讀心偵查術:從百萬員工郵件中察覺內部安全威脅
被員工洩露,竊取和破壞資訊已經成為一個主要的網路安全問題。某公司說他們可以通過讀取所有員工的郵件,在事情發生之前,找出內部威脅。
.
在大型全國性銀行,矽谷軟體巨頭或者政府機關,其安全官員可以向軟體要一份關於她所在機構的工作人員的報告來開始她的一天。
“截至昨晚,哪些人最心懷不滿?”,她可能會問,“向我說出頭10位”。
EricShaw是情報界的一名心理學家和資深諮詢師,他說,用他為網路安全公司Stroz Friedberg開發的一款軟體工具,她就可以擁有這種能力。這款軟體通過梳理一個機構一天數百萬份的郵件和文字訊息,找到那些高頻詞和短語,心理語言學家把這些詞和短語與特定的精神狀態和個性特徵關聯在一起。
Shaw說,要一份不滿意度得分高的員工列表,“你可以看到他們的姓名,也可以檢視排名最靠前的一些郵件。”
許多公司已經有能力執行員工郵件的關鍵詞搜尋,尋找令人擔心的詞和短語像“貪汙”和”我討厭這個工作”。
但是Stroz Friedberg公司的軟體Scout,志在更進一大步,通過無意識的句法和語法線索,間接檢測到員工的憤怒,財務或個人壓力,以及其他員工關於某個員工可能即將會辭職的舉報。
為了衡量員工的不滿,例如,它使用某種基於語言學的演算法發現受害者心理,憤怒和指責感的暗示。Shaw說,比如,異常頻繁地–高於正常值幾個標準差–使用“我”這個字意味著受害者心理:“為什麼是我”,“你怎麼能對我做那樣的事?”憤怒情緒的訊號可以是高頻使用否定詞像“,no”, “not”,“never”和“n’t”,或者負面評價如“你真糟糕”和“你真是可怕”等,也可以是大量使用“狀語加強詞”像:very,so和such a或為了表示強調而全部大寫的詞:He is ZERO。
不滿意並非不合法。但是,今天的失意員工可以策劃明天的價值百萬美元的資料洩露。Scout的市場定位是作為一個不斷增長的武器庫裡劃時代的武器,幫助公司打敗內部威脅這種員工變壞的現象。實施詐騙或者挪用公款的員工是一個例子,但是壞的離職者也是,這些員工或者承包商,當他們離開時,會竊取智慧財產權或者其他的機密資料,破壞資訊科技系統,或者為了得到回報威脅這樣做。工作場所暴力越來越得到關注。
儘管公司常常武裝自己免受黑客攻擊,通常假定這些黑客來自遙遠的俄羅斯和中國,但是他們越來越意識到有些攻擊是公司內部發起的,比方說,一個坐在大廳那頭合同沒有被續約的安靜的傢伙。最引人注目的例子來自政府–2010年大量的資料洩露,超過700,000萬份機密檔案被切爾西·曼寧(ChelseaManning)洩漏到維基解密。(當時被稱為一等兵布萊德利·曼寧)和2013年前中央情報局職員愛德華·斯諾登洩密事件。雖然這些事件雖然是偶發事件,但是他們開啟了世界的眼界:這些機構的脆弱令人震驚。
根據最近的年度網路安全調查,大約27%的對公共和私人機構的電子攻擊來源於內部,這個調查是由CSO 雜誌, 美國特勤局,普華永道,和軟體工程研究所CERT專案共同實施。(CERT是美國國防部資助的網路犯罪研究中心,位於卡內基·梅隆大學。)接受調查的562名參與者中,大約43%說,在過去的一年中,他們的機構已經遭受至少一次內部攻擊。雖然這些被攻擊物件通常對攻擊事件祕而不宣,但是最近的著名的受害者包括:摩根斯坦利,美國電話電報公司,高盛和杜邦。
現在已經足夠充分認識到,內部威脅的受害者,尤其是金融機構,可能會面臨監管處罰以及因為沒有采取足夠的措施阻止攻擊而造成的民事責任。在6月,美國證券交易委員會對摩根斯坦利罰款一百萬美元,因為他們未能阻止一個流氓財務顧問入侵了730,000客戶的賬戶,儘管銀行自己抓住和公示了這個後來承認犯了聯邦罪的員工。
◆ ◆ ◆
心理語言學家:從普通郵件裡找到線索
這段文字來自一封實際的郵件,由一名某銀行的合同制系統管理員寫給他的上級。這個人被辭退以後,他破壞了該銀行的伺服器。下面的插圖說明了如果今天來分析這封郵件,利用心理語言學的原理,StrozFriedberg公司的Scout軟體會挑選哪些單詞並記分。下面是一個解釋,為什麼這些詞被標記出來,特別是當他們出現異常頻繁時。
否定詞像no,not,n’t也許表示憤怒,Scout把他們當做不滿意的組成部分。
單詞“我”被過度使用可以表示受害者心理,不滿意的另一組成部分。
直接指引,特別是“你”,可以表示責備,也是不滿意的組成部分。
單詞全部大寫是“強調語氣”,表示憤怒。強有力的單詞和短語(如垃圾和攪黃)是加強詞和“負面的評估”,這都是憤怒的訊號。
由於電子郵件中大量的憤怒和負面資訊與婚姻衝突相關,這往往不是僱主關心的,Scout利用僱傭相關的詞和短語,像解僱(fire),辭職(quit)和根訪問許可權(rootaccess)進行過濾。客戶可以選擇只看到包含此類單詞的電子郵件。
自2011年起,處理機密情報的政府機構已經要求制定正式的內部威脅應對方案。並且在五月份,將該要求延伸到處理這些資料的私人承包商——6000到8000個公司,據CERT的內部威脅中心負責人Randall Trzeciak所說。隨著這些問題越來越被重視,Trzeciak 注意到,以打擊內部風險為目標市場的工具數量激增。他說,兩年前的安全年度RSA大會上,只有約20家供應商展示商品。在今年2月,已經超過125個了。
絕大多數的這些工具,被稱為技術指標,提供方法來監視計算機網路,防止資料丟失,安全警戒可疑行為,甚至記錄鍵擊,並獲得個人電腦螢幕的視訊。這種解決方案可以讓一個機構看到,例如,是誰在反常的時間登入到她的電腦,將機密檔案的電子標籤弄亂,或者只是以某種突發的,顯著的方式偏離常規。(看下面部分,“停止敵人內部攻擊的工具”)
還有其它工具可以梳理員工的電子郵件,尋找關鍵詞。但是Scout似乎是電子郵件掃描工具中最具體並巧妙定製,以試圖在內部威脅發生之前就嗅出它。
63歲的Eric Shaw 正在攻讀罕見的名為政治心理學的專業。在獲得杜克大學博士學位後,他在1990年到1992年間為中央情報局工作,之後在其他情報機構擔任顧問,在開始私人執業的同時他還在喬治華盛頓大學開展教學工作。(Shaw說他一週中仍然有兩天是在情報機構做諮詢顧問,雖然他不會指認這個機構,但他說該機構已經安裝了Scout來監控工作人員。)
政治心理學家聲稱他們為外國領導人–比如金正日–編制心理健康檔案是為了協助國務院、國防部、情報機構和白宮的決策者。敵對國家的元首是一個瘋子,還是可與之講道理?如果是後者,什麼是接近他的最好方式?然而這些心理學家並不能在沙發上測試他們的病人。他們使用的其中一種工具就是語言。他們通過分析領導人在公開場合中被拍攝的無意識的言語模式來尋找其人格特質的線索。
上世紀90年代末,在發生幾件驚人事件後,國防部要求Shaw研究內部網路攻擊。其中一件事是海軍醫院的一個管理員加密了病人資訊並且用來勒索。美國聯邦調查局計算機犯罪小組在這些犯罪事件的處理上最有經驗,所以Shaw被要求與後來領導位於曼哈頓的旗艦單位的Ed Stroz進行聯絡。
在作為聯邦調查局特工調查白領犯罪時,Ed Stroz對心理語言學產生了興趣。他說他的Scout軟體是設計用於“保護自己免受自己傷害”。 (攝影 Spencer Heyfron)
Stroz給Shaw看的第一個案件是關於一個銀行系統管理員頂撞他的上級。他的上級最終辭退了他,迫使他在網路中遺留一個“邏輯炸彈”,這個“炸彈”爆炸並關閉了銀行的伺服器。Shaw檢查了終止受僱前爭論雙方的電子郵件,然後手動做上標記,再給Stroz看標記出的警戒語言。
“這很有趣。”Stroz回憶。在聯邦調查局,他專注於白領犯罪,而在這個領域中,罪犯的精神狀態往往是唯一有爭議的問題。Shaw的分析提供了這個領域的入口。“在某些點上,”Shaw繼續說到,“Stroz看我編寫電子郵件程式碼,然後他說,’你知道,我們現在有會做這個的電腦了。’ 這是開發心理語言學軟體想法的開端。”
2000年Stroz離開調查局合夥成立了Stroz Friedberg。幾個月後,在接到客戶要求有司法語言學專業知識的電話之後,他聯絡了Shaw。這些客戶收到威脅或要求的案件往往是“匿名作者”犯的案件。Shaw試圖通過比較一系列嫌疑人寫作風格中的獨特方面來辨別出罪犯。他一部分依靠傳統的取證技術-獨特的格式,奇怪的措辭,暴露罪犯資訊的拼寫錯誤-也依靠政治心理學家使用的語言學原則。刊登在2005年紐約時報上的一個案件中,舉例來說,有個網路敲詐犯曾經黑客攻擊了一家專利和商標公司MicroPatent,並且勒索1700萬美元。Shaw的工作是幫助辨別這個網路敲詐犯。(罪犯認罪並被判入獄。)
為了協助分析手稿,Stroz和Shaw開發了一個被稱為WarmTouch的內部軟體工具。“糟糕的名字。”Stroz承認,“但我們的想法是,鍵盤僅僅是因為人類需要有一種與計算機連線的方式而存在。人類觸鍵的地方就是人類發源的地方。”同時,Shaw繼續研究內部風險案件,鑽研CERT內部威脅中心的案卷。他尋找這些罪行發生之前遺漏的警報,然後試圖設計一些特徵,可以使WarmTouch追蹤到不良行為的語言前兆。
為了測試和完善假設,他把犯罪之前內部所寫的實際的電子郵件隱藏在電子郵件資料庫的一部分中,這個電子郵件資料庫是大型公開可用的Enron語料庫。(語料庫包括175位Enron員工所寫的600,000封電子郵件,員工中的絕大多數是無辜的,而他們的電子郵件在調查市場操縱期間被聯邦能源監管委員會所收集。)然後Shaw同時用人工編碼和WarmTouch這兩種方法,後者應用語言心理學的使用原則,試圖在避免捕獲不可控數量的誤報的情況下篩選出有標註的預警郵件。結果的一部分發表在同行評審的2013年《數字取證雜誌》(Journal of Digital Forensics)上的兩篇文章內,表明WarmTouch是一個雖不完美,但有用的篩選工具。2014年底,Stroz Friedberg已經準備好為客戶提供最新的更名為Scout的版本。
Scout使用約60種演算法及追蹤約10000詞的詞彙表,雖然這個表會為每一個客戶進行調整。約50種演算法主攻內部威脅。而Stroz Friedberg認為其餘的則可以用於各種目的,包括一些非司法類的-如發現辦公室內鬥,評估經理,及辨別新的領導人。Scout通常為客戶附帶提供一份服務合同,叫做“執業醫師”-是Shaw監督的外部合約商-來解釋結果。
◆ ◆ ◆
阻止內部敵人的工具
網路安全的專業人員設計了一系列技術工具以應對內部威脅:資料被竊取,欺詐和破壞。這裡有四種保護措施—Robert Hackett說
SIEMs:安全資訊和事件管理是監測公司安全軟體和應用所產生的所有資料的藝術。資訊管理器儲存需要以後進行研究的資訊,事件管理器建立工作人員可實時追蹤的資料。使用SIEM的公司包括Hewlett Packard Enterprise, IBM, andSplunk.
資料丟失預防(DLPs):這個技術目擊-和阻止-未經授權遷移敏感資訊的嘗試。RSA, 是EMC(很快是Dell)旗下的網路安全單元,一直在削減其DLP業務,但其他被廣泛應用的產品有英特爾安全公司(IntelSecurity’s)的McAfee DLP,Comodo的MyDLP, 和免費的開源OpenDLP。
行為分析:這個新興領域針對內部威脅和入侵賬戶,結合資料分析和機器學習進行分析。每當人們的行為偏離給定的規範時,分析工具就提高一個標記。提供這些分析產品的公司包括Rapid7, RedOwl, 和Securonix。
行為監測:比方說,一個員工刪除檔案上標明“公司最有價值的”資料標籤而觸發警報。監視工具將生效並開始錄製他的按鍵,捕捉螢幕截圖,或禁用向外傳輸的郵件流量。雷神公司(Raytheon)和數碼衛士(DigitalGuardian)銷售活動監控工具。
為了負責新產品,Stroz Friedberg聘請了ScottWeber,他曾是法律公司Patton Boggs的合夥人並在大資料公司Opera Solutions負責政府業務。“Scout不是決定性的,”Weber承認,“它不會說Carolyn明天要來偷竊或者Scott要在工作場所實施暴力行為。”它做的是,他繼續說,是“抓取一個組織裡的大量資訊並把它們過濾到一個操作友好的資料池。”
舉例來說,Weber展示了一個關於Scout使用介面的幻燈片,展示了Scout處理從超過69,000傳送者處獲得的近5100萬電子郵件和簡訊內容。Weber說這展示了當時從政府客戶處獲得的一個完整的資料集。當直接搜尋四個內部風險變數的異常高分時,Scout精選出137傳送者的383條簡訊,佔總資料集的0.0008%。
在現實生活中,人工診斷可以通過Scout介面攔截電子郵件,然後逐個檢查。他會展示任何經過判斷確定對客戶不利的訊息。Weber說,然後從管理員和人力資源、法律和安全部門輸入資料之後,客戶將決定採取什麼行動。Scout目前正用於政府和金融部門,Weber聲稱,現在客戶正在製造業、醫藥行業對其進行測試。然而他拒絕給出具體資料。
Shaw開玩笑說他一開始想叫Scout“大哥”,不是嗎,事實上侵犯了員工隱私?“它非常尊重隱私權,”Weber堅持說。他強調只有一小部分的郵件被讀過,其中大部分是由外部診斷機構來審查-永遠不會讓同事和主管看到。從法律角度看,Weber解釋道,在美國,一家公司需要“知情同意”才能看員工的郵件。“如果你制定一個政策,告訴你員工這不是他們的電腦也不是他們的資料,是應該被查詢的,這就沒有隱私可言了-那你也包括在內。”他說。(大多數美國公司已經有這樣的政策到位了。)
Weber甚至爭論隱私問題減少Scout的使用偏好。“在很多網路攻擊案件中,”他說“隱私權顯示人們是怎樣被不公平對待的。入侵者瀏覽人們的網路,閱讀內容,複製東西,拍攝他們,開啟麥克風或者電腦裡的攝像頭,這些都是嚴重的隱私侵犯。”
在這種背景下,Stroz Friedberg團隊解釋Scout能很好解決嚴重棘手的問題。客戶說,“我希望它不是令我羞於使用的東西,我想讓它變為和諧工作環境的一部分。”Stroz說,“你必須不越過線,才能避免災難,但是你必須要負責任地去做。
原文釋出時間為:2016-08-04
本文來自雲棲社群合作伙伴“大資料文摘”,瞭解相關資訊可以關注“BigDataDigest”微信公眾號
相關文章
- 郵件安全威脅
- 你的郵件安全嗎? 電子郵件威脅與防禦剖析
- 工作場所中的網路郵件 另一個安全威脅(轉)
- 管控內部威脅,資料如何安全使用?
- 網路中的內部威脅處置
- YTUOJ-偵察員的密碼密碼
- 新型威脅:公司內部人員與黑客勾結,出售敏感資訊黑客
- Oracle資料庫內部安全威脅:審計特權使用者Oracle資料庫
- 知識點,如何應用“安全知識圖譜”識別內部威脅?
- 《工業控制網路安全技術與實踐》一第3章工業控制網路安全威脅
- 《工業控制網路安全技術與實踐》一一第3章工業控制網路安全威脅
- 物理隔離內網面臨的安全威脅內網
- IBM開發出新型安全工具:運用大資料識別安全威脅和不滿員工IBM大資料
- 馬雲內部郵件:資料時代來臨
- 機器學習:安全還是威脅?機器學習
- 匿名郵件引發俄羅斯炸彈恐慌,威脅蔓延白俄羅斯
- 日本一名手遊玩家因發郵件威脅SE被逮捕
- 騰訊安全威脅情報釋出會解讀:數字化時代,為何威脅情報如此重要?
- 網路偵察技術(一)搜尋引擎資訊收集
- 網路安全威脅國家安全
- 什麼是網路安全威脅?常見威脅有哪些?
- 百萬告警中如何實現精準定向威脅捕獲的思考?
- 技術部員工績效考核方案
- 怎麼透過mailx向內部郵件伺服器傳送郵件?(解答)AI伺服器
- 網路安全中*具威脅的攻擊方式!
- 2021年五大電子郵件威脅與零日漏洞
- 五年深耕郵件領域,SendCloud如何做好郵件安全的護航員?Cloud
- 企業常見內部威脅的型別與應對方法型別
- CACTER郵件安全共建網路安全315:保護郵件系統,從處理emotet病毒郵件開始!
- 郵件內容安全防護之反垃圾郵件開源軟體ASSP
- 《2021年度高階威脅研究報告》 | APT攻擊防範要當心“定製化的釣魚郵件”APT
- 網路安全威脅資訊格式規範正式釋出 國內威脅情報發展迎來新階段
- NSN 內部推薦 -- 不能從電子郵件地址認證身份和來源.
- 網管員注意:保障郵件安全的七條措施
- 怎麼透過mailx向內部郵件伺服器傳送郵件?(疑問板)AI伺服器
- 美國國防部內部網路安全監察報告:軍方做得非常糟糕
- 安全要素與 STRIDE 威脅IDE
- 網站容易受到哪些安全威脅網站