在线客服
400-106-6888
top
前言
数据科学(data science)是一门融合了多领域理论和技术,通过对数据的分析、挖掘和学习来产生价值的交叉型学科。随着全球数字化进程的不断推进,在安全领域中,数据科学同样被广泛应用——其运用各种相关的数据来帮助安全团队处理各类安全问题。近些年来,对于组织而言,内部威胁问题逐渐凸显出来,并有加剧之势。如何利用数据科学以更有效的方法应用和组织数据解决内部威胁问题,已引来越来越多人的关注。本文将对内部威胁进行深入剖析,并尝试应用数据科学的方法找出相应的解决方案。
1. 剖析内部威胁
内部威胁是一个在全球范围内日益严重的问题,波耐蒙研究所(Ponemon Institute)最近的一项研究——“2020年内部威胁成本全球报告”[1],也证明了这一点:
﹒60%的组织每年发生30多起与内部威胁事件
﹒62%的内部威胁安全事件归因于疏忽
﹒23%的内部威胁安全事件归因于恶意内部人员
﹒14%的内部威胁安全事件归因于用户凭证被盗用
﹒内部威胁安全事件两年内增加47%
﹒组织在每个内部威胁安全事件上的平均的花费为755,760美元
内部人员在日常工作中,需要访问电子邮件、云应用程序及网络等内部资源,不同角色的员工具有访问组织内部系统和数据的相应权限,有的员工需要访问内部敏感信息,如财务数据、专利信息或客户资料信息等。所以,常规检测手段已无法有效地区分员工的正常行为与其内部威胁行为。
1.1 什么是内部威胁
内部威胁是针对组织的恶意活动,来自对组织的网络、应用程序或数据库具有合法访问权限的用户。这些用户可以是现任员工、前员工或第三方,如合作伙伴、承包商或有权访问组织内物理或数字资产的临时外包人员[2]。虽然该术语最常用于描述非法或恶意行为,但它也可以指无意对业务造成损害的用户。
其实内部威胁早已出现在某些行业,如医疗健康、金融或政府机构等,随着信息化、数字化进程的不断推进。信息及相关系统安全变得越来越重要。随之而来的内部威胁问题在信息安全领域也受到了越来越多的关注。
内部威胁的几种类型[3]:
﹒ 恶意内部人员——有意窃取信息或破坏组织运营的内部员工或第三方人员。这类人群可能是在组织内部寻找方法以窃取可以出售的或帮助其职业发展的信息,或者是心怀不满的员工正在寻找伤害组织、报复或使其上司难堪的方法。
﹒ 内部人员疏忽——不遵守组织规定,未正确使用内部IT系统的员工。例如,未注销系统用户就离开自己办公计算机的员工,未更改系统默认密码或未给终端安装安全补丁的管理员等。
﹒ 内部账户失陷——常见的账户失陷的例子是员工通过网络钓鱼或点击不安全链接导致电脑自动下载安装恶意软件。恶意攻击者侵入的内部终端通常被用作对内部网络发起攻击的基地,通过这台终端可以完成扫描内部共享文件、升级访问权限以及横向移动感染组织内部其他终端或系统等操作。
1.2 内部威胁动机
通常情况下,大部分内部威胁的动机是经济利益。无论是为了钱财窃取商业机密的恶意内部人员,还是在收到欺骗性电子邮件后向诈骗者电汇的疏忽员工,又或是内部人员用户凭证被窃取并被攻击者用来窃取个人身份信息进而出售牟利都属于此类动机。除此之外,内部威胁的动机还有很多:破坏、欺诈、间谍活动、名誉损害或职业利益。内部威胁不仅限于泄露或窃取信息,内部人员采取的任何可能对组织产生负面影响的行动都属于内部威胁的范畴[4]。
表1 内部威胁的类型、动机以及相应风险[3]
类型 | 动机 | 示例 | 风险 |
恶意行为 | 牟利或泄愤 | 被解雇员工植入恶意代码 | ①盗窃公司核心知识产权 ②瘫痪公司内部系统 ③损害公司声誉 |
人员疏忽 | 无知或粗心 | 粗心员工在互联网发布企业数据 | ①盗窃公司核心知识产权 ②瘫痪公司内部系统 ③损害公司声誉 |
账号失陷 | 无视可能的风险 | 攻击者盗用内部用户凭证窃取数据 | ①访问公司敏感信息 ②剽窃公司核心知识产权 |
1.3 组织内部人员如何受到攻击
内部威胁主要是指内部人员出于各种动机对组织造成的各类危害,但还有可能是由外部攻击者实施的网络攻击造成的,比如:
网络钓鱼[5]——一种网络犯罪,犯罪分子冒充合法机构通过电子邮件或短信联系目标人,以引诱个人提供敏感数据,例如个人身份信息(PII)、银行和信用卡详细信息,以及密码信息。某些网络钓鱼还可能试图诱使目标人点击触发病毒或恶意软件下载的链接。
恶意软件感染[5]——一种网络犯罪,当机器感染恶意软件,恶意软件会渗透到你的电脑。它的目的是窃取敏感信息或用户凭证。恶意软件感染可以通过点击链接、下载文件或插入受感染的USB等方式。
用户凭证盗窃[6]——一种旨在窃取目标人的用户名和密码(凭证)的网络犯罪。用户凭证盗窃可以通过多种方式进行。在上面提到的网络钓鱼和恶意软件感染中就很常见。一些犯罪分子可能从事社会性服务行业,而这种身份也为可为盗窃用户凭证带来便利,即使用欺诈手段来操纵个人泄露他们的用户凭证。来自IT服务台的虚假电话是一种常见的手段,攻击者要求用户确认他们的用户名和密码。
哈希传递[7]——一种更高级的证书盗取形式,它从一台计算机上截获经过哈希加密或处理的身份验证证书,并用来访问网络上的其他计算机。哈希传递(Pass-the-hash)攻击在概念上与密码盗窃攻击非常相似,但它依赖于窃取和重用密码哈希值,而不是实际的明文密码。
作为造成内部威胁的常见类型,由来自外部攻击所引起的一系列场景一直备受关注。特别是当攻击者渗透进组织网络内部,感染用户凭证、终端设备或系统应用时,其可以伪装成组织内的合法用户对内部资产进行操作破坏。
1.4 抓住泄密前的迹象——如何发现内部威胁行为
﹒ 内部人员行为特征
组织可以通过观察内部员工在工作场所和在线的行为来发现或预测内部威胁。采取积极主动的防御措施可以让组织在潜在的恶意内部人员窃取敏感信息或破坏组织运营之前发现问题,最大程度上控制其所造成的危害[8]。
下表显示了存在内部威胁,具有泄密迹象的行为和组织特征:
表2 具有泄密迹象的行为和组织特征[3]
员工/第三方承包商行为特征 | 组织特征 |
谋求超出其职责范围的利益 | 遣散 |
异常时间进行未经授权工作 | 年度绩效周期——个人没有晋升 |
对组织过度的负面评论 | 年度绩效周期——个人没有加薪 |
吸毒或酗酒 | 内部通报批评 |
财务问题 | 降职降薪 |
债务问题 | 部门调动——工作性质变化 |
精神状态异常 | 降低员工福利 |
IT安全团队还应观察网络行为特征。下表列出了一些最常见的可疑行为特征:
表3 暗示内部人员存在恶意或受到威胁的行为[3]
行为 | 恶意内部人员 | 账号失陷内部人员 |
异常时间打卡上班 | × | |
异常时间登录 | × | × |
从异常位置登录 | × | |
首次访问系统/应用程序 | × | × |
复制大量信息 | × | × |
﹒ 复杂场景下用户行为特征——以用户权限提升这一复杂场景为例:
由于产生威胁的行为者拥有合法的用户凭证以及对组织系统和数据的访问权限,因此许多现有的安全系统将其行为标记为正常,并不会触发任何系统安全警报。但随着场景变得越来越复杂,内部威胁也越来越难以检测。例如,产生威胁的行为者可以执行横向移动以隐藏其踪迹并访问高价值目标。或者,内部人员可以利用系统中的缺陷来提升个人访问权限等等。
内部人员可以通过滥用访问权限来实现其攻击计划。攻击者可能会尝试所谓的提权,即利用系统或应用程序的缺陷或漏洞来访问他们无权访问的资源。
图1 攻击者(内部人员)滥用访问权限实施攻击
在某些情况下,滥用访问权限的行为人是具有高访问权限的用户本人滥用其自身系统权限。例如,2008年旧金山市政府的一名系统管理员利用其系统管理员用户身份中断了外部对该市网络的访问,并拒绝交出管理员密码。据透露,这名系统管理员不满其所从事工作的办公环境过于危险[3]。
上面介绍的这些复杂场景下的内部威胁属于未知威胁,无法通过传统的关联规则进行检测。安全分析师需要了解用户的正常行为才能识别异常和潜在的恶意行为。
1.5 防范内部威胁的四种方法
组织可以采取多种措施来对抗内部威胁。以下是需要重点关注的四个主要领域[9]。
﹒ 员工培训
定期进行反钓鱼培训。最有效的方法是组织向其用户发送网络钓鱼邮件,并对那些不将此电子邮件识别为的用户进行培训。这将有助于减少内部威胁事件的发生频率。
组织还应培训鼓励员工积极发现内部人员的危险行为,并主动将其报告给HR或IT安全部门。一个对心怀不满的员工的匿名举报可能会阻止一个严重恶意的内部威胁安全事件。
﹒ 协调IT安全团队和人力资源
关于IT安全团队因组织内部裁员而措手不及的故事并不少见。组织信息安全官(CISO)和人力资源主管之间的协调可以帮助准备IT安全团队更好的应对内部威胁。将受裁员影响的员工列入监视名单并监控他们的行为可以避免许多威胁。同样地,人力资源部门可以就某些没有升职或没有获得加薪的员工的情况跟IT安全团队方面沟通并给出相应的建议。
﹒ 组建威胁搜寻团队[10]
许多公司都有专门的威胁追踪团队。比起在事件被发现后才做出反应,威胁搜寻采取了一种积极主动的方式。IT安全团队中的专门人员会寻找一些明显的迹象,、以便在内部资源被盗窃或破坏发生之前加以注意。
﹒ 使用用户行为分析[3]
用户行为分析(UBA),也称为用户和实体行为分析(UEBA),通过跟踪、收集和分析用户和终端数据,以检测组织内的威胁。使用各种分析技术,UEBA从日常行为中判断异常。这通常是通过在一段时间内收集数据来理解正常的用户行为,然后标记不符合该模式的行为来完成的。UEBA通常可以发现不寻常的线上行为(比如:证书滥用),异常的访问模式,大量数据上传——这些都是内部威胁的迹象。更重要的是,UEBA经常能在恶意分子进入关键系统之前发现这些受感染的内部系统用户的不寻常行为。
内部威胁不会消失。但是,通过更好地了解不同类型的内部人员及其表现出的行为,组织可以更好地准备应对这些威胁。培训、组织协调和技术的结合才是正确的方法。目前,采取主动防御的手段来解决网络安全问题,已经逐步成为业界主流。将基于数据科学的用户实体行为分析(UEBA)解决方案与传统安全信息和事件管理系统(SIEM)相结合,利用UEBA采用用户实体的行为来进行分析的特点串联SIEM中各类独立的数据,融合多维度的分析方法来更好的解决内部威胁这一安全问题,已经得到越来越多人的认可。
2. 利用数据科学对抗内部威胁
具有用户和实体行为分析(UEBA)能力的安全信息和事件管理(SIEM)平台的主要优势之一就是安全人员无需成为数据科学家即可具有解决信息安全威胁的能力。该平台弱化了“数据科学工作”的潜在复杂性,以便安全运营中心(SOC)员工可以专注于保护组织免受威胁攻击。
内部人员是被组织信任的人。如果他们破坏组织商业运作、窃取知识产权或敏感数据,所带来的在金融、监管和声誉方面的影响可能会给组织带来严重的后果。对SOC来说,最大的问题是内部人员被授权使用IT资源。使用传统关联规则的传统安全工具几乎没有提供任何检测能力来区分某人明显授权的操作是否具有恶意。
由于静态关联规则的固有局限性,现今,IT安全和管理解决方案转向机器学习。机器学习方法通过利用大量丰富的操作系统数据以及安全日志数据来识别恶意行为。安全行业将这种以数据为核心的方法称为用户和实体行为分析。下面介绍如何使用数据科学来解决内部威胁场景中的一些问题。
2.1 使用统计分析进行异常检测
对于内部威胁场景,一般采用无监督学习方法来分析用户的日常行为,以便对相较正常行为产生偏差的异常行为发出警告。之所以使用这种技术,是因为与内部威胁相关的数据量很少,而传统的监督式机器学习需要大量打标数据才能获得准确的结果。基于统计概率分析和无监督学习是实现UEBA的主要技术手段。
统计分析的使用有助于我们的UEBA解决方案分析事件的常态。图2以直方图的形式显示了三种数据的图例。通过统计或聚类分析确定的高概率事件被认为是良性的。低概率的离群事件是与安全事件相关的异常事件。这就像一个SOC分析师手动筛选大量的日志数据,并试图发现其中隐含的信息,只是机器会自动地、快速地、高精度地完成这一工作。统计和概率分析是UEBA识别正常行为和显示为内部人员异常或潜在恶意行为的偏差的基础。
图2 不同类型数据的统计分析图例[13]
2.2 智能的上下文情景信息推导
上下文信息包括用户和实体固有的标签属性和其网络属性。这些信息对于校准异常事件的风险级别,以及对警报的分类和审查至关重要。
上下文派生场景包括管理员账户评判、账户解析和个人电子邮件标识。管理员对组织内部资产拥有较高的访问权限,同时也负责内部系统权限管理,因此在内部恶意人员眼中,具有更高级别系统权限的管理员账户更有价值;然而,在大型IT系统环境中很少对理员账户进行监管。同时,管理员账户和普通员工用户账户又表现出不同的行为。数据科学可以通过分析活动目录(Action Directory)中的数据找到组织内未知的管理员账户,也可以根据系统内每个用户日常工作中行为的不同对其账户进行分类。通过这种方式,有助于提高UEBA对恶意内部人员利用高权限账户进行违规操作的可预见性。
而通过个人电子邮件账户进行数据泄露也是恶意内部人员经常使用的攻击手段。例如,组织内部人员登录到一个个人网络电子邮件账户,并发送一个异常大的附件。基于历史行为数据,可以将该用户与其外部电子邮件账户绑定,为该人员发生数据泄露行为提供可预见性。
2.3 误报控制的元学习
通常一个机器学习模型会学习大量与某个应用场景相关的数据来进行训练,而当应用场景发生改变时,就需要重新训练模型。元学习[11](Meta Learning),即:“学会学习”。可以使模型在已有的训练基础上继续学习新的“知识”,以获得这种“学会学习”的能力[12]。
对于日常工作繁忙的安全分析师来说,误报会浪费时间并导致警报疲劳。有些指标比其他指标更准确,统计强度较弱的指标容易出现误报。数据科学中的元学习允许UEBA系统自动从自己的行为中学习,以提高其检测性能。其中一种方法是通过数据驱动的调整来帮助调整初始专家分配的异常分数,如图3所示:
图3 基于专家知识和数据驱动调整的评分[13]
这种对用户异常行为的评判打分会根据以下特征进行调整:
﹒ 所检查用户的上下文分组中同组人员行为
﹒ 用户自身历史记录中的警报触发情况
﹒ 用户自身历史记录中的警报触发频率
另一种误报控制方法是智能地抑制一些嘈杂警报。从历史数据中进行元学习帮助UEBA系统自动构建推荐系统,在用户访问资产时,判断用户对资产的访问操作是否为首次。如果是,则相应的警报将被抑制而没有异常评分出现,以最小化误报噪声。
3. 使用规则用例防止内部威胁
基于规则的内部威胁用例解决方案可以帮助IT安全团队更进一步对内部系统用户所产生的异常行为进行分析,为威胁检测、调查和响应提供强大的支撑。同时,也可以帮助SOC使用这种基于结果的方法改进从数据收集到威胁检测、调查和响应的系统工作流程。规则用例的使用将覆盖安全系统运营工作流的完整生命周期,包含端到端的内容,包括规定的数据源、检测模型、监空列表、调查列表和响应办法,以帮助分析师不断找出在用户/实体异常行为背后真正的问题所在。
3.1 为什么需要规定用例
根据Gartner的说法,“缺乏足够详细的目标和明确定义的用例是安全分析实施失败的最常见原因之一”。据美国行业分析机构预计,如果没有以规则用例为中心的方法,估计超过80%的安全分析计划将失败。在安全市场中可以清晰地看到,对于组织的安全团队试图解决的具体安全问题,通常存在模凌两可的情况,很难将其从头到尾解释分析透彻[14]。例如,“内部威胁”这一被普遍关注的安全问题,既可以指对内部员工监控,也可以指攻击者试图攻陷组织内系统用户账户以访问内部系统和网络的威胁。
除了对出现的问题解释分析不清之外,目前安全领域中使用规则用例的现有解决方案也仅限于威胁检测这一步。虽然许多安全厂商自诩拥有数百个“即开即用”的用例,但实际应用中发现这些在很大程度上并没有完全解决问题。例如,如果用户想要解决横向移动问题,可能会使用某些规则和模型进行威胁检测,但无法回答在调查和响应过程方面“下一步是什么?”的问题。最终,仅仅使用基于规则用例的威胁检测可能达不到安全团队的预期效果[15]。
3.2 常见威胁的覆盖范围
规则性用例包通过为系统分析和自动化处理提供规范性内容来简化分析人员的工作流程,以防范两大类常见的内部威胁:
l 用户账户失陷用例,包括特权账户行为、账户操纵、权限提升、监管规避、认证失陷、横向移动和数据泄露等。
l 内部恶意人员用例,包括特权访问滥用、账户操纵、审计篡改、数据访问滥用、数据泄露和数据破坏等。
4. 结论
新一代的SIEM系统应是具有基于行为分析技术和基于威胁规则用例的监控系统,行为分析技术可以用来确定行为基线。这样做可以帮助安全人员更轻松地识别用户/实体行为是否超出正常行为范围。当系统管理员收到报警时,将获得详细异常信息。而利用威胁规则用例,可以更好地检测、调查和响应威胁,以确定下一步需要做什么来阻止攻击者的进一步的攻击。
传统的关联规则无法解决现阶段内部威胁检测的独特挑战。UEBA中基于传统统计概率及无监督学习的方法为检测此类威胁提供了最可行的解决方案;然而,万能算法是不存在的。需要多管齐下、按照以数据为中心的方针来探查内部威胁,比如文中所介绍描述的一些方法。近期利用数据科学来解决内部威胁问题已经变得越来越流行。利用组织既存的SIEM等安全产品中已有的可利用数据,为有效检测内部威胁开辟了一条新的道路。
参考文献:
[1]https://www.observeit.com/wp-content/uploads/2020/04/2020-Global-Cost-of-Insider-Threats-Ponemon-Report_UTD.pdf
[2]https://www.varonis.com/blog/insider-threats/
[3]https://www.exabeam.com/ueba/insider-threats/
[4]Saxena, N.; Hayes, E.; Bertino, E.; Ojo, P.; Choo, K.-K.R.; Burnap, P. Impact and Key Challenges of Insider Threats on Organizations and Critical Businesses. Electronics 2020, 9, 1460. https://doi.org/10.3390/electronics9091460
[5]CERT Insider Threat Team, "Unintentional Insider Threats: A Review of Phishing and Malware Incidents by Economic Sector," Software Engineering Institute, Carnegie Mellon University, Pittsburgh, Pennsylvania, Technical Note CMU/SEI-2014-TN-007, 2014.
http://resources.sei.cmu.edu/library/asset-view.cfm?AssetID=297771
[6]https://www.prnewswire.com/news-releases/more-than-half-of-us-companies-hit-with-privileged-credential-theft-insider-threats-in-last-year-301294644.html
[7]https://www.hysolate.com/blog/pass-the-hash-attack-mitigation/
[8]http://solidsystemsllc.com/insider-threat-detection/
[9]https://insights.sei.cmu.edu/blog/5-best-practices-to-prevent-insider-threat/
[10]https://terranovasecurity.com/security-awareness-prevent-insider-threats/
[11]https://research.aimultiple.com/meta-learning/
[12]J. -Y. Hsu, Y. -J. Chen and H. -y. Lee, "Meta Learning for End-To-End Low-Resource Speech Recognition," ICASSP 2020 - 2020 IEEE International Conference on Acoustics, Speech and Signal Processing (ICASSP), 2020, pp. 7844-7848, doi: 10.1109/ICASSP40776.2020.9053112.
[13]https://www.exabeam.com/ueba/fighting-insider-threats-with-data-science/
[14]https://emtemp.gcom.cloud/ngw/eventassets/en/conferences/hub/security/documents/how-to-use-threat-intelligence.pdf
[15]https://www.exabeam.com/ueba/an-outcome-based-approach-to-use-cases-solving-for-lateral-movement/