内部威胁
尽管每年都有些不同,但内部的事故和外部的总是差不多。不过,得到的教训却很简单:机构必须预防来自各个方面的攻击。
CSI/FBI 计算机犯罪与安全调查 2005
案例
- 希腊沃达丰公司
- 有针对性地监听100多名高级官员
- 希腊总理和他的妻子
- 部长大人们:国防,外交,司法
- 希腊欧盟专员
- 雅典市长
- 08年8月之前就已经开始,一直持续到05年3月
- 由于 rootkit 更新失误而意外被检测到
- 追查到沃达丰的内部人士
- 沃达丰被处以7600万美元罚金
- 有针对性地监听100多名高级官员
- 爱德华·斯诺登
两类攻击者
- 背叛者
- 一个有访问权限的合法用户可以干坏事
- 对内部体系和安全政策有充分地了解
- 伪装者
- 一个窃取/占用合法用户凭证的攻击者
启发
- 攻击者和普通用户的行为表现会有所差异
- “行为表现”是无法被盗用的东西
- 当背叛者做坏事时,行为会偏离正常的表现
- 既使攻击者模拟成正常用户,也会在攻击的时刻暴露出来
内部攻击
攻击的形式
- 未经授权提取,复制或泄露数据
- 篡改数据(未经授权更改数据或记录)
- 销毁和删除关键资产
- 从未经授权的来源下载或使用可能包含后门或恶意代码的盗版软件
- 窃听和嗅数据包探
- 欺骗和冒充其他用户
- 社会工程学攻击
- 滥用资源以此进行与业务无关或未经授权的活动
- 别有目的地安装恶意软件
内部攻击的特点
- 大多数事故的技术门槛要求低
- 行动是有计划的
- 动机是经济利益
- 犯罪行为发生在工作期间
- 事故通常是由非安全人员发现
- 事故通常是通过手动程序检测到
检测方法
- Shell 命令序列 (CLI)
- 系统调用
- 数据库/文件访问
- 系统日志
- 网络请求
- 键盘/鼠标动态信息
- 蜜罐
伪装者 | 背叛者 | |
---|---|---|
一类/两类分类器:Unix 命令序列 | 高 - 不熟悉本地系统环境和用户行为 | 中 - 可以模仿另一个普通用户或有目的的训练分类器 |
Unix 审计事件 | 中 - 给予适当的认证证书,可能不会触发警报 | 低 - 应用级别的恶意行为可能不会显示为异常事件 |
Unix 系统调用 | 中 - 可能不违反系统调用配置文件 | 低 - 应用级别的恶意行为可能不会显示为异常事件 |
窗口使用事件 | 中 - 给予适当的认证证书,可能不会触发警报 | 低 - 应用级别的恶意行为可能不会显示为异常事件 |
Windows 注册表访问 | 中 - 除非恶意程序访问注册表 | 中 - 除非恶意程序访问注册表 |
网络活动审计 | 中 - 如果攻击使用网络并且可以归因 | 高 - 如果攻击使用网络并且可以归因 |
蜜罐和诱饵技术 | 高 - 不熟悉本地信息,可能与蜜罐交互 | 中 - 如果知道蜜罐位置,则不太可能与其交互 |
参考资料
- The Athens Affair
- Insider Attack and Cyber Security: Beyond the Hacker, chapter "A Survey of Insider Attack Detection Research"
- CS 259D Lecture 3