觀察這些年的信息泄漏案件比例，內部威脅在快速上升。內鬼的范圍其實很多，傳統上安全會抓賬號泄漏、橫向移動之類。但如果是商業間諜、搞破壞、內部欺詐這些行為，安全上基本上沒能力管。很多安全同學吐槽，安全在公司不受重視，得不到資源，在我看來，是安全目前做的這些事相對于公司的大風險來看，太小，在高層那里不受重視理所當然，當安全有能力為公司發現、收斂更大的風險，地位當然會上升。如果你有能力抓內鬼，匯報層級也會直線上升。本文要和大家說的就是：怎么抓內部威脅。

[[279928]]

一、內鬼動機及范圍

內鬼的動機一般包括：搞破壞、竊取數據、欺詐、商業間諜、無意犯錯、偶然間裝逼犯。內部人員作案一般是一個持續過程，在這個過程中有逐漸變化，最后到事件一次發生，多次得手。

內部人員的范圍并非是“純粹”內部人員，也包括生態上下游合作伙伴、外包、訪客等任何具有內部訪問權限或數據的人。給一個清晰定義，就是基于知識、訪問、信任的角色。

所謂知識，如果一個人知道系統的位置、防御措施可被繞過，則為掌握了相關知識。常見例如系統的開發人員可能知道產品的幾個0DAY，離職員工掌握測試系統賬號密碼等。

從技術角度看，IT系統驗證憑證有效性，允許訪問資源。因此任何獲得憑證的人都可被視為內部人員，也即訪問角色。即使系統有多因素認證，內部人員也可把短信驗證碼之類的驗證要素提供給其他人員，所以從這個角度來說，IT系統很難完全防范。

還有一種是信任角色，最簡單可理解為你的合作伙伴、外包等人群，也包括內部人員。這些人群獲得公司一定程度的信任，可以獲得部分權限資源，并且以公司名義活動。例如公司的用戶數據如果泄漏，在監管和輿論來看，這就是你的問題，而不是外包或代理商。

通常內部抓到的壞人處于公司形象的問題不會公開，而由于不會公開，所以實際案例可能比我們看到的多的多。但其實你可以從法院的公開判決文書找到很多案例。對內部壞人的處理邏輯，首先是內部調查，確定性質和行為。再接下來是走司法程序，但事實上很多公司會開除且不聲張。

1. 破壞

對IT系統的破壞可能是大家最不重視的環節了，這些人往往都是技術人群，工作中有較高的系統權限，也是相對信任人群。如果這些人準備刪庫跑路，實施起來很容易，業界此類案例屢見不鮮。

動機主要是報復，不管是什么原因，總之是員工期望沒有得到滿足，可能是加薪升職，也可能是績效，也可能是和主管關系不好。案件一般發生在離職前后，有些情況是在系統放入后門，離職后進行操作，例如前陣時間蕪湖某網管的案件，就是掌握了遠程路由設備的密碼，然后更改配置進行了破壞。其結果一般導致可用性、完整性被破壞。

2. 數據竊取

對很多公司來說，數據或核心資料泄漏是最大擔憂，這一類案件層出不窮，從世界巨頭商業公司到政府部門。大公司數據泄漏還能活下來，很多小公司因為一個配方、工藝的泄漏，可能就結束了。設計師、工程師、程序員和銷售最有可能，一般情況下獲取的是自己創造的信息。行為上可能發生在離開公司前后60天之內，方式上有很多，郵件、網盤、U盤、拍照、打印等都有可能。

3. 內部欺詐

這是公司里面最大的群體了，跟其他不同的是，其目標是為錢。而這部分里面有相當多是工資比較低的那部分人群，非專業、非技術人員。由于對錢的需求，所以這些行為可能持續較長時間，如果有一個中低層主管參與的團伙，則更容易獲得成功。內部欺詐是破壞公司現有流程實現的，例如客服向用戶發放紅包，就存在內外勾結的可能。除此之外，特權比較多的人員也是其中一個群體。

另外常見的一種情況是販賣用戶個人敏感信息，例如房產公司銷售會把用戶手機號賣給裝修公司。個人敏感信息相對套現比較容易，需求方也明確，獲取難度也不大。

4. 商業間諜

不要覺得商業間諜是一個遙遠的事情，在當前的商業競爭形勢下，各種套取信息、混入內部的案件比比皆是，只不過被公開報道出來的比較少。商業間諜不是在電視上看到的那種高大上間諜場景，又是色誘又是富家子弟什么的。現實中他們既有可能來自競爭對手，也有可能來自黑產，例如一個某寶店鋪，雇用了一個員工，這個員工有相當多的某寶運營經驗，在獲取了用戶地址、聯系方式等信息后即辭職，去了下一家。而這個員工，就是間諜的一種，專門獲取信息獲利。

商業間諜在作案時間上和其他不同，他們可能偶然活躍一次，然后沉靜下來，直到下一次。

5. 無意威脅

前面的關注都是懷有惡意的內部人員，無意威脅是那些可能沒有惡意動機，但行為會給攻擊者提供入口，或對安全態勢產生負面影響的人。例如亂下載軟件，引入病毒木馬，被人社工，U盤筆記本丟失等，都在這類范圍內。

6. 裝逼犯

這類人群的特點是愛炫耀，尤其如果自己在一家知名大公司工作，為了向人證明自己有內部消息，位高權重等。例如某互聯網大廠的內部論壇，就曾有人截圖八卦。還有一些泄漏公司通告、張貼自己工資表、利用權限查詢男女朋友數據的愛好者。

二、內鬼捕獲思路

1. 復雜性

內鬼這事不是一個簡單的技術、金錢需求問題，和外部環境、誘惑交織在一起。這些外部環境包括：

• 內外勾結，內部人員可能一開始是個好人，后來開始為競爭對手、黑灰產等工作。
• 合作伙伴，合作伙伴手上有大量信息，基于某些業務，可能掌握的是核心信息。
• 組織架構調整，比如公司被收購、裁員重組等，會對員工產生心理預期的不可預測性，尤其在員工利益受損時，變“壞”的可能性變大。
• 跨國公司的文化差異，不同國家的宗教信仰、政治態度區別很大，典型如Google前陣時間的某項目，就因為某種原因而被泄漏給了媒體，導致項目終止。
• 黑灰產，員工參與黑灰產也是一個信號，黑產與內部員工的聯系程度如何?員工是否羊毛黨愛好者，這些都增加了風險。

2. 威脅時間線檢測

內鬼具有一些共同特征，這些特征出現在訪問日志、流量、文件等地方，和正常活動混雜在一起，導致大量誤報，這是需要解決的問題。特征分布在各個系統日志的時間軸上，需要清洗出來做數據融合，串聯起來一個人的行為，這個過程是這里的重活，而且需要多次修正讓數據可解釋，這取決于數據質量、系統架構、正確方法，當然也需要數據人員的認真細致。

特征分為技術指標和非技術指標兩類。非技術指標會涉及HR、法務、管理層等參與，但在這一系列的指標里要注意幾點，一是不要因為資歷老、級別高就忽略，人是變化的。二是關注心理健康，這方面很多大公司都有心理測試和定期心理輔導。三是對員工應有人道關懷的理解和幫助，而不是簡單的指責懲罰。千萬不要把這事變成官僚主義的形式，這樣不但不能幫助，而且會讓員工產生逆反心理。例如員工績效輔導，就不該是辦公室里走個過場，而是需要至少1個小時以上的一對一聊天。

每個人對工作、生活看法都千差萬別，HR和leader的工作職責中需要了解個人風格，對工作的期望和目標，對周圍同事和上級的看法。當技術指標發生變化時，就需要人工干預防止惡化，因此要把兩類指標結合起來，起到預防、檢測、響應的作用。

搞破壞、泄漏數據和內部欺詐的人，在時間線上是不同的，根據這個特征可以更好地發現異常，在關鍵節點加強監控。

3. 建設路線

真的要去做這件事，不是安全技術部門負責這么簡單，需要有組織保障。信息安全的這些技術，也不足以保障。

抓一個壞人，可能涉及到內控、信息安全、內部監察、內控、廉政、HR等部門，具體落在哪個部門取決于內部博弈，但一般企業內不會是先設立這么一個組織再來開展活動，而是誰能干這件事，責任就落在誰頭上。但整體上是一個跨部門工作組才能完成的工作。

另外，這個團隊需要高層授權，解決“誰來監視監視者”的問題。這個組的工作是保密的，因此需要管理好信任，確保監視者會受到監視，因為這個組掌握的信息太多太敏感。你可以簡單理解為“東廠”角色，但又不能像東廠那樣不受約束、大張旗鼓、人人自危。

解決前面的問題之后，接下來的路線就是：

• 建立風險處理制度，建立識別評估方法。
• 提升相關人員的能力。
• 培訓演練，提高員工安全意識。
• 啟動調查的程序

有一些具體操作上需要特別列出來的注意事項：

(1) 背調

員工入職一般都有背景調查，但這個是靜態的，只是在入職時由外包進行調查。一旦本人發生變化，以前的背調就沒什么用了。

(2) 縱深防御

信息安全領域的常見做法，但在管理上也需要有縱深防御。

(3) 員工滿意度

員工滿意度跟公司規模有關，公司越大江湖越深，不滿度可能越高，不滿度指標會間接產生影響。

(4) 內部特權人員

特權用戶掌握了一些敏感關鍵權限，并且知道如何繞過監控，對抗調查。所以就是剛才這個誰來監視監視者的問題。這需要公司組織架構上有互相制衡的能力。

(5) 安全規則必定被繞過

在商業組織里，安全是一個支撐角色，賺錢才是核心業務。而安全措施疊加，必定會在一定程度上降低效率，由于效率原因，安全規則也一定不被完全遵守。要么是以免打擾的方式實現安全，要么就要讓違規受到必要的懲戒，實際工作中是兩者結合使用。

(6) 無意行為危害

無意行為危害更為常見，例如DLP抓到的外發，大量都是業務需要的非故意外發行為，真正的壞人可能就隱藏在這里而被淹沒。這需要靠安全意識教育、直接觸達的警告來強化安全。

三、檢測指標

發現內鬼可通過不同維度的指標監測，指標異常引發報警，從而提升某個員工的關注度。

1. 個人情況指標

個人情況指標可能不會直接造成損害，但會是很多事情的誘因。

這里的最大問題是，你可能無法掌握員工的變化情況。這些信息可能會被他周圍的同事和HR知道，需要打通這個信息渠道。例如精神類疾病在職場中常見的是抑郁癥，會導致無意犯錯、破壞發泄，理論上可以在每年的體檢報告上獲取這個信息，但這屬于侵犯個人隱私，在強保密體系下可以關注使用。另一個重點是績效為差的員工，待離職員工，這些都帶有強烈的離職動機，從而導致竊取數據、搞破壞，這些數據是可以通過HR系統檢測到的指標。

2. 背景及行為指標

背景側重于歷史記錄，很多公司把敏感崗位背調作為招聘必選項。行為則是根據員工工作上的行為方式逐步形成。

參與某些團體指的是例如國泰航空前陣時間的事件，參與了社會事件而帶來的對飛行安全的破壞、泄漏用戶信息。而在犯罪前科上，要兼顧考慮各類外包人員。背調不只是在入職前進行，在晉升時也需要進行。其他類型不再贅述。

3. 信息安全指標

內部欺詐是利用工作流程，掌握了規則后獲利行為，例如風控部門的員工，就可能掌握規則從而繞過獲利，檢測上很難發現，但可以通過其他維度，例如與情報、釣魚、黑灰產關聯等。而數據竊取則可能有一些對抗繞過，比如對數據加密，使用代理等，可以根據基線、閾值來做關聯判斷。商業間諜則考慮賬號、設備、競對關聯、行為。

4. 終端指標

終端是指用戶的終端電腦、手機等，由于員工可以對終端進行操作，所以他可能會篡改數據，破壞監控agent，因此要額外檢測agent和日志的運行情況，尤其是當員工有離職等不良傾向的時候需要重點關聯檢測。

數據竊取可通過打印、復制外發文件，把這個日志和背景行為指標關聯，可以監測到數據竊取、商業間諜行為。內部人員如果登陸其他同事賬號，目的可能是隱藏自己，提升權限，又或者代其他員工操作。多次登陸失敗則說明賬號正在被暴力破解。終端多用戶登錄代表的風險則更大，但要注意有些例如三班倒的工作崗位、測試崗位會存在公用設備現象，但排除這些崗位也行后，其他人員需要重點關注。當然還有其他維度，例如非正常工作時間，只不過在互聯網公司這個太常見了，所以沒有加入特征。

對終端的檢測幾乎發現不到什么內部欺詐，欺詐行為一般出現在業務層。

5. 服務端指標

對應的則是用戶在服務端的操作行為：

對集中存放的審計日志進行修改是個明確信號，有人在試圖抹掉痕跡。同賬號多設備則表明賬號可能被泄漏，也可能是橫向移動攻擊。

四、總結

以上所有的指標，單一來看可能只是一個異常，因此需要多指標關聯權重，從而提煉出真正的風險。但指標不僅限于此，可以根據自身業務數據形成更廣闊的檢測維度，例如一個銷售，從來不上傳新合同，但總是在大量查詢歷史合同。某個員工的手機號和采購供應商相同，員工與黑產多次出現在同一地址，同一時間維度內同WIFI出現大量注冊等等諸如此類的規則，都能夠形成某個單項指標。

除了自身數據，也可接入外部數據驗證，例如員工是否多頭借貸，歷史工作單位驗證是否一致等。最后，還可以利用情報數據，反向驗證內部人員作案。

空間很大，可做的事情有很多，不要自己給信息安全設置了邊界。