內鬼洩密猛於駭客！ 如何保護防火牆內的世界？

　　你可以建起一面牆，設定周全的防禦措施，花費大量人力物力來維護，以便抵禦威脅。但是，如果你的敵人來自內部，那麼這面牆就形同虛設。與內部敵人的鬥爭是一場沒有硝煙但依然嚴峻的戰爭。

　　4月底，美團、餓了麼、百度外賣等外賣平臺的使用者資訊洩露事件再次引起了全民探討。資訊洩露原本不是什麼新鮮事了，但這一次，洩露資訊的並不是人們談之色變的駭客，也不是因為什麼沒有及時修復的漏洞，而是企業沒有引起足夠重視但卻能造成嚴重危害的內鬼(Insider)。

　　猖獗的內鬼

　　隨著國內外立法和宣傳逐漸增多，很多企業對於資訊保安和資料保護已經有了初步的認識，也採取了適當的安全產品和安全服務來防範來自外部的威脅與攻擊。但是，明槍易躲暗箭難防。他們在重視外部威脅的同時，卻忽視了內部的威脅同樣嚴重，同樣需要採取對應措施。

　　關於內鬼洩露資訊的案例，國內外其實比比皆是。除去尚未調查出結果的美團、餓了麼和百度外賣不提，傳聞表示前段時間剛被美國製裁的中興，也是因為企業自身的不謹慎而被“內鬼間諜”獲取機密檔案，最終在法庭上處於劣勢。據說，美國為了調查中興、蒐集證據，派了臥底律師進入中興， 結果發現中興把包括合同、戰略等高度機密的檔案都放在內網中，只要是公司員工都可公開訪問。因此，該律師不費吹灰之力就拿到了壓倒中興的致命證據。後來，美國商務部還專門做了一份中興反面教材 PPT 公開到網上，提醒後來者注意。

　　2016 年，智聯招聘的經營方北京網聘諮詢有限公司(以下簡稱“智聯招聘”)報案稱，公司員工申某利用公司業務邏輯的問題非法獲取使用者的簡歷庫賬號及密碼，並將使用者簡歷向外兜售，涉案資訊數量超過 15 萬條。這些簡歷包括了姓名、身份證號、住址、電話、受教育程度、工作單位、薪資收入等大量詳細的個人資訊，導致智聯招聘損失將近 2500 萬元。最終，法院判處該員工有期徒刑三年六個月。

　　2017 年，谷歌前高管離職加入 Uber，同時帶走了將原本屬於谷歌的自動駕駛技術。對此，谷歌起訴了這名高管以及 Uber，最終獲得 2.45 億美元的業務賠償金。當然，最有代表性的的內鬼洩密估計就是斯諾登“稜鏡門”了：斯諾登利用其安全部門承包商僱員的職務之便，獲得對關鍵系統的訪問權，隨後從美國國家安全域性複製了數十萬份機密檔案。他將這些資料提供給英國《衛報》與美國《華盛頓郵報》兩家著名媒體，曝光之後引發軒然大波。這件事情的直接後果就是美國國家安全域性與聯邦調查局於2007年就啟動的美國有史以來最大規模的秘密監控專案公之於眾。在這個過程中，攻擊者(斯諾登)來自美國安全部門內部，無需利用駭客入侵手段，只利用職務許可權就能竊取機密資訊;而遭受攻擊的是美國國家安全部門，導致國家安全防禦體系遭到破壞，讓美國政府飽受輿論壓力。

　　內鬼帶來的威脅

　　內鬼在資訊領域統稱為”Insider”，他們造成的威脅叫做內部威脅(Insider Threat)，與外部威脅相對應。確切說來，內部威脅就是由內部人威脅企業或組織安全的行為。按照 2012 年美國 CERT 提出的定義：

　　內部威脅攻擊者一般是企業或組織的員工(在職或離職)、承包商以及商業夥伴等，其應當具有組織的系統、網路以及資料的訪問權;內部威脅就是內部人利用合法獲得的訪問權對組織資訊系統中資訊的機密性、完整性以及可用性造成負面影響的行為。

　　美國CERT中心認為，內部威脅主要分為系統破壞、智慧財產權竊取與電子欺詐三類基本的攻擊型別，由此組合形成複合攻擊以及商業間諜攻擊。本文所說的洩密內鬼，實施的就是其中的智慧財產權竊取類攻擊。

　　安全公司邁克菲近期的調查顯示，43% 的資料洩露都來自內鬼，而 Information Security Forum 的調查結果則顯示為 54%。這表明，內鬼洩密其實已經成為資訊洩露的主要原因。我國公安部網路技術研發中心主任許劍卓曾公開表示：目前，公民個人資訊洩露造成危害最大的行業主要是銀行、教育、工商、電信、快遞、證券、電商等行業，由於這些行業掌握大量個人資訊，內部人員更易洩露資料。

　　企業應當如何防範內鬼?

　　內鬼來自企業安全邊界的內部，可以躲避防火牆等安全裝置的檢測，因此很方便就能獲取到企業內部資料及財產，而且由於他們自身具有關於企業的相關知識，更容易實施攻擊。內鬼具有高度的隱蔽性，對企業造成的危害也更嚴重。

　　需要注意的是，內鬼通常不是單獨作案，而是會與資訊交易產業鏈中的上下游人員接觸。就算他們憑一己之力完成信竊取過程，最終也需要與他人或其他組織聯絡，將手中的資訊處理出去。在前文提到的外賣平臺內部人員洩露資訊的案例中，電話銷售群、網路運營公司、商家及騎手均參與其中，他們與地下黑市的人員勾結，將數量龐大的使用者資料變成了交易和謀利的物件。

　　國內的內部威脅研究並沒有多少系統性成果，我們可以參考美國 CERT 對於內部威脅的政策，總結出一些方法供國內企業參考。

　　企業管理層人員可以採取的措施：

　　數字資產標識

　　作為管理者或企業安全業務相關的人員，最好按照 ISO 55000 國際標準對企業數字資產進行標識。ISO 標準規定：

　　資產是對組織有實際價值或潛在價值的物品、事物或實體。資產管理使組織能夠在實現目標的同時實現資產價值。

　　雖然ISO 55000側重於實物資產管理，但其定義也適用於數字資產(包括資料)。“關鍵資產”價值之外的內容在於：如果關鍵資產受到嚴重損害，就會影響組織的繼續運營。

　　毫無疑問，資料是當今世界任何組織最重要的資產之一，因此需要安全、高效的管理。但是，並非所有資料在業務上都是平等的。每個企業都應當對其客戶、合作伙伴、庫存、供應商和自己業務的資料負責。在組織內部流通的資料通常包括公司的財務資料，運營資料，客戶的個人可識別資料以及一些分類資料。

　　預防資料洩露的第一步是識別並分類資料。儘管企業的 IT 專業人員熟知企業資訊系統的執行方式，但他們並未全面瞭解整個業務的運營和流程。此刻，企業的管理人員應當幫助相關專業人員進行合理的識別與分類。

　　企業資料一般分為以下幾類：公共資料、內部資料、已分類資料和合規要求的資料。注企業中每個流程相關聯的資料型別非常重要，因為攻擊者通常不會竊取所有類別的資料，而是會有針對性地下手。很多時候，攻擊者和內部人員會獲取非常具體的資料，因此，將資料合理分類後，再有針對性地進行保護，才能有效防禦威脅。

　　內部威脅專案

　　內部威脅是每個組織面臨的一個非常獨特的安全問題，因此需要配置專門的資源來解決這個問題。有能力的企業最好設定一個全組織範圍內的內部威脅專案，這個專案具有統一的願景和使命，包含多個角色、不同的職責以及專業培訓。內部威脅專案的參與者最好包括人力資源、法律、IT、工程、資料所有者和部門主管。最重要的是，這種專案應該只向企業中最值得信賴的員工開放。

　　內部威脅專案的主要目的是建立相關的資訊、協議和機制，以檢測、防範和應對內部威脅。內部威脅專案應包括：任務、詳細預算、管理結構和共享平臺。

　　內部威脅專案的主要工作內容如下：

　　合規與流程監督委員會：負責審查組織現有的工作流程，並在發生資料洩露之前提出變更建議;

　　報告機制：辦公室政治、集團行為和一系列其他因素都可能阻礙員工舉報可疑行為。因此需要設定保密機制，保護舉報可疑人員的員工，防止舉報人遭遇報復;

　　事件響應計劃：如果內部威脅已經發生、資料已經洩露，僅僅解僱員工並向當局報告還不夠。如果制定了內部事件響應計劃，管理者就能更加清楚地瞭解到警報是如何識別、管理和升級的。此外，內部威脅的行為與流程的具體時間範圍也能在內部事件相應計劃中體現。

　　專業培訓：內部威脅培訓詳細介紹了組織中所有人員的安全意識培訓計劃。但是，直接參與內幕威脅專案的人員需要接受更專門的培訓，以便更好地檢測和緩解內部威脅;

　　基礎設施：這一部分主要是檢測、防範和應對內部威脅的基礎設施，包括協助管理層實現使命的技術。應該定期審查部署的技術以獲得最佳選擇。

　　典型的內部威脅專案總共包含十三個組成部分，除了上述重要環節，其他的還包括：公民自由保護、溝通框架、內部威脅方案支援政策、資料收集工具、供應商管理和風險管理整合等。

　　安全審查和監督(HR)

　　在僱用人員時，最好對候選人進行詳細的背景調查。雖然企業在招人時也會進行背調，但如果涉及網路安全層面，招聘過程的調查只是人員審查的第一步。最應當關注的就是犯罪歷史和就業經歷。有時候，造成內部威脅的人員很可能是處於商業目的或者政治目的間諜，他們可以透過各種渠道贏得信任、進入企業。

　　NIST 網路安全框架建議組織應為每個職位設定風險等級。風險級別越高，工作崗位所需的信任和安全先決條件就越多。當僱傭新人進入風險較高的職位時，監管人員應該對他們進行高風險行為的監督。此外，最好記錄所有異常事件並分析行為趨勢。行為分析和風險分析技術是這一過程中需要用到的重要技術。

　　人力資源部門還應該準備一份終止協議，以便在員工出現可疑行為是隨時辭退他們。這份協議應要求管理人員進行離職面談，提供最終績效評估，並討論最終薪水安排。企業的 IT 專業人員應刪除所有離職員工的賬戶。對於離職前為特權使用者的員工，應當在他們離職後更改所有共享密碼。人力資源部門需要再次向離職員工闡明與智慧財產權相關的規定。

　　形成健康的企業文化

　　這一部分看似與內部威脅關聯性不大，但是有證據表明，在高壓環境中工作，可能讓員工形成消極的態度，導致他們更容易犯錯。如果管理者沒有注意到這些負面情緒和影響並採取緩解措施，那麼員工就會覺得被忽視，甚至降低對企業的忠誠度。在這種情況下，他們更有可能做出不利於企業發展的事，甚至實施會對企業造成威脅的行動。因此，設定合理的業務考核標準，營造良好的工作氛圍、行程健康的企業文化，也有助於增強員工信任感，減少企業可能遭遇的內部威脅。

　　供應商管理流程和政策

　　要想應對複雜的內部威脅，除了企業內部採取防範措施外，對供應商和業務合作伙伴的安全管理也是重要一環。依舊以外賣平臺資訊洩露為例，其中的網路運營公司就是供應商環節的洩密。因此，企業還需要設定供應商管理流程和規則，擬定一系列協議，用於企業與供應商合作過程中的問責和監督。供應商管理流程和規則主要依賴企業管理層制定，如果沒有相關的詳細計劃，企業的安全人員只能在威脅發生後救火，而無法防範於未然。

　　供應商管理流程主要包含四個階段：定義、規範、控制和整合。定義階段主要用於確定組織中最關鍵的供應商，此處關鍵的標準是一旦與供應商的關係出現問題，企業的運營和收入都會受到負面影響。規範則涉及為每個合作的供應商指定安全聯絡人，其職責是維護合規知識、執行審計過程、促進安全通訊、提供培訓、跟蹤合同和所有檔案，並實施監督。

　　供應商政策應當包含的重點內容有：稽核安全控制的權利、供應商遵守監管的要求、安全績效報告以及及時上報任何資料洩露事件。最後階段是整合，主要關注資料收集、分析和驗證。收集到的資訊需要與企業現有的安全實踐和審計程式相結合，才能更好地發揮作用。

　　安全意識培訓

　　如今，國內企業已經逐漸意識到安全意識培訓的重要性。除了普通的安全意識培訓之外，企業還應當針對不同的群體進行有針對性的培訓才能達到最好的效果。

　　首先是針對領導層、管理層的培訓，前文所說的方法如果沒有管理層的參與，是無法落地實施的。只有管理層意識到內部威脅的嚴重性，有了防範意識，企業內部的防禦才能順利實施。安全專業人員最好定期總結威脅情報並回報給管理層，讓他們瞭解到這些威脅對於企業的財務狀況和聲譽所造成的嚴重影響，進而引起他們的重視。

　　其次是針對企業內安全專業人員的培訓，他們直接負責安全業務，但也可能存在一些誤區。需要讓他們意識到，安全工具不代表一切，更難以防範來自內部的威脅。安全工具只是動態問題的靜態解決方案。但人永遠是多變的，他們總能找出破解或者繞過工具的方法。因此，安全專業人員不能依賴工具而高枕無憂，他們必須時刻準備好面對各種變化。此外，他們也應當意識到，一旦出現問題，最好的辦法是及時通報而非刻意遮掩。哪怕管理層對此並不重視，也應當承擔起作為安全專業人員的責任，直面問題並盡力解決問題。

　　最後，針對普通員工，定期進行培訓和考核，在公司顯眼位置張貼宣傳語或播放宣傳影片，在潛移默化中培養員工的安全意識與安全習慣，不失為一種好方法。

　　技術層面的防範

　　除了上述的理論層面，在技術層面也可採取一定的措施來防範內部威脅，以下列舉部分常用辦法：

　　加密儲存，對資料進行業務管理：即負責某一項業務的人，只能在一定範圍內看到一部分資料;

　　資料分級管理：即下層業務人員如果要查詢某些資料，必須要得到上級或相關業務管理者的臨時授權;

　　資料協同管理、內部流量管控;

　　基於蜜罐、蜜標的內部威脅檢測;

　　實施 BYOD 政策，增強身份認證和識別;

　　加強使用者行為分析(UBA)

　　監管部門也當亮劍

　　國內內鬼猖獗的原因除了企業安全意識不強、監管不嚴格，還有最重要的一點就是暴利誘惑以及犯罪成本太低。因此，近年來監管部門也逐漸加大了立法和執法力度，從法律和監管的角度遏制內鬼氾濫。

　　在“兩高”釋出的《關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》中明確規定，對於公民的行蹤軌跡資訊、通訊內容、徵信資訊、財產資訊，只要非法獲取、出售或者提供50條以上，即構成“情節嚴重”。而對於住宿資訊、通訊記錄、健康生理資訊、交易資訊等其他可能影響人身、財產安全的公民個人資訊，標準則是500條以上。對於其他公民個人資訊，標準為5000條以上。

　　而對行業“內鬼”，《解釋》則降低了入罪標準。《解釋》規定，在履行職責或者提供服務過程中獲得的公民個人資訊出售或者提供給他人，數量或者數額達到司法解釋規定的相關標準一半以上的，即可認定為刑法規定的“情節嚴重”，構成犯罪。

　　還要知道，洩露公民的個人資訊是刑事犯罪。《刑法修正案(七)》規定：

　　金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人資訊，出售或非法提供給他人，情節嚴重的，就可以構成犯罪。賣家違法蒐集訂餐客戶資訊，作為“商品”肆意倒賣，嚴重侵犯公民權利，理應受到法律追究和懲罰。

　　當然，我國對於企業應當遵守的資訊保安規範也有相應的規定。《網路安全法》明確要求，“網路運營者應當對其收集的使用者資訊嚴格保密，並建立健全使用者資訊保護制度”，“應當採取技術措施和其他必要措施，確保其收集的個人資訊保安，防止資訊洩露、毀損、丟失”。否則，可作出警告、罰款、吊銷營業執照等處罰。嚴格保管客戶的隱私資訊，是運營者的法定責任。

　　隨著公民和企業安全意識的增強、隨著立法不斷細化落地、隨著各類措施和流程的不斷完善，內鬼洩密的情況也許能有所緩解。但是，“人永遠是最薄弱的環節”，攻防之戰中，我們也只能永不停歇地前行。