做法无法在跨国公司运营的所有地区都得到允许。
个人是否成为威胁,常常与预防和监控机制的信号,以及来自非技术活动的信息有关。员工流失是通常需要加大关注的现象。经验表明,个人准备离开组织时,更有可能窃取信息。监控员工不满意的指标有助于预料机密信息的这种泄露。
另一个需要警惕的时间段是刚招聘后——新来员工可能需要一些时间才能吸收组织文化。最后,明智的做法是针对需要改变可信赖人员的正常行为的特殊事件做好规划。这些事件包括应对气候和天气紧急情况,在突然陷入暴力冲突的国家或地区经营业务等。安全和风险最小化流程不能一味注重合规,以至于无法处理复杂局面和特殊情况。
激励可信赖行为
安全文化成熟的机构会善待员工(包括非安全部门的员工),同时仍提防员工可能造成的破坏。
政府情报机构采取的方法和激励措施,肯定与私营公司不一样。政府机构的内部防御受益于安全调查、背景审查以及泄露受保护信息的刑事处罚。而同样的一般原则适用于公共行业、国家安全部门和私营公司。总之,员工和高层领导要明白:礼貌的提问或请求澄清并非粗鲁,如果棘手情形处理得当,可强化行为。为遵守《反海外贿赂法》所做的现有培训可能已经教会员工处理其中一些问题。
即将实施新安全政策和程序的组织会成为受益者,只需先确定哪些员工的工作需要高安全性和高可靠性,因为他们很可能会接受转变。找出哪些员工的工作可能因新安全措施受到负面影响或面临不便也很明智,因为需要对他们加大说服力度。
为信任和适当开放确立基准有助于确保所有员工都乐于交流问题,这可以使问题简单化。在政府领域,实施举报人保护机制大有裨益。对举报的问题不要忽视,但反应过度可能会影响不明确的报告。请注意,实施新的安全政策和程序,要避免因忽视地方法律的失误,将员工置于岌岌可危的境地。如果公司员工遍布全球,最佳安全实践越来越取决于所在地点、公民身份、执法部门访问数据的法律、设备的边境检查、互联网碎片化等问题。
信任个人表明自己认为能预测到对方在各种情形下的行为。当然,当人们独自一人面对不寻常的情况时,自己都会感到惊讶。成熟的安全机构认识到这一点,知道开展相同目标的协同工作,胜过对有创造力的个人实施控制,他们完全能够规避控制措施。
员工必须对冲突的需求做出响应:一方面是生产力和效率,另一方面是谨慎、小心和安全。落实检查或保障措施时,尤其是被视为阻碍效率或生产力的措施,领导层应料到有创意或有趣的规避应变方法。常见一个例子是所有帐户使用一个密码,密码易于生成,但增加了遭受网络钓鱼攻击破坏的风险。
结语
内部威胁方面已有大量研究。但是之前内部威胁方面的研究工作大多涉及技术方面:定义内部人员或内部攻击的性质,制定防御攻击的安全政策,设计实施安全政策的技术手段,以及创建数据集,用于测试旨在检测内部攻击的机制。
本文关注非技术手段,因为技术手段难免会受到内部滥用的破坏。如果构建合适的文化,实施管理程序,使可信赖内部人参与其中,就能获得深度防御和更全面的解决方案。
本文的主要内容涉及政策和管理方法,我们认为,组织文化和个人诚信对于建立尽量减小内部风险的组织最为重要。
缓解内部风险会导致高昂成本,需要领导支持。构建信任和合作的文化非常有必要。如果机构的文化缺乏安全意识或严密的工程实践,再多的安全防范手段都无济于事。发展和维持这种文化则是高层领导的责任。
关于作者
Eric Grosse 独立安全咨询顾问、谷歌前安全工程副总裁
Fred B. Schneider 康奈尔大学计算机科学教授。他有关基于防御措施下的政策研究论著被广泛引用,被视为推进有关计算安全新兴科学发展的基础。
Lynette I. Millett 美国国家科学、工程和医学研究院计算机与通信委员会稿件项目经理
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。