为了保护信息安全,企业可以建造一堵厚厚的墙,设置边界防御,并耗费大量的资源来维护。但是,如果企业的安全威胁在内部,那么这堵墙就会形同虚设。
在之前的一篇文章《为什么老实规矩的员工才是每家公司最大的安全隐患?》中,我们系统地讲述了企业面临的内部威胁,并且指出,在信息泄漏的普遍性和危害性上,企业内部人员甚至比黑客还要严重。
今天,我们打算通过几个故事,分别从不同的角度来看一下内部威胁的危害。
1.不小心泄漏数万名同事信息
2016年底,波音公司的一名员工将公司电子表格,不小心通过电子邮件发到了在其他公司工作的配偶。这份文件包含了3.6万名波音员工的敏感个人身份信息,包括姓名、生日、出生地点、社会安全号码、员工ID号码和会计部门代码等。
据悉,这一事件发生于2016年11月21日,而波音公司直到2017年1月9日才发现。那位泄漏数据的员工及其配偶表示,在这将近两个月的时间里,他们并没有发布或使用其中的任何信息。这个事件也为企业敲响了警钟,因为谁也不敢保证,员工下次会不会不小心将敏感数据发送到恶意地址。
2.离职前窃取机密文件
2016年5月,谷歌无人驾驶部门技术负责人Anthony Levandowski离职,创办了自动驾驶汽车公司Otto,两个月后,Otto被共享出行巨头Uber收购,Levandowski就此加入Uber自动驾驶团队,担任技术副总裁一职。
没过多久,谷歌旗下的自动驾驶公司Waymo就对Uber提起了诉讼,原因是Levandowski在离开谷歌之前,下载了1.4万份机密文件,并将其带到Otto,以便出售给Uber。
今年2月,这个长达一年的官司终于有了结果:Waymo胜诉,获赔价值2.45亿美元的Uber公司自有股票。而在此之前,Uber也已经解雇了Levandowski。这个事件对正在全力发展自动驾驶技术的Uber造成了巨大的打击。
3.将前公司视为竞争对手,离职后仍能窃取文件
2013年,建筑工程公司Allen&Hoshall的雇员JasonNeedham离职,之后创办了自己的公司。但是在离职之后,Needham仍然频繁访问前雇主的文件服务器和电子邮件。在这段时间,他利用自己原有凭证,以及窃得的前同事邮箱账户,下载了价值42.5万美元的文件和设计图纸。
Needham的这些行为从来没被发现过,直到他接到一个客户投诉,说他的方案与Allen&Hoshall公司的方案近乎一样。
FBI接到报案后展开调查,证实Needham的确窃取了信息。Needham因此失去了工程执照,并且被判18个月的监禁。
4.一封垃圾邮件暴露商业间谍
零几年的时候,David Kent建了一个名为Rigzone的社交网站,并在2010年时以5100万美元的价格出售给了DHI集团。作为本次出售的一部分,Kent同意签署了一份不竞争协议。
Kent遵守了这个协议。不过在协议过期后不久,他就创建了一个类似的网站Oilpro,并立志把它再次卖给DHI集团。果然在短短几年之后,Kent就使Oilpro的会员数量达到了50万,DHI集团决定出价2000万美元购买。
但紧接着,一封垃圾邮件就让这个惊天骗局浮出水面。
原来,Kent并非是他自称的网络天才,而是一名黑客。Oilpro的数十万会员,其实是他跟Rigzone的一个内鬼狼狈为奸的结果。Kent在那个内鬼的协助下,获得了Rigzone的管理权限,偷走了70多万个用户的账户。
直到一位用户反映收到了Oilpro的垃圾邮件,Rigzone才警觉起来。随后,Rigzone设立了几个不对外公开的假账户,尽管如此,这几个账户还是收到了Oilpro的垃圾邮件。通过进一步的追踪,Rigzone才找到罪魁祸首。FBI介入调查,Kent被判处三年监禁。
5.员工心怀不满,删除公司重要数据
Christopher Grupe曾经是加拿大CPR铁路公司的系统管理员,在职期间与同事之间的关系就很差。2015年12月,他因为不服从工作安排而被停职,当他回到工作岗位时,公司宣布将他解雇,而且立即生效。
Grupe因此对公司怀恨在心,在离开之前,他用工作电脑访问了公司系统,然后把重要文件悉数删除,同时也删除了其他管理员的账户,并更改了其他员工的密码。最后,他清空了电脑硬盘,并掩盖了作案痕迹。
在他离开后,CPR公司的网络很快出现异常,而IT人员则发现自己根本无法进入系统进行维修。费了九牛二虎之力终于进入系统,才发现肇事者和是Grupe。随后,Grupe被判处一年监禁。
6.承包商也是薄弱环节
有时候,攻击企业网络的内部人员,并不是真正身在公司内部,而且他们也不一定是真正实施攻击的人。2014年,Target公司遭大规模数据泄漏即说明了这一点,这个事件泄漏了7000万人的姓名、地址、电话号码、电子邮件地址和信用卡数据。
黑客并没有直接攻击Target公司,而是通过钓鱼手段,得到了Target公司承包商内部员工的凭证。随后,黑客就利用承包商的凭证进入Target公司的网络,然后窃取了这7000万用户的信息。
结 语
当然,仅仅通过几个案例,根本无法全面反映企业内部威胁的情况,更何况还有更多的安全事件没被发现,或没有查到内部真凶。我们的目的是希望企业能够对此重视起来,并立即采取必要的措施。
毋庸置疑,内部威胁已经成为企业安全漏洞的最大原因,在手段上,归根结底主要是员工或具有访问权限的人登入公司系统账户。因此,防范内部威胁,最应该在账户安全方面下功夫。
锦佰安科技建议,一方面企业应该完善相应制度、对员工进行安全教育,另一方面也应该用技术手段,把最脆弱的“人”的因素纳入企业安全管理策略中,除了使用最小权限原则和堡垒机等技术之外,还应该根据员工角色转变及时更新/删除账户权限,并采用能够识别操作者真实身份的身份认证技术,以防止员工身份被冒用,同时还能做到安全审计、责任到人。
比如SecID多因素身份认证,可以在用户输入账户密码之后,要求用户再完成另一种因素的身份验证,比如指纹、人脸识别、一键确认、图片密码、OTP动态口令。在这种情况下,因为访问权不取决于密码强度,即使黑客窃取用户的密码,在登录过程中仍然无法绕过二次强身份认证,也就无法登录账户。
更进一步地,企业还可以采用SecID AI行为识别身份认证技术,它可以基于独一无二、不可复制的用户行为进行身份认证,确保只有用户本人才能登入账户。而且,验证过程是在用户无感知状态下完成的,用户也就完全无需改变操作习惯。
因此,这种强大的账户保护措施不仅能抵御外部攻击者,而且还能有效防止员工身份被冒用。此外,由于多因素身份认证和AI行为识别身份认证能匹配到用户本人,所以也能做到安全审计,对内鬼起到极强的威慑作用。