我们对于资安威胁的认知,往往限于种种刻板印象而陷入迷思,却并未察觉问题就出在组织内部。
而在2018台湾资安大会的CISO论坛上,国际产业安全协会台湾分会长杨博裕也呼吁,希望企业资安长能够重视内部威胁,并分析管理上的盲点。
比起外部威胁,内部威胁更不易发现虽然内部威胁发生的机率,的确比外部威胁低很多,但由于这样的风险源于内部员工,并不容易察觉。为什么内部威胁更是令人防不胜防?杨博裕表示,这些涉案者具有下列几种特性,是外部威胁先天上所缺乏的优势。
首先,在企业日常作业的过程中,他们已经取得了应有存取权限;第二,他们知道你重要资料存放的位置,也很清楚公司设立防护机制的所在。因此,这个时候,如果组织对于上述情况的发生,缺乏侦测或预防的机制,资料将被一点一滴地偷走,等到你发现在,可能就已经太迟了!
关于内部威胁所造成的灾情,多数人可能了解不多,杨博裕举出4种常见事件类型,来印证这样的风险。
首先是一般使用者,经常会接触到的网络钓鱼攻击,员工可能有意或无意地点选钓鱼邮件,而开启了恶意网址,导致个人电脑被入侵或遭到恶意软件植入。第二种是与离职员工有关,他们可能为了跳槽,而在就职期间,偷偷窃取了企业的机密资料,然后携往其他公司;或是因为不满工作环境,员工在公司IT系统埋下了逻辑炸弹,等到解职之后,就启动这样的破坏。
第三种案例的主要发起对象是现职员工,他们可能利用职务之便来舞弊营私,为自己加薪。例如,在金融业,曾发生员工通过改写程式,将他人帐户利息转存到自己帐户。
第四种涉案者则是高阶主管,且与社交工程攻击有关。有家公司财务长带全家外出游玩,因为家人在社交网站上打卡,意外暴露了自己正在旅游的状况,而使得骇客有机可乘,发动了社交攻击,使员工听从歹徒指示转帐,而骗得款项。
牵涉到人性,使得内部威胁难以根除既然内部威胁是真实而迫切的危机,为什么大家还是继续漠视、容许?杨博裕表示,我们习惯采取的三种态度——瞻前不顾后、无法衡量损失、家丑不外扬,所以,最终导致了这样的结果。
所谓的瞻前不顾后,就是指关注外部威胁重于内部威胁的迷思。由于外部威胁较为显着,且引人注目,例如,企业若发生网站被攻陷、应用系统面临瘫痪、机敏资料遭人公布到网际网络等事故,许多媒体可能会争相报道,连带也吸引了社会大众的目光。
也因此,不论是从人、科技、管理制度设计等方面,我们所投入的许多资源,都是为了防范外部威胁,而轻忽了内部威胁可能造成的影响。
而这样的情况有多普遍?杨博裕引用SANS的数据来佐证,他们在2017年举行的内部威胁调查,指出了认知的矛盾之处。在这份调查结果当中,多达62%的人士表示,从未遭遇内部攻击,但同时,也有38%的人坦承,他们对于此类攻击的侦测与预防不足,杨博裕认为,若将这两个数据勾稽起来,代表可能有内部威胁正在组织中发生,但因为缺乏有效的预防与侦测机制,所以,根本不知道有内部威胁事件的发生。
而这样的结果,也意味着,企业面临的真正问题,可能是内部威胁无法妥善侦测,而不是没有发生。
之所以无法正视内部威胁,另一个关键在于导致的损失无法衡量。杨博裕表示,在衡量内部威胁可能造成的影响时,缺乏量化的机制,所以,一旦发生这类事件时,资安长向公司高阶经理人或董事会成员报告时,无法具体陈述究竟造成何种影响,使得组织内部必须持续面对这样的议题,却又无法有效聚焦。
至于家丑不外扬,也是面对内部威胁时容易采取的态度,我们不希望让外人知道组织正处于这样的危机,以免影响商誉,然而,这有可能会衍生出另一种局面,那就是,台面下发生的内部威胁,其实远比台面上的多,原本存在的问题并没有真正解决,而有可能隐藏在无人知晓的黑暗角落。
(图片来源/卡内基美隆大学)
关于内部威胁管理的议题,杨博裕特别推崇卡内基美隆大学在这方面的研究,而在该校软件工程研究所设立的内部威胁博客文章上,也展现他们对于内部威胁的定义,当中区分四大领域:人员类型、组织资产、动机与意图、负面影响。
内部威胁牵涉的人员,不只是正职员工上述的种种状况,影响到我们对于内部威胁的认知,杨博裕也引用美国电脑网络危机处理中心(US-CERT)的定义,来具体说明内部威胁具有的特征,他认为,绝大多数内部威胁,都与“人”、“事件”等两个因素有关。
以人的部份而言,US-CERT认为,这会包含到几种人员,例如:在职员工、离职员工、约聘员工、企业合作厂商,尤其是可存取公司网络、系统与资料的人士。企业合作厂商为何也是内部威胁?因为许多企业把内部作业外包给厂商,而须纳入内部威胁的范畴,因为这些合作厂商可能会派出人员到公司内部驻点,或是厂商的人员虽然位在企业办公室外,但同时对你的公司提供服务。
接着,再从事件来看,US-CERT也认为,只要是因刻意或不小心误用存取权限,而对公司资讯资产的机密性、正确性、完整性,造成负面影响的状况,就属于内部威胁。
为了印证内部威胁的真实性,杨博裕以2013年美国国家安全局(NSA)史诺登案,细数这类威胁爆发前的征兆,提醒企业注意。
首先是组织对于人员背景调查、教育训练的不足。
在事发当时,史诺登的身份是NSA的外包雇员,然而他在先前于美国中央情报局任职,就有非法下载资料的记录。另外,NSA对于新人到职的教育训练,囿于法令限制而无法涵盖到外包雇员,所以,在这部分,也无法尽到充分传达工作使命、凝聚向心力的作用。
其次,则是组织在效率与安全的取舍,有了重大偏差。
史诺登身为外包雇员,却同时身兼系统管理员,以及资料库管理师等两种角色。或许在权责没有区分,也缺乏预防与监控的机制,单位本身无法察觉这类异状的状况下,产生内部人员盗取机密资料的机会。
最后,则是与员工的日常人际关系,以及差勤表现有关。
据传,史诺登在工作上与其他高阶主管起了严重冲突,虽然当时他向对方道歉而落幕,但可能已埋下对组织心生不满的种子。另一个状况则是,史诺登开始改变上班作息时间,经常借故晚上加班,可能是为了盗取资料;而在即将逃亡之际,史诺登也经常请病假、甚至直接旷职,虽然主管曾介入关心,询问其是否需要协助,但最后仍没料想到他失踪多时之后,出现在香港,并将取得的国家级机密资料公诸于世。
而基于这些迹象,其实也显示了,多数人对于内部威胁的防范,其实是掉以轻心的。因此,企业若已经有所体认,并打算建立相关的管理作业架构,杨博裕也提出几点建议。
他认为最重要的部分是,需建立内部威胁管理作业流程;其次,是了解公司对于内部威胁的策略,以及预期达到的目标;接下来,则是资安主管经常进行的资讯资产盘点,并且要注意组织的事件反应机制,不能单就外部威胁的层面来进行处置,也必须要考虑到内部威胁的可能性。
iThome△Security
I 相关 / Other
【通过开源软件强化企业内部的主机弱点监控范围】台湾证券交易所打造主机安全网
图片来源: iThome 台湾证券交易所的资讯安全对于国内经济的影响不小,不只确保证券交易得以有效且公平进行,任一系统若是出问题,甚至被恶意软件入侵遭到APT攻击,后果不堪设想。在本月中2018台湾资安大会现场,台湾
4月2日,新京报刊发调查报道《牛皮胶边角料熬成“太太”阿胶糕》,多家阿胶厂家用牛皮边角料甚至骡马皮做原料熬制阿胶,更有“太太”等知名企业委托当地厂家加工劣质阿胶糕。在厂家自制“检验合格”报告掩护下,假冒
阿胶事你喜欢吃的补品之一吗?相信不少的女性朋友都喜欢在熬汤的时候放一些阿胶下去或者买阿胶糕来吃,但是现在阿胶丑闻事件不断发生,让很多人对于阿胶都失去了信心。近日央视更是爆出阿胶乱象问题,现在问题阿胶调
说起食用调和油大家并不陌生,它是用两种或两种以上的食用油调制成。近年来,调和油以其特有的营养搭配理念,受到越来越多消费者的青睐。然而,记者通过长达半年多的深入调查发现,一些名目繁多的所谓食用调和油实际
中小型企业联合会会长郭振邦在本台节目表示,反对政府提出的取消强积金对冲方案,不满方案无取消与强积金功能重叠的长期服务金,又认为政府补贴不足以令小微企,应付长期服务金及遣散支出。他指,政府数据反映,取消