根據《哈佛商業評論》表示:「比起外部駭客,內部人員更可造成嚴重的危害,這是因為他們可以合法地存取系統,而且接觸系統的機會也更多。內部人員可造成的危害包括中斷營運、智慧財產遭竊、損害商譽、降低投資人與客戶信心,以及將敏感資料洩漏給第三方(包括媒體)。」偵測並且削減內部威脅,特別是當我們討論到敏感資訊和大型資料儲存媒體(如資料庫,大數據系統和檔案伺服器)時,就需要深入了解用戶工作活動以及他們如何使用企業資料。
內部威脅特徵側寫分析
我們將從內部威脅人員側寫分析開始討論。大致上以是否具有主動企圖為依據,區分三種使用者,被害入侵的、粗心的和惡意的使用者。
首先看看被受害入侵的系統,傳統上已是大多數安全產業關注的焦點,也大多存在有「抵禦外侮」的解決方案。考慮點擊網路釣魚連結的用戶,惡意程式散播感染端點的用戶,而轉變成在組織內部的攻擊者。他們可能會在整個單位組織中橫向移動,嘗試搜尋特定敏感資料的所在,並可能利用其他憑證以獲取存取權限。
第二是粗心大意或漫不經心的用戶。DBA(Database Administrator)可以合法藉由網路存取資料庫,但卻常使用投機的登入方式來連線。可能使用預設系統程序服務帳戶來連接到資料庫,而不是自己的專用帳戶。組織對這種行為可能疏漏未察,使得DBA可以存取整個資料庫內容,而非依最少可完成工作的權限原則來區分;而當DBA粗心存取不該存取的地方時,便缺少了「可歸責」的稽核依據,也沒有足夠的活動記錄可以用來檢視異常。
同樣,對於惡意的用戶,也是具有合法身分驗證憑證的用戶;但也許他們被外部勒索、利誘,正打算在把資料帶到下一份工作。也可能蓄意破壞,挾怨報復,而造成組織損失。討論最後兩個類別「粗心」和「惡意」時,這是目前資訊安全業最需要改進的領域;不僅僅是需要分析內部用戶威脅的特徵側寫,而且要考慮新技術和新方法來解決上述三種類型用戶。
為什麼檢測如此困難?
我們持續看到非常大的外洩案例持續發生。一次可能高達上億筆資訊?這不是來自筆電上的試算表,而是來自一個企業內的龐大資料庫。問題在於這些使用者本來就具有合法存取權限,不一定是IAM或是存取控制有問題。而這些是完成工作所需的權限,真正的需要監督而且具有意義的則是在於登入後的稽核。檢視並記錄使用者登入後做了什麼,操作行為是否正常。理解好的和壞的行為差別,是一個很大的挑戰。在對資料庫或大數據環境檢視數以百萬計的事件記錄中,但該如何才能確定好與壞?
在某些情況下,他們會向SOC發送資訊。也許透過相關路由器設備日誌記錄。也許在網路環境中還有其他安全防護層;然後試圖拼湊起來瞭解全貌。但在大多數情況下,對這種登入後的作業行為若沒有好的稽核方式,則無法判斷好的或壞的行為,而導致結果是無意義的警報超載連連。這些系統雖然傳回了警報資訊,卻無法獲得明確可採取行動的判斷資訊。
最大的問題之一,是這些大型企業有數千個應用程式在環境中,他們都服務於不同的業務單位和業務需求。安全團隊只能利用使用者、應用程式及組織內的其他人存取的資料,分析所有好的與壞的行為。但這種缺乏前後上下文關聯的情境,確實是無法透過靜態策略來預測及反應行動。需要有更先進的技術,才能理解分析好的和壞的行為;能夠對告警進行判斷分類,並能夠為團隊提供一些背景分析。這樣系統才有可能真正去隔離、跟蹤和處理內部威脅行為。
識別違規需要瞭解使用者和資料間的關係
我們討論了使用者側寫分析,接下來來談談資料本身。簡單說就是使用者與資料本身的關聯關係;和使用者行為可被歸類到內部威脅風險時,很可能就是資料洩露的地方。每年發佈的Verizon資料洩露調查報告表明,我們看到大量資料外洩的案例中,發現只是一個內部人員,同時具有破壞、粗心或惡意使用者的三種特徵。
資料與使用者的關係屬性
當我們開始談論大量資料、大型資料庫、檔案系統,尤其是資料庫時,該了解的不僅僅是IP位址和使用者名稱。當使用者開始登入特定系統時,應該期待瞭解更多關於來源、使用的應用程式、所屬的部門、該使用者與資料互動時的前後關聯、屬性。,例如,登入之後對該資料庫執行sql命令存取資料表,現有的傳統安全防護系統就無法派上用場。而保護此資料的真正關鍵是資料的類型,和對使用者存取行為對應關係的理解,才能足夠解決前面談到的挑戰。
機器學習不是神話
你能了解組織內的每個人都在做什麼嗎?如果你參加過 RSA 會議,或參加過任何安全展會,亦或者與供應商交談過。他們很有可能會告訴你,利用機器學習進行使用者行為分析 (UEBA) ,可以解決偵測內部威脅的問題。機器學習可在某些狹隘情況應用中做得很好,確實將安全提升到了一個新的水準。但需要注意的關鍵是,機器學習並不是神話。我們可以應用機器學習或人工智慧聚焦在資料集本身,並期望獲得好的結果。而且須從一個非常聚焦的焦點問題開始試圖解決。機器學習對於焦點定義清楚的問題,可以獲致一定成果。一般廣泛性的行為分析,機器學習在解決通用性問題上可能沒辦法一體適用。
靜態規則無法彈性調整適應內部威脅
另一個問題是,在很多時候內部威脅通常是意料之外的。我們無法在一個政策中定義所有的潛在規則、反應動作;這些需要利用已知的、發生過的事件才能對應。規則中的反應條件,也是根據定義好的已知行為描述為依據。當遇上定義清單之外的事件行為,靜態規則可能就沒辦法精確應付了。