內鬼泄密猛于黑客！ 如何保護防火墻內的世界？

　　你可以建起一面墻，設置周全的防御措施，花費大量人力物力來維護，以便抵御威脅。但是，如果你的敵人來自內部，那么這面墻就形同虛設。與內部敵人的斗爭是一場沒有硝煙但依然嚴峻的戰爭。

　　4月底，美團、餓了么、百度外賣等外賣平臺的用戶信息泄露事件再次引起了全民探討。信息泄露原本不是什么新鮮事了，但這一次，泄露信息的并不是人們談之色變的黑客，也不是因為什么沒有及時修復的漏洞，而是企業沒有引起足夠重視但卻能造成嚴重危害的內鬼(Insider)。

　　猖獗的內鬼

　　隨著國內外立法和宣傳逐漸增多，很多企業對于信息安全和數據保護已經有了初步的認識，也采取了適當的安全產品和安全服務來防范來自外部的威脅與攻擊。但是，明槍易躲暗箭難防。他們在重視外部威脅的同時，卻忽視了內部的威脅同樣嚴重，同樣需要采取對應措施。

　　關于內鬼泄露信息的案例，國內外其實比比皆是。除去尚未調查出結果的美團、餓了么和百度外賣不提，傳聞表示前段時間剛被美國制裁的中興，也是因為企業自身的不謹慎而被“內鬼間諜”獲取機密文件，最終在法庭上處于劣勢。據說，美國為了調查中興、搜集證據，派了臥底律師進入中興， 結果發現中興把包括合同、戰略等高度機密的文件都放在內網中，只要是公司員工都可公開訪問。因此，該律師不費吹灰之力就拿到了壓倒中興的致命證據。后來，美國商務部還專門做了一份中興反面教材 PPT 公開到網上，提醒后來者注意。

　　2016 年，智聯招聘的經營方北京網聘咨詢有限公司(以下簡稱“智聯招聘”)報案稱，公司員工申某利用公司業務邏輯的問題非法獲取用戶的簡歷庫賬號及密碼，并將用戶簡歷向外兜售，涉案信息數量超過 15 萬條。這些簡歷包括了姓名、身份證號、住址、電話、受教育程度、工作單位、薪資收入等大量詳細的個人信息，導致智聯招聘損失將近 2500 萬元。最終，法院判處該員工有期徒刑三年六個月。

　　2017 年，谷歌前高管離職加入 Uber，同時帶走了將原本屬于谷歌的自動駕駛技術。對此，谷歌起訴了這名高管以及 Uber，最終獲得 2.45 億美元的業務賠償金。當然，最有代表性的的內鬼泄密估計就是斯諾登“棱鏡門”了：斯諾登利用其安全部門承包商雇員的職務之便，獲得對關鍵系統的訪問權，隨后從美國國家安全局拷貝了數十萬份機密文件。他將這些資料提供給英國《衛報》與美國《華盛頓郵報》兩家著名媒體，曝光之后引發軒然大波。這件事情的直接后果就是美國國家安全局與聯邦調查局于2007年就啟動的美國有史以來最大規模的秘密監控項目公之于眾。在這個過程中，攻擊者(斯諾登)來自美國安全部門內部，無需利用黑客入侵手段，只利用職務權限就能竊取機密信息;而遭受攻擊的是美國國家安全部門，導致國家安全防御體系遭到破壞，讓美國政府飽受輿論壓力。

　　內鬼帶來的威脅

　　內鬼在信息領域統稱為”Insider”，他們造成的威脅叫做內部威脅(Insider Threat)，與外部威脅相對應。確切說來，內部威脅就是由內部人威脅企業或組織安全的行為。按照 2012 年美國 CERT 提出的定義：

　　內部威脅攻擊者一般是企業或組織的員工(在職或離職)、承包商以及商業伙伴等，其應當具有組織的系統、網絡以及數據的訪問權;內部威脅就是內部人利用合法獲得的訪問權對組織信息系統中信息的機密性、完整性以及可用性造成負面影響的行為。

　　美國CERT中心認為，內部威脅主要分為系統破壞、知識產權竊取與電子欺詐三類基本的攻擊類型，由此組合形成復合攻擊以及商業間諜攻擊。本文所說的泄密內鬼，實施的就是其中的知識產權竊取類攻擊。

　　安全公司邁克菲近期的調查顯示，43% 的數據泄露都來自內鬼，而 Information Security Forum 的調查結果則顯示為 54%。這表明，內鬼泄密其實已經成為信息泄露的主要原因。我國公安部網絡技術研發中心主任許劍卓曾公開表示：目前，公民個人信息泄露造成危害最大的行業主要是銀行、教育、工商、電信、快遞、證券、電商等行業，由于這些行業掌握大量個人信息，內部人員更易泄露數據。

　　企業應當如何防范內鬼?

　　內鬼來自企業安全邊界的內部，可以躲避防火墻等安全設備的檢測，因此很方便就能獲取到企業內部資料及財產，而且由于他們自身具有關于企業的相關知識，更容易實施攻擊。內鬼具有高度的隱蔽性，對企業造成的危害也更嚴重。

　　需要注意的是，內鬼通常不是單獨作案，而是會與信息交易產業鏈中的上下游人員接觸。就算他們憑一己之力完成信竊取過程，最終也需要與他人或其他組織聯系，將手中的信息處理出去。在前文提到的外賣平臺內部人員泄露信息的案例中，電話銷售群、網絡運營公司、商家及騎手均參與其中，他們與地下黑市的人員勾結，將數量龐大的用戶數據變成了交易和謀利的對象。

　　國內的內部威脅研究并沒有多少系統性成果，我們可以參考美國 CERT 對于內部威脅的政策，總結出一些方法供國內企業參考。

　　企業管理層人員可以采取的措施：

　　數字資產標識

　　作為管理者或企業安全業務相關的人員，最好按照 ISO 55000 國際標準對企業數字資產進行標識。ISO 標準規定：

　　資產是對組織有實際價值或潛在價值的物品、事物或實體。資產管理使組織能夠在實現目標的同時實現資產價值。

　　雖然ISO 55000側重于實物資產管理，但其定義也適用于數字資產(包括數據)。“關鍵資產”價值之外的內容在于：如果關鍵資產受到嚴重損害，就會影響組織的繼續運營。

　　毫無疑問，數據是當今世界任何組織最重要的資產之一，因此需要安全、高效的管理。但是，并非所有數據在業務上都是平等的。每個企業都應當對其客戶、合作伙伴、庫存、供應商和自己業務的數據負責。在組織內部流通的數據通常包括公司的財務數據，運營數據，客戶的個人可識別數據以及一些分類數據。

　　預防數據泄露的第一步是識別并分類數據。盡管企業的 IT 專業人員熟知企業信息系統的運行方式，但他們并未全面了解整個業務的運營和流程。此刻，企業的管理人員應當幫助相關專業人員進行合理的識別與分類。

　　企業數據一般分為以下幾類：公共數據、內部數據、已分類數據和合規要求的數據。注企業中每個流程相關聯的數據類型非常重要，因為攻擊者通常不會竊取所有類別的數據，而是會有針對性地下手。很多時候，攻擊者和內部人員會獲取非常具體的數據，因此，將數據合理分類后，再有針對性地進行保護，才能有效防御威脅。

　　內部威脅項目

　　內部威脅是每個組織面臨的一個非常獨特的安全問題，因此需要配置專門的資源來解決這個問題。有能力的企業最好設置一個全組織范圍內的內部威脅項目，這個項目具有統一的愿景和使命，包含多個角色、不同的職責以及專業培訓。內部威脅項目的參與者最好包括人力資源、法律、IT、工程、數據所有者和部門主管。最重要的是，這種項目應該只向企業中最值得信賴的員工開放。

　　內部威脅項目的主要目的是建立相關的信息、協議和機制，以檢測、防范和應對內部威脅。內部威脅項目應包括：任務、詳細預算、管理結構和共享平臺。

　　內部威脅項目的主要工作內容如下：

　　合規與流程監督委員會：負責審查組織現有的工作流程，并在發生數據泄露之前提出變更建議;

　　報告機制：辦公室政治、集團行為和一系列其他因素都可能阻礙員工舉報可疑行為。因此需要設置保密機制，保護舉報可疑人員的員工，防止舉報人遭遇報復;

　　事件響應計劃：如果內部威脅已經發生、數據已經泄露，僅僅解雇員工并向當局報告還不夠。如果制定了內部事件響應計劃，管理者就能更加清楚地了解到警報是如何識別、管理和升級的。此外，內部威脅的行為與流程的具體時間范圍也能在內部事件相應計劃中體現。

　　專業培訓：內部威脅培訓詳細介紹了組織中所有人員的安全意識培訓計劃。但是，直接參與內幕威脅項目的人員需要接受更專門的培訓，以便更好地檢測和緩解內部威脅;

　　基礎設施：這一部分主要是檢測、防范和應對內部威脅的基礎設施，包括協助管理層實現使命的技術。應該定期審查部署的技術以獲得最佳選擇。

　　典型的內部威脅項目總共包含十三個組成部分，除了上述重要環節，其他的還包括：公民自由保護、溝通框架、內部威脅方案支持政策、數據收集工具、供應商管理和風險管理整合等。

　　安全審查和監督(HR)

　　在雇用人員時，最好對候選人進行詳細的背景調查。雖然企業在招人時也會進行背調，但如果涉及網絡安全層面，招聘過程的調查只是人員審查的第一步。最應當關注的就是犯罪歷史和就業經歷。有時候，造成內部威脅的人員很可能是處于商業目的或者政治目的間諜，他們可以通過各種渠道贏得信任、進入企業。

　　NIST 網絡安全框架建議組織應為每個職位設置風險等級。風險級別越高，工作崗位所需的信任和安全先決條件就越多。當雇傭新人進入風險較高的職位時，監管人員應該對他們進行高風險行為的監督。此外，最好記錄所有異常事件并分析行為趨勢。行為分析和風險分析技術是這一過程中需要用到的重要技術。

　　人力資源部門還應該準備一份終止協議，以便在員工出現可疑行為是隨時辭退他們。這份協議應要求管理人員進行離職面談，提供最終績效評估，并討論最終薪水安排。企業的 IT 專業人員應刪除所有離職員工的賬戶。對于離職前為特權用戶的員工，應當在他們離職后更改所有共享密碼。人力資源部門需要再次向離職員工闡明與知識產權相關的規定。

　　形成健康的企業文化

　　這一部分看似與內部威脅關聯性不大，但是有證據表明，在高壓環境中工作，可能讓員工形成消極的態度，導致他們更容易犯錯。如果管理者沒有注意到這些負面情緒和影響并采取緩解措施，那么員工就會覺得被忽視，甚至降低對企業的忠誠度。在這種情況下，他們更有可能做出不利于企業發展的事，甚至實施會對企業造成威脅的行動。因此，設置合理的業務考核標準，營造良好的工作氛圍、行程健康的企業文化，也有助于增強員工信任感，減少企業可能遭遇的內部威脅。

　　供應商管理流程和政策

　　要想應對復雜的內部威脅，除了企業內部采取防范措施外，對供應商和業務合作伙伴的安全管理也是重要一環。依舊以外賣平臺信息泄露為例，其中的網絡運營公司就是供應商環節的泄密。因此，企業還需要設置供應商管理流程和規則，擬定一系列協議，用于企業與供應商合作過程中的問責和監督。供應商管理流程和規則主要依賴企業管理層制定，如果沒有相關的詳細計劃，企業的安全人員只能在威脅發生后救火，而無法防范于未然。

　　供應商管理流程主要包含四個階段：定義、規范、控制和整合。定義階段主要用于確定組織中最關鍵的供應商，此處關鍵的標準是一旦與供應商的關系出現問題，企業的運營和收入都會受到負面影響。規范則涉及為每個合作的供應商指定安全聯絡人，其職責是維護合規知識、執行審計過程、促進安全通信、提供培訓、跟蹤合同和所有文件，并實施監督。

　　供應商政策應當包含的重點內容有：審核安全控制的權利、供應商遵守監管的要求、安全績效報告以及及時上報任何數據泄露事件。最后階段是整合，主要關注數據收集、分析和驗證。收集到的信息需要與企業現有的安全實踐和審計程序相結合，才能更好地發揮作用。

　　安全意識培訓

　　如今，國內企業已經逐漸意識到安全意識培訓的重要性。除了普通的安全意識培訓之外，企業還應當針對不同的群體進行有針對性的培訓才能達到最好的效果。

　　首先是針對領導層、管理層的培訓，前文所說的方法如果沒有管理層的參與，是無法落地實施的。只有管理層意識到內部威脅的嚴重性，有了防范意識，企業內部的防御才能順利實施。安全專業人員最好定期總結威脅情報并回報給管理層，讓他們了解到這些威脅對于企業的財務狀況和聲譽所造成的嚴重影響，進而引起他們的重視。

　　其次是針對企業內安全專業人員的培訓，他們直接負責安全業務，但也可能存在一些誤區。需要讓他們意識到，安全工具不代表一切，更難以防范來自內部的威脅。安全工具只是動態問題的靜態解決方案。但人永遠是多變的，他們總能找出破解或者繞過工具的方法。因此，安全專業人員不能依賴工具而高枕無憂，他們必須時刻準備好面對各種變化。此外，他們也應當意識到，一旦出現問題，最好的辦法是及時通報而非刻意遮掩。哪怕管理層對此并不重視，也應當承擔起作為安全專業人員的責任，直面問題并盡力解決問題。

　　最后，針對普通員工，定期進行培訓和考核，在公司顯眼位置張貼宣傳語或播放宣傳視頻，在潛移默化中培養員工的安全意識與安全習慣，不失為一種好方法。

　　技術層面的防范

　　除了上述的理論層面，在技術層面也可采取一定的措施來防范內部威脅，以下列舉部分常用辦法：

　　加密存儲，對數據進行業務管理：即負責某一項業務的人，只能在一定范圍內看到一部分數據;

　　數據分級管理：即下層業務人員如果要查詢某些數據，必須要得到上級或相關業務管理者的臨時授權;

　　數據協同管理、內部流量管控;

　　基于蜜罐、蜜標的內部威脅檢測;

　　實施 BYOD 政策，增強身份認證和識別;

　　加強用戶行為分析(UBA)

　　監管部門也當亮劍

　　國內內鬼猖獗的原因除了企業安全意識不強、監管不嚴格，還有最重要的一點就是暴利誘惑以及犯罪成本太低。因此，近年來監管部門也逐漸加大了立法和執法力度，從法律和監管的角度遏制內鬼泛濫。

　　在“兩高”發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中明確規定，對于公民的行蹤軌跡信息、通信內容、征信信息、財產信息，只要非法獲取、出售或者提供50條以上，即構成“情節嚴重”。而對于住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息，標準則是500條以上。對于其他公民個人信息，標準為5000條以上。

　　而對行業“內鬼”，《解釋》則降低了入罪標準。《解釋》規定，在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人，數量或者數額達到司法解釋規定的相關標準一半以上的，即可認定為刑法規定的“情節嚴重”，構成犯罪。

　　還要知道，泄露公民的個人信息是刑事犯罪。《刑法修正案(七)》規定：

　　金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或非法提供給他人，情節嚴重的，就可以構成犯罪。賣家違法搜集訂餐客戶信息，作為“商品”肆意倒賣，嚴重侵犯公民權利，理應受到法律追究和懲罰。

　　當然，我國對于企業應當遵守的信息安全規范也有相應的規定。《網絡安全法》明確要求，“網絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度”，“應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失”。否則，可作出警告、罰款、吊銷營業執照等處罰。嚴格保管客戶的隱私信息，是運營者的法定責任。

　　隨著公民和企業安全意識的增強、隨著立法不斷細化落地、隨著各類措施和流程的不斷完善，內鬼泄密的情況也許能有所緩解。但是，“人永遠是最薄弱的環節”，攻防之戰中，我們也只能永不停歇地前行。