企业安全无间道之抓内鬼

观察这些年的信息泄漏案件比例，内部威胁在快速上升。内鬼的范围其实很多，传统上安全会抓账号泄漏、横向移动之类。但如果是商业间谍、搞破坏、内部欺诈这些行为，安全上基本上没能力管。很多安全同学吐槽，安全在公司不受重视，得不到资源，在我看来，是安全目前做的这些事相对于公司的大风险来看，太小，在高层那里不受重视理所当然，当安全有能力为公司发现、收敛更大的风险，地位当然会上升。如果你有能力抓内鬼，汇报层级也会直线上升。本文要和大家说的就是：怎么抓内部威胁。

一、内鬼动机及范围

内鬼的动机一般包括：搞破坏、窃取数据、欺诈、商业间谍、无意犯错、偶然间装逼犯。内部人员作案一般是一个持续过程，在这个过程中有逐渐变化，最后到事件一次发生，多次得手。

内部人员的范围并非是“纯粹”内部人员，也包括生态上下游合作伙伴、外包、访客等任何具有内部访问权限或数据的人。给一个清晰定义，就是基于知识、访问、信任的角色。

所谓知识，如果一个人知道系统的位置、防御措施可被绕过，则为掌握了相关知识。常见例如系统的开发人员可能知道产品的几个0DAY，离职员工掌握测试系统账号密码等。

从技术角度看，IT系统验证凭证有效性，允许访问资源。因此任何获得凭证的人都可被视为内部人员，也即访问角色。即使系统有多因素认证，内部人员也可把短信验证码之类的验证要素提供给其他人员，所以从这个角度来说，IT系统很难完全防范。

还有一种是信任角色，最简单可理解为你的合作伙伴、外包等人群，也包括内部人员。这些人群获得公司一定程度的信任，可以获得部分权限资源，并且以公司名义活动。例如公司的用户数据如果泄漏，在监管和舆论来看，这就是你的问题，而不是外包或代理商。

通常内部抓到的坏人处于公司形象的问题不会公开，而由于不会公开，所以实际案例可能比我们看到的多的多。但其实你可以从法院的公开判决文书找到很多案例。对内部坏人的处理逻辑，首先是内部调查，确定性质和行为。再接下来是走司法程序，但事实上很多公司会开除且不声张。

1. 破坏

对IT系统的破坏可能是大家最不重视的环节了，这些人往往都是技术人群，工作中有较高的系统权限，也是相对信任人群。如果这些人准备删库跑路，实施起来很容易，业界此类案例屡见不鲜。

动机主要是报复，不管是什么原因，总之是员工期望没有得到满足，可能是加薪升职，也可能是绩效，也可能是和主管关系不好。案件一般发生在离职前后，有些情况是在系统放入后门，离职后进行操作，例如前阵时间芜湖某网管的案件，就是掌握了远程路由设备的密码，然后更改配置进行了破坏。其结果一般导致可用性、完整性被破坏。

2. 数据窃取

对很多公司来说，数据或核心资料泄漏是最大担忧，这一类案件层出不穷，从世界巨头商业公司到政府部门。大公司数据泄漏还能活下来，很多小公司因为一个配方、工艺的泄漏，可能就结束了。设计师、工程师、程序员和销售最有可能，一般情况下获取的是自己创造的信息。行为上可能发生在离开公司前后60天之内，方式上有很多，邮件、网盘、U盘、拍照、打印等都有可能。

3. 内部欺诈

这是公司里面最大的群体了，跟其他不同的是，其目标是为钱。而这部分里面有相当多是工资比较低的那部分人群，非专业、非技术人员。由于对钱的需求，所以这些行为可能持续较长时间，如果有一个中低层主管参与的团伙，则更容易获得成功。内部欺诈是破坏公司现有流程实现的，例如客服向用户发放红包，就存在内外勾结的可能。除此之外，特权比较多的人员也是其中一个群体。

另外常见的一种情况是贩卖用户个人敏感信息，例如房产公司销售会把用户手机号卖给装修公司。个人敏感信息相对套现比较容易，需求方也明确，获取难度也不大。

4. 商业间谍

不要觉得商业间谍是一个遥远的事情，在当前的商业竞争形势下，各种套取信息、混入内部的案件比比皆是，只不过被公开报道出来的比较少。商业间谍不是在电视上看到的那种高大上间谍场景，又是色诱又是富家子弟什么的。现实中他们既有可能来自竞争对手，也有可能来自黑产，例如一个某宝店铺，雇用了一个员工，这个员工有相当多的某宝运营经验，在获取了用户地址、联系方式等信息后即辞职，去了下一家。而这个员工，就是间谍的一种，专门获取信息获利。

商业间谍在作案时间上和其他不同，他们可能偶然活跃一次，然后沉静下来，直到下一次。

5. 无意威胁

前面的关注都是怀有恶意的内部人员，无意威胁是那些可能没有恶意动机，但行为会给攻击者提供入口，或对安全态势产生负面影响的人。例如乱下载软件，引入病毒木马，被人社工，U盘笔记本丢失等，都在这类范围内。

6. 装逼犯

这类人群的特点是爱炫耀，尤其如果自己在一家知名大公司工作，为了向人证明自己有内部消息，位高权重等。例如某互联网大厂的内部论坛，就曾有人截图八卦。还有一些泄漏公司通告、张贴自己工资表、利用权限查询男女朋友数据的爱好者。

二、内鬼捕获思路

1. 复杂性

内鬼这事不是一个简单的技术、金钱需求问题，和外部环境、诱惑交织在一起。这些外部环境包括：

• 内外勾结，内部人员可能一开始是个好人，后来开始为竞争对手、黑灰产等工作。
• 合作伙伴，合作伙伴手上有大量信息，基于某些业务，可能掌握的是核心信息。
• 组织架构调整，比如公司被收购、裁员重组等，会对员工产生心理预期的不可预测性，尤其在员工利益受损时，变“坏”的可能性变大。
• 跨国公司的文化差异，不同国家的宗教信仰、政治态度区别很大，典型如Google前阵时间的某项目，就因为某种原因而被泄漏给了媒体，导致项目终止。
• 黑灰产，员工参与黑灰产也是一个信号，黑产与内部员工的联系程度如何?员工是否羊毛党爱好者，这些都增加了风险。

2. 威胁时间线检测

（编辑：泉州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!