内部威胁那些事儿（二）：系统破坏

一、引言

上一章我们整体介绍了内部威胁的定义、特征以及反映普遍行为模式的威胁模型，并且根据威胁目标将现有内部威胁分成了系统破坏、信息窃取以及欺诈三类基本的类型，现实中多是三种基本类型的复合。

然而整体的威胁模型只能反映不同攻击类型间的共性，丢失了具体攻击类型的诸多细节与特征，直接用于实际威胁分析作用有限，因此十分有必要针对具体的攻击类型进行分析。今天我们来详细分析第一种基本威胁类型：系统破坏。

内部系统破坏威胁定义

第一章中我们引用CERT的表述对内部威胁进行了整体定义：内部威胁攻击者一般是企业或组织的员工（在职或离职）、承包商以及商业伙伴等，其应当具有组织的系统、网络以及数据的访问权；内部威胁就是内部人利用合法获得的访问权对组织信息系统中信息的机密性、完整性以及可用性造成负面影响的行为。

简单来说，系统破坏威胁可以说主要侧重上述负面影响中的信息可用性。我们可以试着对内部破坏威胁进行一个初步的定义：

系统破坏威胁（Insider System Sabotage）是指内部人使用信息技术（IT）方法直接对组织或个人造成损害的行为。

定义中的“内部人”当然同整体定义中一样，只不过威胁影响限制在“损害”作用上。此类事件现实中并不少见，但是考虑到隐私或声誉新闻曝光却极少。我们介绍一个典型的案例（隐去了身份与名称信息）：

小李是某企业人力资源部员工（HR），因平时工作态度不认真，绩效评定落后等原因被企业解雇后，心中不满想报复原单位。小李先是远程入侵企业的服务器，删掉涉及员工福利评定的1000多个文件。

为了陷害前上司王某（小李认为自己的解雇决定主要由王某作出），刻意提高王某的工资与福利数据；此外小李觉得还不可靠，于是以王某的名义向企业领导层发送了包含删除数据信息的邮件以进行要挟。最终企业的安全监管部门从取证镜像中检测出了发送邮件的实际终端，定位了小李。最终小李被判有期徒刑并处罚金。

上述案例反映了一次系统破坏的典型特征：攻击者往往需要具有组织系统的高级知识，并且具有一定的技术操作能力；攻击的动机往往是出于不满而报复，报复的手段通常是删除关键数据、埋放逻辑炸弹等；大部分系统破坏攻击针对的是组织系统，少部分也会陷害个人（如本例），因此系统破坏的对象可以是组织系统也可以是个人。

二、影响

系统破坏的影响显而易见，一旦系统可用性破坏，随之而来的信息化办公、业务运行均受到影响，甚至企业核心资料的损毁会直接带来企业生存危机。如某医学研究所的系统管理员删除了18个月的癌症研究资料及备份，导致研究中断；某企业因为系统破坏导致业务受到严重影响，直接经济损失1000万美元，80名员工因此下岗，等等。

通常来说系统破坏的影响都是毁灭性的，企业业务中断、核心资料丢失，除去直接的经济损失之外，不得不进行裁员导致员工大批失业，影响社会稳定。如果系统破坏发生在政府、基础设施以及军工等部门，如电力、通信、军工研究所等，那么所带来的影响就不是单纯的经济损失，而是威胁到国家安全。

根据CERT数据库中123个破坏案例的分析，每个破坏威胁平均造成损失170万美元，最多的案例造成了870万美元。我们基于现有破坏威胁分析，具体的影响可以有以下情况，如图1：

三、行为模型

基于系统破坏的毁灭性影响，企业或政府信息安全部门必须对此高度重视。我们可以从攻击者与行为模型两个角度分析。

3.1 攻击者特征

系统破坏往往需要进行远程入侵、密码破解、木马植入等技术性工作，因此攻击者通常具有相当的技术基础。就已有案例来说，系统管理员、数据库管理员以及程序员都是高危人群。

现实中一个误区是企业往往认为重点关注男员工即可，但是实际中技术岗位的女性越来越多，2010年美国的一项调查就显示，网络与系统管理员中16.5%是女性，而36.4%的数据库管理员与22%的程序员也是女性。因此实际中的员工监管不应区分性别，而是聚焦在风险评估与行为模式分析上。

3.2 行为模型

这里特指系统破坏威胁的行为模型，CERT曾经给出了一个较为全面的破坏类内部威胁模型，如图2：

该模型整体刻画了攻击者的动机与行为表现，同时还纳入了企业的信任管理模块。最下层的Unmet Expectation用于刻画攻击者不满的原因，以Disgruntlemnt（不满）为核心形成的小循环，刻画了攻击行为形成的过程，最终在Techinical Precursor（技术先兆）上可以监测出用户的行为异常。

该模型较为完整地刻画了破坏威胁的形成与发展过程，并且启发应对方案。下面，我们针对上述模型中关键的部分进行详细的分析。

3.3 个人因素

Personal Predispositions（个人倾向）是个人因素的重要部分，通过这个部分的刻画，我们可以解释为什么不是所有的内部人都会造成内部威胁。通常内部人的个人倾向可以通过评测工作中的实际表现分析获得，常见的个人倾向表现如图3：

3.3.1 初步建议

获得个人因素的重要方法是在员工进入企业前进行详细的个人调查，主要是在招聘环节加强背景调查与个体评价，重点是个人档案中的犯罪行为记录、疾病相关历史，有可能则应联系其前雇主，从而了解员工职业能力与人际关系处理能力。

之所以强调背景与历史调查，原因是现有数据分析表明，破坏攻击者中30%的人有过违法犯罪等不良记录，通过深入的个体评估，可以有效排除潜在攻击者。但是实际中应当处理好隐私保护相关问题。

3.4 不满与期望

Disgruntlement（不满）与Unmet Expectations（期望）通常是破坏威胁的主要动机。我们所说的期望是指一种个体不满的假设，即企业行为或事件的发生可能，或某种条件的具备与否。

不满都是在期望得不到满足的情况下产生，并且是一个不断强化的过程。典型的期望如希望有更高的系统权限、职位晋升、福利奖励等。不满与期望的关系如图4：

上图中内部人的期望与实现共同决定了为满足期望的程度，个人因素往往会决定期望的程度，积累事件（Precipitating Event）则会加深期望的不满度。通常来说，内部人的期望如图5：

由上图可见，福利待遇、职位晋升、岗位调整、人际关系是最常见的员工期望；另一方面，企业的某些处理行为会加深员工的不满度，即积累事件（图6）：

3.4.1 初步建议

员工具有期望是正常的，关键是如何引导。因此对于企业而言，重要的不是严格管理员工，而是加强员工的职业道德教育，建设企业文化，增强员工的职业忠诚度与责任心；此外应建立顺畅有效的信息发布机制，保证企业的规章制度与处理决定可以及时准确地传达给员工，避免谣言带来的不必要担忧。

3.5 行为先兆

当员工对企业的不满达到一定程度时，必然在行为上有所表现。这些表现可以是员工的某个行为，也可以是某个事件。通常，不满的第一次表现会在工作时显露，如：

1. 与同事或上级发生口角；
2. 行为模式突变：旷工、迟到或早退；
3. 工作业绩突然下降；
4. 吸毒、酗酒；
5. 暴力倾向；
6. 情绪不稳定；
7. 行为怪异；
8. 性骚扰；
9. 个人卫生状况差；

3.5.1 初步建议

应对这些行为表现的方法是培训管理层人员，识别、关注此类行为变化，接收到员工不满的信号，从而进行相应处理，如单独沟通等。

3.6 压力事件

压力事件大多是企业针对员工不满的不当处理，这些处理不仅没有制止内部威胁，反而成为了推手，加剧了员工不满，强化了攻击动机，最终发生内部威胁。这些不当处理最直接的表现就是处罚：

1. 降职
2. 训斥
3. 停职
4. 项目职权剥夺
5. 网络访问权中止

结果就是获得了反作用，如图7：

上图表示管理层发现员工的不满表现后，采取消极的惩罚处理，不仅没有消除内部威胁动机，反而强化了员工的不满感，从而提高了内部威胁发生的可能性。

3.7 技术监测

当用户的不满达到阈值，终于决定实施内部攻击时，其行为就会在内部审计系统中有所体现。因此技术监测是内部威胁检测的决定性依据。一般来说，技术监测需要针对用户操作信息系统的行为进行审计，主要有：

1. 系统登录、登出；
2. 文件访问行为，具体包括文件读写、修改等；
3. 邮件收发行为：如邮件收发对象、标题、附件类型等；
4. 设备使用行为：打印机使用、移动存储设备使用等；
5. 网络访问行为：Web访问行为、FTP等行为等；

除去上述经典的五类审计行为，还可以从访问路径（Access Path）的角度监测用户行为。用户访问系统中不同位置，执行相应操作，必然形成相应的访问路径。然而内部攻击行为往往会创建出未知的访问路径，如图8：

因此从五类审计行为与访问路径角度可以对用户行为的技术表现进行详细的刻画，整体模块如图9：

除去上述常用技术指标，基于现有案例分析，以下技术指示器也应引起高度重视（图10）：

3.7.1 初步建议

技术角度而言，执行全面的内部审计是监测内部威胁的关键。除此之外，要建立细粒度的访问控制机制，确保用户的最小权限原则，使得用户无法单独完成一次内部破坏攻击；此外可以雇佣两个以上的系统管理员，从而相互制约；数据表明大量破坏攻击来自于离职员工，因此一旦员工离职，应立刻收回其系统访问权限，做好善后工作。

3.8 信任管理

内部威胁的本质可以说是一种信任危机，内部人的权限来自于企业信任的授权，因此应对破坏威胁也应考虑信任管理。

信任管理模型主要是企业信任与用户行为的局部循环。最初企业授予内部人以相应的访问权限，通过从技术与行为两个维度监测用户的行为，一旦发现可疑的威胁因素，立即进行相应的权限改变。

该模型的最大意义在于引入员工权限的动态管理机制，实现信任与约束的权衡；基于内部威胁风险评估的结果，对员工的访问权限实时动态调整，严重时直接剥夺其所有权限。

四、管理建议

综合上述分析，我们可以得到一个应对内部破坏威胁的初步模型：

应对模型主要涉及内部人的攻击动机发现、攻击行为检测两个方面，核心思路是能够预测具有攻击动机的内部人，及早进行措施预防或抑制内部威胁。我们整体上提出以下建议：

1 态度重视：企业管理层应当充分认识内部威胁的危害，高度重视，采取切实有效的措施应对内部威胁挑战；

2 消除动机：基于员工不满是内部破坏的主要动机，而不满又来源于期望不满足，因此应当科学分析员工期望，建立有效的激励机制，引导员工期望，降低期望不满几率。

3 缓解不满：培训管理者能够识别员工常见的不满表现，之后建立企业中正向干预机制，如设立员工咨询服务、员工援助基金等，主要工作是了解员工不满的原因，引导或帮助解决；

4 访问路径监测：依据职业角色与权限建立每个用户的访问路径树，然后实时检测是否存在未知访问路径；

5 定向监测：从员工的个人因素与最近的工作表现中分析其具备的攻击动机程度，从而有重点监测其行为； 6 实时安全备份：对于企业重要资料（业务数据、员工工资等）建立科学备份机制，内部审计日志实时备份，避免数据损坏风险。

总之，应对内部破坏威胁，需要人力资源部门与信息管理部门的协作，从内部人动机与行为先兆等诸多表现中，预测潜在的内部攻击者，检测实施的内部威胁，快速抑制威胁的影响。

Reference

1 科研人员偷卖90项国家绝密情报 http://news.sina.com.cn/o/2016-04-19/doc-ifxriqqv6232884.shtml 2 维基百科：https://en.wikipedia.org/wiki/PRISM%28surveillanceprogram%29 3 Lawrence A. Gordon, Martin P. Loeb, William Lucyshyn, and Robert Richardson. CSI/FBI computer crime and security survey, 2006 4 Kroll and Economist Intelligence Unit, "Annual Global Fraud Survey, 2011/2012," 2012 5 The Seven Largest Insider-Caused Data Breaches of 2014, C Preimesberger, , 2014 6 2014 US State of Cybercrime Survey, US CERT, Camegie Mellon University, 2014 7 基于文件访问行为的内部威胁，北京邮电大学，张锐，2015 8 The CERT Guide to Insider Threats, 2012