内部人威胁可能是最难以检测和控制的安全风险了,而对内部人威胁的关注也上升到了出台新法案的地步——2017年1月美国国会通过《2017国土安全部内部人员威胁及缓解法案》。
该法令要求国土安全部(DHS)建立内部人员威胁计划,包括培训和教育,以及执行内部威胁风险缓解行动。不过,条文里倒是没解释这些“缓解行动”到底由什么组成。
其中一个难点在于,内部人员的概念并不统一。包括通过被盗合法凭证成为“内部人员”的远程攻击者,天真不设防的雇员,机会主义雇员,以及恶意内部人士。所有这些当中,恶意内部人士是最难以攻克的问题。
传统安全控制,比如访问控制和数据丢失防护(DLP),有一点点微小的作用。最近几年,这些方法有了用户行为分析(UBA)的增强,使用机器学习来检测网络中的异常用户行为。
Exabeam首席执行官尼尔·颇拉克解释称:“行为分析是得到内部人威胁真正洞见的唯一途径。UBA能基于个人与同类的对比,告诉你什么时候有人在做不寻常且危险的事,它可以穿透噪音,给出真正有用的见解——任何想处理内部人威胁的机构都应该密切关注UBA。”
汉弗莱·克里斯蒂安,Bay Dynamics 产品管理副总裁,倡导UBA与风险管理的组合。他说:“如果对低价值资产下手,那就不成其为威胁了。异常行为如果在业务上说得通,那也同样不应该归入威胁行列,比如被经理批准了的雇员行为。一旦识别出异常行为,管理受威胁应用的人,必须确定自己是否给了该雇员对受影响资产的访问权。如果答案是‘否’,就应触发警报加以调查了。”
本周,情报与国家安全联盟(INSA)发布了一篇新论文,提出物理用户行为分析应更进一步,将依据常规行为模式设置的心理分析纳入进来。这不仅仅是网络上可接受行为的基线,还结合了工作场所内外生活事件的心理影响。目的不单单是响应已发生的异常行为,而是要未雨绸缪,能够在事发前预测到恶意行为。
INSA的论文源于雇员不会突然决定变坏的观察结果。恶意行为一直都是逐渐积累的不满的大爆发。这种不满既可以是工作上的,也可以是工作之外的。INSA的理论是,这种渐进式不满的线索,能够,也应该,被技术检测出来。机器学习和人工智能就可以做到。
该早期检测可使经理们干预,乃至帮助挣扎中的雇员,预防重大安全事件发生。
工作场所中的不开心迹象如果以“反生产行为(CWB)”表现出来,倒是相对容易检测。INSA称,检测并缓和有恶意内部人倾向的雇员,有3个关键认知:CWB不会孤立发生;CWB往往会升级;CWB甚少是自发的。
如果早期无害CWB可以在升级之前被检测到,那么内部人威胁缓解也就成功可期了。
在现有研究的基础上,比如《精神疾病诊断与统计手册》第五卷(DSM-5),INSA给出了压力源与CWB的关联表。举个例子,低水平的情绪压力可能引发反复拖延;更严重一点儿,就会导致欺负同事和不安全(危险)行为。
INSA的观点是,虽然单个CWB可能会被经理和HR忽视,但模式和压力指征的任何升级,都是可以被机器学习算法检测到的。这种类型的用户行为分析,已经不仅仅针对异常网络活动,而是寻求在事发前识别出可能导致异常网络活动的受压用户行为。
不过,这种方法也有局限:影响用户工作的压力源完全处于工作场所之外的情况。比如离婚、经济损失、家人生病。对此,INSA提出了更激进,但在工作场所内外都适用的方法。
特别的,复杂的心理语言工具和文本分析,可以监测雇员的通信,发现生活压力源和情绪,帮助在转化过程早期检测出潜在问题。
该方法的理念就是,监视并分析用户的通信,包括推特和博客,积极和消极的词汇都是查找对象。论文中给出了一个例子。“我喜欢食物……和……一起……我们……在……非常……高兴……”这词汇序列在推特、微博、微信上很常见,但‘和’、‘一起’、‘在’这几个词的使用,表现出了包容宜人的性情。
公平地说,INSA对第二个例子的误用,给了怀疑者质疑的理由。这第二个例子,是将美国政府秘密泄露给维基解密的上等兵切尔西·曼宁。INSA称:“第二篇博客文章,证实该生活事件,并确认了另外一个。‘关系终结/离婚’在每个生活事件中都被提到2次。”其含意是,对这篇博文的心理语言分析,本可以勾出曼宁生活中的压力源,警示其雇主他可能会采取的恶意行为。
然而问题是,这被引用的章节并非出自事发前的曼宁博客帖子,而是来自2010年5月维基解密已经开始公布机密文档后,曼宁与拉莫的聊天记录。这个案例中的语言学分析可能有助于解释曼宁的行为,但却对预警美国政府毫无帮助。
但是,重点在于,心理语言学分析是具备勾勒情绪状态的潜力的,随时间进程,凸显出正从最初的小CWB升级到最终重大CWB过程中的个人,也不是不可能。问题就是,这真的有点令人毛骨悚然。这种诡异性也被INSA所承认。
这些工具的使用需要特别特别小心,要保证个人公民权和隐私权不被侵犯。只有被授权的信息才可以在符合预定义策略和法律监管的情况下被收集,且只能用于定义清晰明确的对象。绝不可以在缺乏断言的情况下,使用随机查询和“如果”场景来审查具体个人,然后期望发现异常的不良行为。
用户逐渐降低的隐私期待或许预示着,或早或晚,出于早期发现潜在恶意内部人目的的心理语言学分析,将为人所接受。但同时,该分析的使用应十分谨慎,且要征得用户清晰明确的知情同意。不过,INSA倡议的,其实是司法机构多年来一直寻求的东西:不是仅仅响应不良行为,而是能够预测之。
相关阅读