如何警惕知识窃取类内部威胁

内部威胁引起关注

近年来，内部威胁逐步成为新的研究热点，“斯诺登事件”更是将其推向了一个高潮。其实，早在1969年针对计算机用户权限滥用而提出的访问控制理论就是属于内部威胁防范的范畴。随后研究逐步系统化，尤其以美国特勤局与卡耐基梅隆大学联合建立的CERT（计算机安全应急响应组）内部威胁中心为代表，建立了著名的内部威胁案例库[1]。众所周知，内部威胁危害巨大，可以对个人造成伤害, 对组织造成经济损失、业务运行中断、声誉受损, 严重时甚至会危害国家安全。然而，鉴于其具有内外勾结、合伙人参与、企业兼并时多发、员工文化差异等复杂性，内部威胁的检测发现相比外部威胁更加不易。

知识窃取类内部威胁

CERT将内部威胁分为三类

信息系统破坏（IT sabotage）: 内部人员使用信息技术对组织或个人进行特定的破坏；

知识窃取（Theft of intellectual property (IP)）: 内部人员使用信息技术窃取组织的知识产权，包括商业间谍；

电子欺诈（Fraud）：内部人员使用信息技术对组织数据进行非授权的修改、增加或删除，或者进行身份冒用。

知识窃取作为一种重要的内部威胁手段，危害程度不亚于其他两种。从CERT数据库显示的数据来看，包括U.S. Munitions List（美国军用品管制目录 ）中的产品源代码被共享给国外军事组织，一个政府供应商偷取密码进行对敏感信息的非授权访问等案例，平均导致的实际经济损失为1千350万美元，而潜在经济损失高达1.09亿美元。其中IT公司、电信公司、制药公司、化学公司、生物科技公司是信息窃取高发行业，导致的经济损失都在1亿美元以上，最高可达10亿美元[1]。

述描述了CERT关于知识窃取类内部威胁的定义。还有学者提出了基于“信任--承诺”的内部威胁理论，通过“信任--承诺”的对应关系来定义内部人，基本的原则是正确行使受信获得的组织资源的访问权, 维护授信主体的合法利益。特别地，给出了内部威胁的形式化定义，表示为威胁函数δ: SM×B× O→ N( ST)。进一步地，将知识窃取类内部威胁定义为：若受信内部人SM利用对授信主体信息资产的最小访问权限Tm=(r), 做出损害授信主体经济利益的行为, 则该行为属于知识窃取威胁[2]。

知识窃取类内部威胁的特征[2]

1. 攻击者特征: 此类威胁主要来源于能接触到信息资产的内部人员, 一般是具有核心数据访问权的在职雇员, 如科学研究人员、技术工程人员、程序员以及销售人员等；

2. 动机与目标: 大多数攻击者通过窃取的高价值信息跳槽到新单位就职, 或者自己创业。因此该类威胁常见目标是通过窃取信息谋求更好的发展机会；

3. 攻击方式: 信息窃取主要是利用自己和同谋者的合法数据访问权限, 通过秘密拷贝到可移动设备或发送邮件附件的方式将高价值信息带出企业/组织。

CERT采用MERIT模型描述该类威胁，根据攻击者的数量, 将此类内部威胁分为个体或群体信息窃取, 关键区别在于后者无法独立窃取信息, 必须通过收买、欺骗等方式获得其他人的配合[1]。

个体信息窃取MERIT模型

群体信息窃取MERIT模型

经过大量的案例数据分析发现，内部个体首先觉得由其编写的代码或文档归其个人所有。其次，内部人员感到了不满意，部分窃取知识产权是为了获取新的工作，当然相当一部分并非有明确目的，而只是习惯性保留以前用到的信息。因此，通常来讲，一半的个体窃密者会在其离职前的一个月内窃取信息，即“一月时间窗口”理论。这一个月包括离职前的一个月和离职后的一个月，其实是两个月。虽然并不是所有窃密都发生在这个时间窗口内，有的是随着时间慢慢进行的，但最终的窃取行为集中在这个时间内，并且很少在超过这个窗口的时间内还继续窃取。采用的方式有邮件、电话、传真外发、从组织内服务器下载到个人电脑、通过移动介质拷贝、恶意代码收集和传播、打印或输出成物理载体带出等。