我是一只内鬼

本文作者：雷锋网网络安全专栏作者，李勤我是一只内鬼最近，我好不容易找到了组织——内鬼家族今天培训，老大给我们讲了潜伏在世界各地的内鬼的故事虽然，这些内鬼都已经牺牲他们的故事才为人所知但这并不重要为了显示我们内鬼家族的强大，我要告诉你们这些故事有些人，一出生就被内鬼卖了一次是的，上海疾控中心员工贩卖新生儿信息事件就是我们干的我们还有潜伏在瑞士银行的，这个兄弟是一个交易员通过未授权交易造成 23 亿美元巨亏，而且他还成功隐瞒了 3 年这都不算什么我们还有一个兄弟潜伏在华尔街一家市值数十亿美元的金融服务公司，开发恶意软件窃取了有价值的源代码和加密密钥，而且直接访问了该公司核心业务的数据文件最近，我们还有一个英勇牺牲的 90 后妹子，潜伏到二手车信息服务品牌车鉴定，为他的竞争对手“查博士”(酷车易美)定期窃取运营数据、客户信息等商业机密我们能干的事可多了，泄露敏感数据，中断业务，在知识产权、经济财产上捞一把，搞点金融欺诈，让政企机构陷入法律风险，破坏数据完整性……彻底脱掉政企机构的业务系统所谓“安全”的帽子!--虽然， 2016 年 4 月以来，已经有公安带走了我们潜伏在个人信息行业的 270 多个兄弟但是，没关系，老大说，我们还有很多兄弟潜伏在政府机构、大大小小的企业里我可以偷偷告诉你，哪些人可能是我们的弟兄——反正你也抓不到我们有一些专门潜伏在这些地方的人——离职泄愤的高管、员工、IT管理员以及供应商雇员……我们还有外部的外援—— 黑客兄弟使用合法的身份与软件，比如机构内部的攻击者、窃取身份，以及中间人攻击有些人，甚至不知不觉成为了我们中的一员，他们虽然在正常授权下开展业务但无意识地进行了一些看似无害的违规操作，比如，擅自点击来源不明的恶意邮件链接，成功地给我们做了帮手还有，我们经常在不易察觉、感知的高风险和异常行为等安全死角偷偷活动……据说，有数据称，70% 的内部威胁是我们内鬼干的，30% 的威胁是我们的黑客兄弟干的但是，现在企业的人搞不太清楚状况，只把30%的钱花在了对待内部威胁上，70%的钱花在了构筑防火墙等外部安全上我只能偷着乐--现在，我发现，自己的工作越来越好开展了以前进不去的地方现在能进去了政企的网络边界在逐渐消失，越来越多的机构采用移动技术和全天候办公模式，因此越来越多的外部设备可以访问企业网络尤其是一些不靠谱的承包商，简直帮了我们的大忙我们可以拿着他们的权限大摇大摆的进入内网有些看上去有操作规范的组织也难不倒我们他们虽然制定了制度文档，但没有落实到技术手段上，仅仅是以权限的形式进行了限制这对我们来说，简直没什么难度我们只要有合法权限，潜伏一下，干点什么很容易的还有些机构根本不重视这些我们和黑客兄弟联手后，干点什么他们也没技术阻断我们还有些企业根本不知道他们有哪些需要防护的网络资产就像姑娘永远不知道自己的裙子有多少件所以，在 2016 年，我们家族在世界各地积极创收去年业绩达到了 4450 亿美元比上年增加了18%，全球97%的 500 强企业都被我们成功搞过更不要提那些没法估值的知识产权了--听说有人在竭尽全力要联合政企机构一起对付我们据说，他们搞出了一套“眼”“脑”“手”系统可以跟踪哪些人在哪些业务系统干了啥还能给不同用户进行风险定级并冷不丁地妨碍我们工作甚至可以追踪溯源找到我们他们还准备了两大核心武器对付我们高深莫测的老大告诉我们第一个武器是数据探针，可以收集访问各种业务系统、数据库、服务器的数据，对业务系统全盘摸底第二个武器会通过上面这些数据与用户行为分析，及时发现和定位高风险用户——也就是说，它会找到我们这些潜伏的内鬼!连我这种刚入门的小兵都嗅到了危险的气息果不其然我们付出了惨重的伤亡代价他们首先通知政企单位，确保人人都要遵守各种行业规定以及企业内部规定一个兄弟因为偷偷进行了高危、异常的业务行为被堵在了死角另一个兄弟更惨原本他偷偷获取了一些他没有的访问业务系统的权限但这些权限因为严格排查被拿走了没有了“钥匙”，我们的工作不好开展还有一个兄弟才开始做了做小动作，被这两个武器瞄准了后来，我们才知道对手通过数据关联、行为基线和机器学习一下就定位到了这个兄弟对手还把各个业务系统联结起来我们在一个地方稍微有所动作抓捕的人就在背后偷着乐老大交代，一定要重视这件事情，如果打听到哪些政企有这种“武器”，不要硬拼，走为上策!还有，看到武器背后的这两个人，一定要跑得更快(左： 360 企业安全集团副总裁梁志勇、右： 360 企业安全研究院首席研究员裴智勇)