安内方能攘外｜《漏洞》第5讲：来自内部的威胁为什么危害那么大？

编者按

我们为您重磅推出的连载内容取自2018年下半年新出版的《漏洞》，这本七大院士联袂推荐的著作是齐向东根据他过去十几年的从业经历，对网络安全产业的总结和思考。他用通俗的语言和大家熟知的案例，把网络安全的基本构成、关键要素和未来趋势进行了梳理，并提出了应对当前网络安全威胁的新对策。上期通过列举政治经济领域实际发生的案例深入剖析了缺陷被利用所产生的巨大危害和影响，本期将解读总被忽略的内部威胁的巨大危害。

第一章

善与恶：漏洞是造成危害，还是推动进步

第二节 一切漏洞皆被利用

（二）内部威胁是最大的危害

古希腊典故“特洛伊木马”中，希腊联军围攻了一座名叫特洛伊的坚固之城，久攻不下后假装撤退，留下一具巨大的木马，特洛伊守军把木马作为战利品运进城中，木马腹中躲藏的希腊士兵深夜打开城门，特洛伊一夜间城陷国崩。从此，人们记住了这只有名的木马——特洛伊木马，更深深懂得了一个道理：最坚固的堡垒往往是从内部攻破的。

人类在历史走廊行进中，无数次重复地演绎着类似的故事。尽管数字时代的技术创新层出不穷，人仍然是每个组织网络安全中最强大和最薄弱的环节，因为人是最重要和最脆弱的操作资源。一个组织可以花大量的资金购买技术解决方案来保护其网络边界，但仍然无法阻止来自内部的攻击。越来越多的攻击者利用社会工程学来瞄准最易受攻击的资产：人，然后从内而外攻击系统并达到自己的目的。

漏洞最大的来源，是人。我从FBI和犯罪现场调查（CSI）等机构联合做的一项安全调查报告上看到，超过85%的网络安全威胁来自于内部，危害程度远远超过黑客攻击和病毒造成的损失。这些威胁绝大部分是内部各种非法和违规的操作行为所造成的。

在当今信息时代，组织机构面临的最大安全威胁,依然是源自内部人对于网络资源设备的攻击和对于机密数据文档的窃取，我们称其为内部威胁。内部威胁危害巨大，现有安全机制作用微乎其微，内部威胁现已成为攻破网络安全防线的最大敌人。

最坚固的堡垒总是从内部攻破的

2013年震惊全球的“棱镜门”事件是内部威胁的一个典型案例。爱德华·斯诺登（Edward Snowden）是美国从事涉密安全工作的一名承包商雇员，他利用职务便利获得了对关键性系统的访问权，从美国国家安全局拷贝了数十万份机密文件，并将这些资料提供给媒体发表，这些文件揭露了美国有史以来最大规模的一个秘密监控项目。斯诺登因此被媒体评价为“人类史上影响力最大的泄密者”，他凭一人之力，撬动了全球各国政府以及公众对信息网络安全的关注。

“内部威胁”是内部管控风险的表现。过去，我们把泄露公司机密信息的人称为“内鬼”或者“细作”，在信息系统领域则统称为“内部人”。简单来说，内部威胁就是由内部人威胁企业或组织安全的行为。

2012年，美国计算机安全应急响应组（CERT）基于其内部威胁的案例数据，提出了一个内部威胁的完整定义，明确了内部威胁中的主体与客体，在实际中具有很好的适用性，可以作为参考：

“内部威胁攻击者一般是企业或组织的员工（在职或离职）、承包商以及商业伙伴等，其应当具有组织的系统、网络以及数据的访问权；内部威胁就是内部人利用合法获得的访问权对组织信息系统中信息的机密性、完整性以及可用性造成负面影响的行为。”

根据上述定义，内部威胁包含了与企业或组织具有某种社会关系的所有个体，在职员工、离职员工、承包商、供应商、商业伙伴等都有可能构成内部威胁。

美国CSI/FBI在2008年公布的《计算机犯罪和安全调查》中对信息安全事件当中的事件来源做了统计，发现内部安全事件所造成的损失明显要高于外部事件。有时，一个内部威胁就会危及数十年的工作，可能会造成数百万或数十亿美元的损失，并可能影响国家稳定和社会的安全。

内部威胁的五件事

内部威胁和业务风险问题随处可见。在企事业单位内部，从来都不是风平浪静。不同角色的员工和用户出于不同的动机，以合法的身份，做出了不当的行为，对企事业单位带来了极大的危害。从内部威胁的类型来说，可分为数据泄露、供应链威胁、外包商威胁、间谍活动、蓄意破坏等。

数据泄露

2018年6月，特斯拉（Tesla）起诉了一名前员工，称其盗取了该公司的商业机密并向第三方泄露了大量公司内部数据。特斯拉前技术人员马丁·特里普（Martin Tripp）承认，他曾开发恶意软件进入特斯拉内部生产操作系统，偷取大量数据并交给第三方。这些被泄露的数据包括“数十份有关特斯拉的生产制造系统的机密照片和视频”。

美国内华达州联邦法庭公布的诉讼文件显示，特里普开发的恶意软件安装在了三台不同员工的电脑上，所以当他离开特斯拉后，他还能继续从该公司传输数据到第三方。诉讼文件写道：“在特里普加入特斯拉几个月后，特里普的领导认为他的工作绩效不佳，并时常与同事发生冲突。由于这些原因，在2018年5月17日前后，特里普被安排到了新岗位。特里普对此表示不满。”

诉讼文件还显示，特里普曾向媒体发表不实言论，比如，他称有缺陷的电池元组被用在了部分特斯拉Model 3车型中，但这个说法是不属实的。不仅如此，他还夸大了特斯拉在生产制造过程中生产的有缺陷物料的数量。

特斯拉首席执行官埃隆·马斯克（Elon Musk）在一封发给员工的邮件中提到了此事。马斯克表示，特里普的行为曾对公司的运营造成“持续性的、蓄意的破坏”，虽然还不清楚他的全部罪行，但目前确认的行为已经造成了“极坏的影响”。

世界通信技术行业巨头威瑞森公司(Verizon)最新发布的《2018年数据泄露调查报告》显示，超过四分之一的数据泄露是由于内部人员造成的，内部威胁逐渐成为数据泄露的主要原因之一。

供应链威胁

2018年7月，美国网络安全公司UpGuard的研究员发现，加拿大汽车供应商Level One的数据库后门大开，可以轻松访问到其合作伙伴的机密文件。Level One在全球拥有100多家合作伙伴，从通用、菲亚特克莱斯勒、福特、丰田、大众到特斯拉，合作伙伴的机密数据如工厂原理、制造细节、保密协议甚至员工信息等统统被曝光，包含近47000个文件。

UpGuard研究员经过反复的检查和确认，通过Level One的文件传输协议rsync，可以无障碍访问上述所有隐私数据。rsync是一种广泛使用的应用程序，经常用于大型数据传输和备份，但如果不采取适当的步骤限制rsync服务，数据可能就有泄露的风险。

Level One的数据泄漏错在没有限制使用者的IP地址，让非指定客户端也能连接，并且也没有设置用户访问权限，而且在漏洞发现时，rsync服务器上设置的权限表明，服务器竟然是可公开写入的。这意味着一些人可能已经更改了里面的文档，比如可能直接替换存款指令中的银行帐号或嵌入恶意软件。

这是一次严重的安全事故，并且给100多家的合作伙伴带来的安全风险后患无穷，甚至没人知道这个安全风险何时开始，也无法知道是否还有别人发现，更不知道数据是否已经外泄。

近年来，我们观察到了大量基于软硬件供应链的攻击案例，比如，针对Xshell后门污染的攻击机理是攻击者入侵软件厂商的网络修改构建环境，植入特洛伊木马；针对苹果公司的集成开发工具Xcode的攻击，则是通过编译环境间接攻击了产出的软件产品。这些攻击案例最终影响了数十万甚至上亿的软件产品用户，造成了盗取用户隐私、数字资产、植入木马等危害。

外包商威胁

继斯诺登泄密风波之后，美国国家安全局再次遭遇了由外包商威胁导致的信息泄露事件。2016年8月，美国国家安全局承包商哈罗德·马丁（Harold MartinIII）因窃取NSA数据被捕。调查人员在马丁家中和车内搜出大量美国政府高度机密文件的复印文本和数字文档，其中数字文档至少有几TB，还包括6份“敏感情报”。

据美国媒体报道，马丁是美国国家安全局承包商博思艾伦咨询公司（Booz Allen Hamilton）的雇员，博思艾伦协助打造和运作国安局大部分敏感的网络行动，“棱镜门”泄密者斯诺登也曾是该公司的员工。

刑事起诉书写道，马丁一开始否认他有违法行为，但面对事实证据后，他承认自己将工作中接触的重要文件和数字文档带走，并表示他“所做的一切都没有经过授权，是错误和不应该发生的”。除这些机密文件外，调查人员还发现马丁窃取了总价值超过1000美元的政府财物。

我国也发生了不少由外包商导致的数据泄露事件。比如，我们前几年曝光的“黄金眼”事件就是一件非常具有代表性的案例。简单来说，国内的一个软件外包商在给金融机构提供软件时，利用预埋的后门操控金融交易平台来获利。等到发现时，这个软件已经装在二十多家金融机构的主交易平台上，潜伏了几年的时间，产生了非常大的危害。我在后面的章节中将详细讲述这个事件。

由于外包业务的不断发展，外包服务商逐渐成为企业另一种形式的“内部人”，也成为了新的安全威胁。尤其是在IT领域，负责开发和维护企业应用系统的外包合作人员通常都掌握合法账户，可以顺利通过认证，进入到组织内部的核心网络区域。一旦外包人员成为“内鬼”，数据泄露等安全问题就很容易发生。

间谍活动

2018年6月，郑州市国家安全局对涉嫌泄漏我国尖端武器机密给境外间谍情报机关的张某实施抓捕。张某在出国期间被境外间谍组织策反叛变,长期潜伏在我国军工重要科研领域,把我国尖端武器的核心机密毫无保留地透露给了间谍情报机关。

调查发现，张某除了掌握我国重要武器装备的研究外，还从事着某重点领域的研究，这种技术事关我国尖端武器的研发和装备，也是目前全世界最尖端、最前沿的科研项目之一，更是世界各军事大国争夺的制高点，同时更关乎着我国的重大安全。

早在2011年，张某第一次踏上国外的一刻就受到了西方谍报机构的严密监视。境外的间谍通过接近张某，主动赠送一些小恩小惠，让张某感动不已。在送给张某的电子产品安装间谍软件，利用付费咨询的幌子，从张某那里套取他所掌握的核心机密，再通过金钱攻势，让张某一步步地屈服于他们，成为长期潜伏于我国重要军工科研机构的间谍。

在现实生活中，还有很多类似的策反案例。别有用心的境外间谍情报机关瞄准的，不仅仅是我国国防军工单位的核心技术人员，任何外围人员乃至每一个公民都有可能在不知情的情况下被利用。

蓄意破坏

2018年3月，北京某互联网科技公司运维工程师仲某，以涉嫌非法获取计算机信息系统数据罪被检察机关依法逮捕。他使用管理员权限插入代码，修改公司服务器内应用程序，盗取了该公司100枚比特币，价值数百万元。

据媒体报道，仲某在进行日常维护时，发现服务器内数据异常，随后发现有人试图通过黑客手段入侵公司服务器，并尝试盗取比特币。排除异常干扰后，他禁不住利益的诱惑，利用管理员权限登录服务器并插入一段代码，将公司的100枚比特币转移到自己在国外网站注册的比特币钱包中。

为了消除痕迹、躲避追踪，仲某还尝试使用该网站的私密钱包功能，将10枚比特币投入私密钱包内，但该功能后被证实为钓鱼网站，存入的10枚比特币已无法找回。案发后，仲某将剩余的90枚比特币退回了公司。

员工禁不住利益的诱惑，利用漏洞蓄意破坏重要数据，是内部威胁的重要来源。试想一下，如果写代码的人本身出了问题，只要他的技术水平足够高，完全可以在代码中写入只有他自己知道的漏洞。随后，他可以卖掉这些漏洞，或者隐秘地利用它们。

牢牢筑就管好“身边人”的防线

在大多数单位，有可能接触数据、使用数据的内部人员大致可分为三类：无意导致破坏的内部人员、伪装成内部人员的外部人员和蓄意破坏的内部人员。

无意导致破坏的内部人员可能为了方便，或者因为安全意识淡薄和安全知识不足，对公司数据的权属意识差，从而导致了内部威胁的发生。比如，他们可能设置弱密码，为工作便利共享口令给同事；或者把核心资料存在云盘，用U盘拷贝时没有将资料及时销毁等，导致数据的无意识泄露或流失；或者可能被钓鱼邮件、恶意软件利用，带来外部安全风险。

伪装成内部人员的外部人员可能是盗用了员工虚拟身份，冒用他们的账号进行操作。他们会访问以前从未处理的敏感数据，发送垃圾邮件和传播恶意软件，窃取、篡改、破坏数据，甚至可能冒充老板向财务、法务等部门索要机密数据。

蓄意破坏的内部人员可能是出于对组织管理不满意，或者因为绩效低被解雇，产生不满情绪，从而有意识、有计划地破坏、盗取内部数据，比如，在离职前导出大量数据，把数据提供给公司的竞争对手，或者利用自己的权限获取数据后倒卖获利。有的员工甚至会主动利用内部管理漏洞或技术漏洞，有计划、有步骤地完成踩点、试探、入侵、窃取等一系列过程。

企业管理层应当充分认识内部威胁的危害，高度重视，采取切实有效的措施应对内部威胁挑战，比如，科学分析员工期望、建立有效的激励机制、引导员工情绪、消除员工的破坏动机等。

除此之外，我们还可以采取技术手段应对内部破坏威胁，及时发现内部人员的异常行为，并及时检测和阻断来自内部的攻击。关于这一部分，将在第七章详细展开。

下期预告

本期解读了总被忽略的内部威胁所产生的巨大危害，下期将连载《漏洞》第一章的第三节，探讨如何积极面对这些漏洞所产生的威胁。敬请关注。

本期互动内容

您印象最深的内部威胁产生危害的事件是什么？

欢迎在文章下留言，让我们一起探讨~~（互动彩蛋——留言得赞数最多者将获得《漏洞》一书，名额3）

附：《漏洞》目录（共十章，先透露前五章及细节）

前言

第一章 善与恶 漏洞是造成危害，还是推动进步

第一节 漏洞，源自人性的缺陷

天生缺陷，难免漏洞

漏洞不等同于缺陷

第二节 一切漏洞皆被利用

缺陷是怎么被利用的

内部威胁是最大的危害

第三节 左右互搏的自我革新

利用与反制，永无止境

博弈催生创新，矛盾推动进步

第二章 黑与白 是“黑产”魔高一尺，还是“白产”道高一丈

第一节 网络黑色产业

光明背后的阴影

传统犯罪网络化

网络犯罪花样化

“黑产”的四大趋势

第二节 网络白色产业

漏洞挖掘是“白产”发展的核心技术

漏洞防护是“白产”快反的高级手段

漏洞平台是“白产”打黑的基础设施

攻防大赛是“白产”聚智的重要平台

安全众测和实战攻防演习是“白产”推广的重要途径

“白产”的三大趋势

第三节 打造凝聚“白产”力量的平台

办法总比困难多，向安全从业者致敬

永不落幕的盛会，产业趋势的风向标

第三章 权杖之手 黑客是以武犯禁，还是侠之大者

第一节 黑客演化史

20世纪60—70年代：黑客诞生

20世纪80—90年代：黑客的分水岭

21世纪前十年：“新”黑客崭露头角

第二节 最牛的黑客传奇

世界上一“黑”成名的黑客

我身边的黑客

著名的黑客组织

第三节 黑客的宿命与使命

从幕后到台前

全民皆黑客

黑客精神与黑客使命

第四章 智能时代 新技术是漏洞帮凶，还是克星

第一节 “智能生活”的便利与威胁

当威胁就在身边

当科幻成为现实

第二节 智能时代的工业物联网安全

什么是工业物联网

工业物联网遭攻击的典型案例

工业物联网面临的安全挑战

工业物联网安全的四大趋势

第三节 云计算的安全困扰

云的传统安全威胁

云计算的新安全威胁

云建设需要形成三方制衡机制

第四节 人工智能技术在安全中的应用

什么是人工智能

人工智能在安全防护中的应用

智能时代解决安全问题的方法论

第五章 网络战场 漏洞是癣疥之疾，还是堪比核武器

第一节 网络战：愈发重要的战争类型

美国网络司令部升格获权“先发制人”

什么是网络战

曾经发生过的网络战

网络军备竞赛向全球蔓延

网络战的六大特点

第二节 APT攻击——网络战争最常用的攻击方法

针对性、持续性是APT的显著特点

我们所经历的APT

第三节 漏洞的储备与利用是军事现代化的必备能力

漏洞已经具备武器属性：网络武器仅次于核武器

漏洞的储备利用之战已经打响

实战与演练：网络安全靶场

军民融合：凝聚网络空间多元力量

再多透露一点点：

第六章 新战力 数据驱动安全

第七章 新战具 第三代网络安全技术

第八章 新战术 安全从0开始

第九章 新战法 人是安全的尺度

第十章 新方略 没有网络安全就没有国家安全

精彩持续，敬请关注！

看得不过瘾的小伙伴点击阅读原文直接下单也可以哦~~  

阅读原文