内源威胁解读

内源威胁是个什么鬼?

内源威胁是个什么鬼?据普华永道最新调查,58%的安全事件来自于企业自身。网络安全的一些大事件中都有它的存在,我们且来看看。



  • 斯诺登“棱镜门”事件


先从耳熟能详的斯诺登“棱镜门”说起。棱镜计划是一项由美国国家安全局自2007年起开始实施的绝密电子监听计划。该计划的正式名号为“US-984XN”。

据美国中情局前职员爱德华·斯诺登爆料:“棱镜”窃听计划,始于2007年的小布什时期,美国情报机构一直在九家美国互联网公司中进行数据挖掘工作,从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类:信息电邮,即时消息,视频,照片,存储数据,语音聊天,文件传输,视频会议,登录时间,社交网络资料的细节,其中包括两个秘密监视项目,一是监视、监听民众电话的通话记录,二是监视民众的网络活动。

《纽约时报》报道,据调查“棱镜门”事件的美国情报官员透露,斯诺登获取了至少20万份的最高机密文件,这是以什么样的方式才能获得如此多的情报呢?

他所使用的技术是“网络爬虫”或爬行器类软件,通过程序设定自动抓取大量数据,而不是一个人坐在电脑前一一查找、复制、下载大量文件。 “网络爬虫”是一个自动提取网页的程序,它从网上下载网页内容为搜索引擎快速提供结果。它能通过网页的链接地址来寻找网页,并通过页面链接地址寻找下一个网页,运用递归的方法,一直运行下去,直到把网站所有的网页都抓取完。其中最著名的网络爬虫是Googlebot,它访问数十亿网页并下载内容,为Google搜索引擎提供更快的搜索结果。

即使斯诺登使用了“网络爬虫”的软件,也会在国家安全局总部引爆红色标志,然而斯诺登所在的夏威夷分局尚未升级安全措施,所以斯诺登的行为未被检测到。但斯诺登的行为还是引起了质疑,有次调查人员调查了他,他以正在进行合法的探测蒙混了过去,因为当时他是一名系统管理员,负责网络维护,需要备份系统信息到本地服务器中。

国家安全局官员坚称,如果斯诺登当时是在位于马里兰州的国家安全局总部工作,他恐怕早就被锁定和抓获了,因为总部监控体系可以自动监测到有人获取和下载大量数据的行为。然而,事实是斯诺登仅用低端手段就获取机密文件,且在他外逃后美国当局才知道泄了密,这着实给美国当局“当头一棒”。

既然网络威胁不可避免,采用物理隔离的内部网络总是安全的吧。非也!


  • 伊朗核设施“震网”事件


根据斯诺登公布的材料,美国掌握了100多种方法可攻破物理隔离的内部网络系统。

如在“震网”事件中,伊朗的核设施虽然进行了物理隔离,但仍被高级漏洞,U盘摆渡等手段,入侵了内网,最终破坏了铀浓缩机。

震网事件利用了微软操作系统中至少4个漏洞,其中有3个全新的 零日漏洞 “震网”无须通过互联网便可传播 ,只要目标计算机使用微软系统,“震网”便会伪装RealTek与JMicron两大公司的数字签名,顺利绕过安全检测, 主要通过U盘和局域网进行传播, 自动找寻及攻击工业控制系统软件,以控制设施冷却系统或涡轮机运作,甚至让设备失控自毁,而工作人员却毫不知情。 整个攻击过程如同科幻电影:由于被病毒感染,监控录像被篡改。监控人员看到的是正常画面,而实际上离心机在失控情况下不断加速而最终损毁。

由此,“震网”成为第一个专门攻击物理世界基础设施的蠕虫病毒, 是首个超级网络武器。

微软调查结果显示,“震网”正在伊朗等中亚国家肆虐,发作频次越来越高,并有逐步向亚洲东部扩散的迹象。“震网”包含空前复杂的恶意代码,是一种典型的计算机病毒,能自我复制,并将副本通过网络传输,任何一台个人电脑只要和染毒电脑相连,自动传播给其他与之相连的电脑,最后造成大量网络流量的 连锁 效应,导致整个网络系统瘫痪。



  • 京东前员工监守自盗50亿条信息


3月10日,一系列“50亿信息泄露案嫌疑犯系京东内部员工”的报道,让京东处于舆论的风口浪尖。警方通报的犯罪嫌疑人郑某鹏的身份被知情网友扒出,系京东安全的前网络工程师郑海鹏,其利用职务之便,越权非法获取大量京东用户信息,然后将之售卖给地下黑产。

然而当时就有知情人士在报道中称,犯罪嫌疑人郑某鹏在加入京东之前曾在国内多家知名互联网公司工作,其泄露的50亿条公民信息中,可能包含多家互联网公司的用户信息。

很快,京东方面做出反应,表示2016年6月底入职京东的郑海鹏是在腾讯与京东联合打击信息安全地下黑色产业链的日常行动中被发现的,并将起诉进行不实报道的媒体。

值得注意的是,在该篇报道中明确表示,知情人士透露郑某鹏在加入京东之前曾就职于亚马逊中国、百度和新浪微博等单位从事网络安全相关工作,其长期与盗卖个人信息的犯罪团队合作,将从所供职公司盗取的个人信息数据进行交换,并通过各种方式在互联网上贩卖,系团伙骨干成员之一。该团伙共计泄露了50亿条公民信息。

当内鬼成为一种职业,企事业单位怎么办?



  • “掩耳盗铃”的内网安全


除了关键基础设施核心技术缺失,在受访专家看来,中国网络安全更容易被忽视的隐患,来自被过度信赖的内部网络物理隔离系统。这个隐患,在军队、党政机关、关键领域重点企业等领域更为严重。

内部网络系统的物理隔离一直被认为是保障网络和信息安全的重要手段,也是网络系统最底层的保障措施。在传统观念中,只要不和外界网络发生接触,内网隔离就能从根本上杜绝网络威胁。

但《财经国家周刊》记者发现,事实并非如此,中国不少重点行业和党政部门的网络信息安全防御被所谓的内网隔离扎成了虚假安全的“竹篱笆”。 在安全意识淡薄之下,党政部门和重点行业的网络信息安全过度依赖物理隔离手段。

某公司曾对中国教育系统、航空公司、司法机构等100多家重点行业关键企业和机关部门的内部网络进行测试,结果网络全被攻破,最长的耗时三天,最短的30分钟。

沈昌祥牵头进行一项课题研究发现,中国半数以上重要信息系统难以抵御一般性网络攻击,利用一般性攻击工具即可获取大多数中央部委门户网站控制权。

经纬信安董事长李春强指出:“目前 单纯想从外部渗透进入目标系统的攻击门槛不断提高;而 内部网络里的联网设备漏洞众多,IT厂家种类繁杂, 内源威胁逐渐增多,但却被企事业单位严重忽视;攘外也要安内 ,内源威胁防御刻不容缓!”



  • 内源威胁防御开创者


经纬信安在对国内外安全事件分析、参与多起安全事件应急、对多个企事业单位进行安全风险评估后,总结分析后认为, 来自于企事业单位内部的信息安全威胁不仅包括人,还包括大量来自于内部的受控机器、含有高危漏洞和后门的内部联网设备等 ,由于上述设备使用者不知情或无明确使用者,因此无法归责于人。相关安全事件不断发生,损失惨重。随着物联网(设备逐渐增多)和人工智能技术(设备逐渐代替人处理业务)的发展,以及高级攻击窃密活动的增加,内部设备所带来的风险也越来越大,甚至超过了内部人所带来的安全威胁。

“2012年美国CERT提出了一个内部人威胁(Insider Threat)的完整定义,基于丰富的内部威胁案例数据,明确了内部威胁中的主体与客体,在实际中具有很好的适用性,可以作为参考:内部威胁就是内部人(一般是企业或组织的员工(在职或离职)、承包商以及商业伙伴)利用合法获得的访问权对组织信息系统中信息的机密性、完整性以及可用性造成负面影响的行为。”

为区别于现有内部威胁(现主要指内部人威胁)概念,避免引起混淆,经纬信安提出更为广泛的 内源威胁(Inside Threat) 概念, 即内源威胁是来自于内部的设备或人等利用获得的访问权对组织信息系统中信息的机密性、完整性以及可用性造成负面影响的行为。其中,内源威胁包含内部威胁

内源威胁区别于外源威胁,攻击者来自于内部设备或用户,检测困难,危害性大。随着企业信息安全机制的建立建全,单纯想从外部渗透进入目标系统的攻击门槛不断提高;内源威胁逐渐增多,并且开始在各大安全报告中崭露头角,引起了国外研究者的高度重视。遗憾的是,国内此类事件曝光率极低,研究重视不够,因此缺乏行之有效的防范措施。

经纬信安近年来在内源威胁防御领域持续积累,“未知攻,焉知防”,经纬信安持续关注内源威胁相关安全事件、漏洞、防御方法等,并开展安全研究,挖掘出市面上网络设备、办公信息设备、安防设备等基础信息设备系列未公开漏洞,为开展内源威胁防御奠定了坚实基础。

经纬信安提出了内源威胁防御体系,研发出国内首款专注企业内源威胁的安全产品,采用自适应安全框架对内源威胁进行持续监控和分析。


讲到这里,看官们应该大致了解了内源威胁是个什么鬼了吧。欢迎关注“经纬信安”公众号持续了解相关报道,也可以通过公众号咨询我们。


联系我们

北京经纬信安科技有限公司 南京经纬信安科技有限公司
电话:010-64891691
地址:北京市海淀区悦秀路76号C216室
邮箱:vip@jingweixinan.com
电话:025-86801691
地址:南京市雨花台区板桥新城新林芳庭69-44号
邮箱:vip@jingweixinan.com