本文來自安全牛。
內(nèi)部威脅早已不是什么新鮮概念,很多重大網(wǎng)絡(luò)安全事件都是由內(nèi)部因素所引發(fā)。但直到目前,企業(yè)對內(nèi)部威脅問題仍然沒有足夠的重視,并且缺乏有效的應(yīng)對和防護(hù)措施。事實上,大多數(shù)安全團(tuán)隊面對內(nèi)部威脅時仍然是事后補救。本文總結(jié)了近年來發(fā)生的9起全球知名企業(yè)內(nèi)部威脅安全事件。通過分析研究這些真實案例,并從中汲取經(jīng)驗教訓(xùn),有助于組織進(jìn)一步提升自己對內(nèi)部威脅風(fēng)險的主動防御能力。
類型一:網(wǎng)絡(luò)釣魚
攻擊者很容易偽裝成您信任的人。根據(jù)《2022年Verizon數(shù)據(jù)泄露調(diào)查報告》顯示,網(wǎng)絡(luò)釣魚是社會工程相關(guān)事件的罪魁禍?zhǔn)?,占比超過60%。此外,網(wǎng)絡(luò)釣魚還是惡意攻擊者實現(xiàn)入侵的三大媒介之一,另外兩個是程序下載和勒索軟件。
代表性事件:Twitter
2020年7月中旬,Twitter遭受了大規(guī)模魚叉式釣魚攻擊。網(wǎng)絡(luò)犯罪分子破壞了社交網(wǎng)絡(luò)的管理面板,控制了多個知名Twitter用戶的賬戶(包括私人和公司賬戶),并代表他們分發(fā)了假比特幣贈品。
據(jù)悉,黑客冒充公司的IT部門專家,聯(lián)系了Twitter的幾名遠(yuǎn)程員工,要求他們提供工作帳戶憑據(jù)。這些憑據(jù)幫助攻擊者訪問了社交網(wǎng)絡(luò)的管理員工具,重置了數(shù)十名公眾人物的Twitter帳戶,并發(fā)布詐騙信息。
防護(hù)建議
制定具有明確指示的網(wǎng)絡(luò)安全政策很重要,但這還不夠。組織還應(yīng)定期進(jìn)行培訓(xùn),以確保其員工充分了解該政策的關(guān)鍵規(guī)則,并提高其整體網(wǎng)絡(luò)安全意識。如果每個員工都知道誰可以重置密碼、如何重置密碼以及在何種情況下需要重置密碼,他們就不太可能落入攻擊者的陷阱。
特權(quán)帳戶需要額外的保護(hù),因為其所有者通??梢栽L問最關(guān)鍵的系統(tǒng)和數(shù)據(jù)。如果黑客能夠獲取這些帳戶,將可能對組織的數(shù)據(jù)安全和聲譽造成災(zāi)難性后果。為確保及時檢測和預(yù)防特權(quán)帳戶下的惡意活動,組織應(yīng)該部署支持連續(xù)用戶監(jiān)控、多因素身份驗證(MFA)以及用戶實體行為分析(UEBA)的安全解決方案。
類型二:特權(quán)濫用
有時,部分內(nèi)部員工也會濫用授予他們的特權(quán)。組織中存在許多具有特權(quán)的用戶,如管理員、技術(shù)專家和管理者,他們可以完全訪問網(wǎng)絡(luò)中的多個系統(tǒng),甚至可以在不引起任何人注意的情況下創(chuàng)建新的特權(quán)帳戶。
不幸的是,企業(yè)很難檢測到擁有特權(quán)的用戶是否濫用了他們的權(quán)限。這類罪犯往往可以巧妙地隱藏自己的行為,甚至可能誤導(dǎo)組織的內(nèi)部調(diào)查,就像下述Ubiquiti Networks的情況一樣。
代表性事件1:Ubiquiti Networks
2020年12月,Ubiquiti Networks的一名員工濫用其管理權(quán)限竊取機(jī)密數(shù)據(jù),并將其用于獲取個人利益。攻擊者通過VPN服務(wù)訪問公司的AWS和GitHub服務(wù),并授予他自己高級開發(fā)人員的證書。這名員工冒充匿名黑客,告知公司“竊取了他們的源代碼和產(chǎn)品信息”,并要求公司支付近200萬美元的贖金,以阻止進(jìn)一步的數(shù)據(jù)泄露。
可笑的是,該員工還參與了后續(xù)的事件響應(yīng)工作。為了混淆公司的調(diào)查方向,他謊稱外部攻擊者侵入了公司的AWS資源。
代表性事件2:國際紅十字國際委員會(ICRC)
2022年1月,國際紅十字委員會遭受嚴(yán)重網(wǎng)絡(luò)攻擊和大規(guī)模數(shù)據(jù)泄露。紅十字委員會網(wǎng)絡(luò)戰(zhàn)顧問盧卡斯·奧列尼克(Lukasz Olejnik)表示,這可能是人道主義組織有史以來發(fā)生的最大規(guī)模敏感信息泄露事件。此次事件導(dǎo)致515000多名因地緣沖突、移民和其他災(zāi)難而與家人分離的弱勢人群隱私數(shù)據(jù)泄露。
起初,人們認(rèn)為這一事件是由于對該組織的一個分包商的攻擊造成的。然而,后續(xù)調(diào)查表明,此次攻擊的目標(biāo)正是紅十字委員會的服務(wù)器。惡意行為者通過一個漏洞訪問了紅十字委員會的系統(tǒng),獲取了特權(quán)賬戶,并偽裝成管理員獲取敏感數(shù)據(jù)。
防護(hù)建議
各組織有多種方式可以防止特權(quán)濫用,比如可以通過啟用手動批準(zhǔn)模式來保護(hù)組織最重要的特權(quán)帳戶。許多組織還擁有多人使用的特權(quán)帳戶,例如管理員或服務(wù)管理帳戶。在這種情況下,可以使用輔助身份驗證來區(qū)分此類帳戶下單個用戶的操作。
在AWS上啟用用戶活動監(jiān)控可以幫助企業(yè)迅速識別和響應(yīng)可疑事件,降低關(guān)鍵數(shù)據(jù)從云環(huán)境中被盜的風(fēng)險。此外,詳細(xì)的用戶活動記錄和審計可以簡化事故調(diào)查過程,并防止肇事者誤導(dǎo)調(diào)查人員。
類型三:內(nèi)部數(shù)據(jù)竊取
內(nèi)部人員往往是組織默認(rèn)可信的人。通過合法訪問組織的關(guān)鍵資產(chǎn),內(nèi)部人員可以在無人監(jiān)管的情況下輕松竊取敏感數(shù)據(jù)。
代表性事件1:電子商務(wù)平臺Shopify
2020年,知名電子商務(wù)平臺Shopify成為內(nèi)部攻擊的受害者。Shopify的兩名員工被攻擊者收買,竊取了近200名在線商家的交易記錄。他們向網(wǎng)絡(luò)犯罪分子發(fā)送了敏感數(shù)據(jù)截圖和谷歌硬盤的數(shù)據(jù)鏈接。
根據(jù)該公司的聲明,受損商家的客戶數(shù)據(jù)可能已被泄露,包括基本聯(lián)系信息和訂單詳細(xì)信息。但Shopify同時聲稱,沒有敏感的個人或財務(wù)信息受到影響,因為攻擊者無法訪問這些信息。
代表性事件2:Cash App
2021年12月,Block股份有限公司披露其子公司Cash App發(fā)生網(wǎng)絡(luò)安全事件。一名前員工下載了內(nèi)部報告,其中包含了800多萬名Cash App投資客戶的信息。該公司沒有說明這名前員工為什么可以長時間訪問敏感的內(nèi)部數(shù)據(jù),只是聲稱被盜報告中沒有包括任何個人身份信息,如用戶名、密碼或社會安全號碼。
防護(hù)建議
確保組織敏感數(shù)據(jù)安全的第一步就是限制用戶對數(shù)據(jù)的訪問。企業(yè)應(yīng)該考慮實施“最低權(quán)限”原則,以完善訪問管理策略。用戶活動監(jiān)控和審計工具也可以幫助網(wǎng)絡(luò)安全團(tuán)隊發(fā)現(xiàn)員工的可疑行為,例如訪問與職位無關(guān)的數(shù)據(jù)或服務(wù)、訪問公共云存儲服務(wù)或向私人賬戶發(fā)送帶有附件的電子郵件。
一旦員工的合同終止,應(yīng)該確保有適當(dāng)?shù)碾x職流程。它應(yīng)該包括停用帳戶、VPN訪問和遠(yuǎn)程桌面訪問、更改員工可能知道的訪問代碼和密碼,以及從電子郵件組和通訊組列表中刪除員工的帳戶。
類型四:知識產(chǎn)權(quán)盜竊
商業(yè)秘密是許多網(wǎng)絡(luò)犯罪分子的主要目標(biāo),而知識產(chǎn)權(quán)正是一個組織最有價值的數(shù)據(jù)類型之一。絕妙的想法、創(chuàng)新的技術(shù)和復(fù)雜的方案為企業(yè)帶來了競爭優(yōu)勢,因此成為惡意行為者的主要攻擊目標(biāo)也就不足為奇了。
代表性事件1:英特爾
近期,英特爾起訴其前雇員竊取機(jī)密文件和商業(yè)機(jī)密。這起事件發(fā)生在2020年1月。根據(jù)訴訟內(nèi)容,瓦倫·古普塔(Varun Gupta)博士在英特爾工作了10年,在其任職的最后幾天里竊取了超過3900份機(jī)密文件,并將其放在移動硬盤上。在被英特爾解雇后,Gupta又在微軟獲得了一個管理職位。不久之后,Gupta參加了微軟和英特爾關(guān)于Xeon處理器供應(yīng)的談判。在談判中,Gupta提到了英特爾的機(jī)密信息和商業(yè)秘密,為他的新雇主贏得不正當(dāng)?shù)纳虡I(yè)優(yōu)勢。
代表性事件2:Proofpoint
2021年1月,Proofpoint公司合作伙伴的前銷售總監(jiān)竊取了該公司的商業(yè)秘密,并將其與競爭對手分享。這些文件包含了與Abnormal Security公司(該員工離職后就任的公司)競爭的策略和戰(zhàn)術(shù)。Proofpoint的法務(wù)代表聲稱,盡管在入職時就簽署了競業(yè)禁止協(xié)議,但該惡意員工還是拿走了帶有隱私文件的USB驅(qū)動器。
代表性事件3:輝瑞制藥
2021年10月,一名內(nèi)部員工偷走了輝瑞公司12000份機(jī)密文件,其中包括有關(guān)新冠肺炎疫苗以及實驗性單克隆癌治療的商業(yè)數(shù)據(jù)。
輝瑞公司起訴了該員工將包含商業(yè)機(jī)密的文件上傳到私人谷歌硬盤賬戶和個人設(shè)備。據(jù)悉,該惡意員工可能是想把竊取的信息傳遞給輝瑞的競爭對手,因為后者此前曾向這位前輝瑞員工提供過工作機(jī)會。
防護(hù)建議
首先,組織需要全面了解哪些信息是最有價值的知識產(chǎn)權(quán),它位于何處,以及誰真正需要訪問它。當(dāng)涉及到技術(shù)專家時,組織可能不得不讓他們獲得相關(guān)資源。但是,組織應(yīng)該只授予他們完成工作所需的相關(guān)訪問權(quán)限。通過使用高級訪問管理解決方案,企業(yè)可以防止未經(jīng)授權(quán)的人員訪問知識產(chǎn)權(quán)。
組織還可以使用強(qiáng)大的用戶活動監(jiān)控和用戶實體行為分析(UEBA)工具來加強(qiáng)對知識產(chǎn)權(quán)的保護(hù),這樣可以幫助組織檢測網(wǎng)絡(luò)中的可疑活動,并為進(jìn)一步調(diào)查收集詳細(xì)證據(jù)。企業(yè)還應(yīng)該部署防復(fù)制或USB管理解決方案,使員工無法復(fù)制敏感數(shù)據(jù)或使用未經(jīng)批準(zhǔn)的USB設(shè)備。
類型五:供應(yīng)鏈攻擊
分包商通常擁有與內(nèi)部用戶同等的系統(tǒng)訪問權(quán)限。與分包商和第三方供應(yīng)商合作是當(dāng)今組織的常態(tài)。但是,過度允許第三方伙伴訪問企業(yè)網(wǎng)絡(luò)很可能會產(chǎn)生網(wǎng)絡(luò)安全風(fēng)險。
代表性事件:大眾汽車
2021年5月,大眾汽車披露,惡意行為者通過攻擊一家大眾汽車的數(shù)字銷售和營銷合作供應(yīng)商,訪問了一個不安全的敏感數(shù)據(jù)文件,事件影響了300多萬奧迪現(xiàn)有和潛在客戶。
雖然大多數(shù)被泄露的數(shù)據(jù)僅包含客戶的聯(lián)系方式和購買或查詢的車輛信息,但約90000名客戶的敏感數(shù)據(jù)也被竊取。為響應(yīng)此次事件,大眾最終承諾為受影響的用戶提供免費信貸保護(hù)服務(wù)。
防護(hù)建議
在選擇第三方供應(yīng)商時,企業(yè)應(yīng)關(guān)注他們的網(wǎng)絡(luò)安全制度及合規(guī)性。如果潛在的合作商缺乏網(wǎng)絡(luò)安全實踐經(jīng)驗,請考慮在服務(wù)級別協(xié)議中添加相應(yīng)的要求,并將分包商對關(guān)鍵數(shù)據(jù)和系統(tǒng)的訪問限制在其工作所需的范圍內(nèi)。
為了加強(qiáng)對最關(guān)鍵資產(chǎn)的保護(hù),企業(yè)可以應(yīng)用多種網(wǎng)絡(luò)安全措施,如MFA、手動登錄批準(zhǔn)和實時特權(quán)訪問管理。此外,還可以考慮部署監(jiān)控解決方案,以查看誰對企業(yè)的關(guān)鍵數(shù)據(jù)做了什么。保存第三方用戶活動記錄可實現(xiàn)快速徹底的網(wǎng)絡(luò)安全審計和安全事件調(diào)查。