內(nèi)部人威脅可能是最難以檢測和控制的安全風(fēng)險了,而對內(nèi)部人威脅的關(guān)注也上升到了出臺新法案的地步——2017年1月美國國會通過《2017國土安全部內(nèi)部人員威脅及緩解法案》。
該法令要求國土安全部(DHS)建立內(nèi)部人員威脅計劃,包括培訓(xùn)和教育,以及執(zhí)行內(nèi)部威脅風(fēng)險緩解行動。不過,條文里倒是沒解釋這些“緩解行動”到底由什么組成。
其中一個難點在于,內(nèi)部人員的概念并不統(tǒng)一。包括通過被盜合法憑證成為“內(nèi)部人員”的遠程攻擊者,天真不設(shè)防的雇員,機會主義雇員,以及惡意內(nèi)部人士。所有這些當(dāng)中,惡意內(nèi)部人士是最難以攻克的問題。
傳統(tǒng)安全控制,比如訪問控制和數(shù)據(jù)丟失防護(DLP),有一點點微小的作用。最近幾年,這些方法有了用戶行為分析(UBA)的增強,使用機器學(xué)習(xí)來檢測網(wǎng)絡(luò)中的異常用戶行為。
Exabeam首席執(zhí)行官尼爾·頗拉克解釋稱:“行為分析是得到內(nèi)部人威脅真正洞見的唯一途徑。UBA能基于個人與同類的對比,告訴你什么時候有人在做不尋常且危險的事,它可以穿透噪音,給出真正有用的見解——任何想處理內(nèi)部人威脅的機構(gòu)都應(yīng)該密切關(guān)注UBA。”
漢弗萊·克里斯蒂安,Bay Dynamics 產(chǎn)品管理副總裁,倡導(dǎo)UBA與風(fēng)險管理的組合。他說:“如果對低價值資產(chǎn)下手,那就不成其為威脅了。異常行為如果在業(yè)務(wù)上說得通,那也同樣不應(yīng)該歸入威脅行列,比如被經(jīng)理批準(zhǔn)了的雇員行為。一旦識別出異常行為,管理受威脅應(yīng)用的人,必須確定自己是否給了該雇員對受影響資產(chǎn)的訪問權(quán)。如果答案是‘否’,就應(yīng)觸發(fā)警報加以調(diào)查了。”
本周,情報與國家安全聯(lián)盟(INSA)發(fā)布了一篇新論文,提出物理用戶行為分析應(yīng)更進一步,將依據(jù)常規(guī)行為模式設(shè)置的心理分析納入進來。這不僅僅是網(wǎng)絡(luò)上可接受行為的基線,還結(jié)合了工作場所內(nèi)外生活事件的心理影響。目的不單單是響應(yīng)已發(fā)生的異常行為,而是要未雨綢繆,能夠在事發(fā)前預(yù)測到惡意行為。
INSA的論文源于雇員不會突然決定變壞的觀察結(jié)果。惡意行為一直都是逐漸積累的不滿的大爆發(fā)。這種不滿既可以是工作上的,也可以是工作之外的。INSA的理論是,這種漸進式不滿的線索,能夠,也應(yīng)該,被技術(shù)檢測出來。機器學(xué)習(xí)和人工智能就可以做到。
該早期檢測可使經(jīng)理們干預(yù),乃至幫助掙扎中的雇員,預(yù)防重大安全事件發(fā)生。
工作場所中的不開心跡象如果以“反生產(chǎn)行為(CWB)”表現(xiàn)出來,倒是相對容易檢測。INSA稱,檢測并緩和有惡意內(nèi)部人傾向的雇員,有3個關(guān)鍵認(rèn)知:CWB不會孤立發(fā)生;CWB往往會升級;CWB甚少是自發(fā)的。
如果早期無害CWB可以在升級之前被檢測到,那么內(nèi)部人威脅緩解也就成功可期了。
在現(xiàn)有研究的基礎(chǔ)上,比如《精神疾病診斷與統(tǒng)計手冊》第五卷(DSM-5),INSA給出了壓力源與CWB的關(guān)聯(lián)表。舉個例子,低水平的情緒壓力可能引發(fā)反復(fù)拖延;更嚴(yán)重一點兒,就會導(dǎo)致欺負同事和不安全(危險)行為。
INSA的觀點是,雖然單個CWB可能會被經(jīng)理和HR忽視,但模式和壓力指征的任何升級,都是可以被機器學(xué)習(xí)算法檢測到的。這種類型的用戶行為分析,已經(jīng)不僅僅針對異常網(wǎng)絡(luò)活動,而是尋求在事發(fā)前識別出可能導(dǎo)致異常網(wǎng)絡(luò)活動的受壓用戶行為。
不過,這種方法也有局限:影響用戶工作的壓力源完全處于工作場所之外的情況。比如離婚、經(jīng)濟損失、家人生病。對此,INSA提出了更激進,但在工作場所內(nèi)外都適用的方法。
特別的,復(fù)雜的心理語言工具和文本分析,可以監(jiān)測雇員的通信,發(fā)現(xiàn)生活壓力源和情緒,幫助在轉(zhuǎn)化過程早期檢測出潛在問題。
該方法的理念就是,監(jiān)視并分析用戶的通信,包括推特和博客,積極和消極的詞匯都是查找對象。論文中給出了一個例子。“我喜歡食物……和……一起……我們……在……非常……高興……”這詞匯序列在推特、微博、微信上很常見,但‘和’、‘一起’、‘在’這幾個詞的使用,表現(xiàn)出了包容宜人的性情。
公平地說,INSA對第二個例子的誤用,給了懷疑者質(zhì)疑的理由。這第二個例子,是將美國政府秘密泄露給維基解密的上等兵切爾西·曼寧。INSA稱:“第二篇博客文章,證實該生活事件,并確認(rèn)了另外一個。‘關(guān)系終結(jié)/離婚’在每個生活事件中都被提到2次。”其含意是,對這篇博文的心理語言分析,本可以勾出曼寧生活中的壓力源,警示其雇主他可能會采取的惡意行為。
然而問題是,這被引用的章節(jié)并非出自事發(fā)前的曼寧博客帖子,而是來自2010年5月維基解密已經(jīng)開始公布機密文檔后,曼寧與拉莫的聊天記錄。這個案例中的語言學(xué)分析可能有助于解釋曼寧的行為,但卻對預(yù)警美國政府毫無幫助。
但是,重點在于,心理語言學(xué)分析是具備勾勒情緒狀態(tài)的潛力的,隨時間進程,凸顯出正從最初的小CWB升級到最終重大CWB過程中的個人,也不是不可能。問題就是,這真的有點令人毛骨悚然。這種詭異性也被INSA所承認(rèn)。
這些工具的使用需要特別特別小心,要保證個人公民權(quán)和隱私權(quán)不被侵犯。只有被授權(quán)的信息才可以在符合預(yù)定義策略和法律監(jiān)管的情況下被收集,且只能用于定義清晰明確的對象。絕不可以在缺乏斷言的情況下,使用隨機查詢和“如果”場景來審查具體個人,然后期望發(fā)現(xiàn)異常的不良行為。
用戶逐漸降低的隱私期待或許預(yù)示著,或早或晚,出于早期發(fā)現(xiàn)潛在惡意內(nèi)部人目的的心理語言學(xué)分析,將為人所接受。但同時,該分析的使用應(yīng)十分謹(jǐn)慎,且要征得用戶清晰明確的知情同意。不過,INSA倡議的,其實是司法機構(gòu)多年來一直尋求的東西:不是僅僅響應(yīng)不良行為,而是能夠預(yù)測之。