设为首页 - 加入收藏 安康站长网 (http://www.0915zz.com)- 国内知名站长资讯网站,提供最新最全的站长资讯,创业经验,网站建设等!
热搜: 2019 手机 苹果 如何
当前位置: 首页 > 运营中心 > 建站资源 > 策划 > 正文

企业安全无间道之抓内鬼

发布时间:2019-10-25 21:15 所属栏目:[策划] 来源:mcvoodoo
导读:【大咖·来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 观察这些年的信息泄漏案件比例,内部威胁在快速上升。内鬼的范围其实很多,传统上安全会抓账号泄漏、横向移动之类。但如果是商业间谍、搞破坏、内部欺诈这些行为,安全上基本上没能力管。
【大咖·来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》

观察这些年的信息泄漏案件比例,内部威胁在快速上升。内鬼的范围其实很多,传统上安全会抓账号泄漏、横向移动之类。但如果是商业间谍、搞破坏、内部欺诈这些行为,安全上基本上没能力管。很多安全同学吐槽,安全在公司不受重视,得不到资源,在我看来,是安全目前做的这些事相对于公司的大风险来看,太小,在高层那里不受重视理所当然,当安全有能力为公司发现、收敛更大的风险,地位当然会上升。如果你有能力抓内鬼,汇报层级也会直线上升。本文要和大家说的就是:怎么抓内部威胁。

企业安全无间道之抓内鬼

一、内鬼动机及范围

内鬼的动机一般包括:搞破坏、窃取数据、欺诈、商业间谍、无意犯错、偶然间装逼犯。内部人员作案一般是一个持续过程,在这个过程中有逐渐变化,最后到事件一次发生,多次得手。

内部人员的范围并非是“纯粹”内部人员,也包括生态上下游合作伙伴、外包、访客等任何具有内部访问权限或数据的人。给一个清晰定义,就是基于知识、访问、信任的角色。

所谓知识,如果一个人知道系统的位置、防御措施可被绕过,则为掌握了相关知识。常见例如系统的开发人员可能知道产品的几个0DAY,离职员工掌握测试系统账号密码等。

从技术角度看,IT系统验证凭证有效性,允许访问资源。因此任何获得凭证的人都可被视为内部人员,也即访问角色。即使系统有多因素认证,内部人员也可把短信验证码之类的验证要素提供给其他人员,所以从这个角度来说,IT系统很难完全防范。

还有一种是信任角色,最简单可理解为你的合作伙伴、外包等人群,也包括内部人员。这些人群获得公司一定程度的信任,可以获得部分权限资源,并且以公司名义活动。例如公司的365体育在线网_365bet体育娱乐城_365体育手机网站数据如果泄漏,在监管和舆论来看,这就是你的问题,而不是外包或代理商。

通常内部抓到的坏人处于公司形象的问题不会公开,而由于不会公开,所以实际案例可能比我们看到的多的多。但其实你可以从法院的公开判决文书找到很多案例。对内部坏人的处理逻辑,首先是内部调查,确定性质和行为。再接下来是走司法程序,但事实上很多公司会开除且不声张。

企业安全无间道之抓内鬼

1. 破坏

对IT系统的破坏可能是大家最不重视的环节了,这些人往往都是技术人群,工作中有较高的系统权限,也是相对信任人群。如果这些人准备删库跑路,实施起来很容易,业界此类案例屡见不鲜。

动机主要是报复,不管是什么原因,总之是员工期望没有得到满足,可能是加薪升职,也可能是绩效,也可能是和主管关系不好。案件一般发生在离职前后,有些情况是在系统放入后门,离职后进行操作,例如前阵时间芜湖某网管的案件,就是掌握了远程路由设备的密码,然后更改配置进行了破坏。其结果一般导致可用性、完整性被破坏。

2. 数据窃取

对很多公司来说,数据或核心资料泄漏是最大担忧,这一类案件层出不穷,从世界巨头商业公司到政府部门。大公司数据泄漏还能活下来,很多小公司因为一个配方、工艺的泄漏,可能就结束了。设计师、工程师、程序员和销售最有可能,一般情况下获取的是自己创造的信息。行为上可能发生在离开公司前后60天之内,方式上有很多,邮件、网盘、U盘、拍照、打印等都有可能。

3. 内部欺诈

这是公司里面最大的群体了,跟其他不同的是,其目标是为钱。而这部分里面有相当多是工资比较低的那部分人群,非专业、非技术人员。由于对钱的需求,所以这些行为可能持续较长时间,如果有一个中低层主管参与的团伙,则更容易获得成功。内部欺诈是破坏公司现有流程实现的,例如客服向365体育在线网_365bet体育娱乐城_365体育手机网站发放红包,就存在内外勾结的可能。除此之外,特权比较多的人员也是其中一个群体。

另外常见的一种情况是贩卖365体育在线网_365bet体育娱乐城_365体育手机网站个人敏感信息,例如房产公司销售会把365体育在线网_365bet体育娱乐城_365体育手机网站手机号卖给装修公司。个人敏感信息相对套现比较容易,需求方也明确,获取难度也不大。

4. 商业间谍

不要觉得商业间谍是一个遥远的事情,在当前的商业竞争形势下,各种套取信息、混入内部的案件比比皆是,只不过被公开报道出来的比较少。商业间谍不是在电视上看到的那种高大上间谍场景,又是色诱又是富家子弟什么的。现实中他们既有可能来自竞争对手,也有可能来自黑产,例如一个某宝店铺,雇用了一个员工,这个员工有相当多的某宝运营经验,在获取了365体育在线网_365bet体育娱乐城_365体育手机网站地址、联系方式等信息后即辞职,去了下一家。而这个员工,就是间谍的一种,专门获取信息获利。

商业间谍在作案时间上和其他不同,他们可能偶然活跃一次,然后沉静下来,直到下一次。

5. 无意威胁

前面的关注都是怀有恶意的内部人员,无意威胁是那些可能没有恶意动机,但行为会给攻击者提供入口,或对安全态势产生负面影响的人。例如乱下载软件,引入病毒木马,被人社工,U盘笔记本丢失等,都在这类范围内。

6. 装逼犯

这类人群的特点是爱炫耀,尤其如果自己在一家知名大公司工作,为了向人证明自己有内部消息,位高权重等。例如某互联网大厂的内部论坛,就曾有人截图八卦。还有一些泄漏公司通告、张贴自己工资表、利用权限查询男女朋友数据的爱好者。

二、内鬼捕获思路

1. 复杂性

内鬼这事不是一个简单的技术、金钱需求问题,和外部环境、诱惑交织在一起。这些外部环境包括:

  • 内外勾结,内部人员可能一开始是个好人,后来开始为竞争对手、黑灰产等工作。
  • 合作伙伴,合作伙伴手上有大量信息,基于某些业务,可能掌握的是核心信息。
  • 组织架构调整,比如公司被收购、裁员重组等,会对员工产生心理预期的不可预测性,尤其在员工利益受损时,变“坏”的可能性变大。
  • 跨国公司的文化差异,不同国家的宗教信仰、政治态度区别很大,典型如Google前阵时间的某项目,就因为某种原因而被泄漏给了媒体,导致项目终止。
  • 黑灰产,员工参与黑灰产也是一个信号,黑产与内部员工的联系程度如何?员工是否羊毛党爱好者,这些都增加了风险。

2. 威胁时间线检测

【免责声明】本站内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

网友评论
推荐文章