从蛛丝马迹识别内部威胁 – 作者:中孚信息

随着组织信息安全机制的建立健全，外部威胁的攻击门槛不断提高，从一定程度上遏制了外部恶意行为，相比起来内部威胁的表现形式更加隐蔽、危害程度更大，防范内部威胁正成为组织信息安全管理的重中之重。

  Verizon《2020年数据泄露调查报告》发现，2019年30％的数据泄露涉及内部人员，泄露事件遍及所有行业，其中又以政府，医疗，金融和教育机构面临威胁最大，这些机构存储着大量可以出售的宝贵数据。Ponemon研究机构的《2020年内部威胁成本报告》指出，组织遏制一个内部威胁事件所用时间平均为77天，平均每年花费1145万美元。

一、内部威胁及其危害

无论是政府部门还是企业组织，其内部员工、业务合作伙伴或第三方供应商，都具备访问组织信息系统基础结构和业务数据的可能性，其中有些访问涉及有限的低价值常规信息，而另一些可能涉及最有价值和最敏感的数据。这种表面看似合规的访问方式很有可能演变为内部威胁，成为组织网络安全的最大风险之一。

·内部威胁主要来自哪里？

内部威胁的主要来源有三个：存在过失或疏忽的组织用户、恶意内部人员和用户凭证盗窃，这里可以扩展到合法访问组织敏感数据的任何人——员工、系统管理员和第三方承包商等，他们都有可能滥用访问权限进行内部攻击。

·为什么内部威胁危害较大？

内部人员在大多数情况下不会发生恶意行为，因此针对内部人员的异常行为检测难度比检测外部攻击更难，这种检测机制的缺失会造成组织数据安全的巨大隐患；危害大的另一个原因主要是内部人士知道组织网络安全中的弱点，同时可能了解敏感数据的位置和性质，进行系统破坏或窃读数据的成功率更高。

·为什么内部威胁检测难度大？

内部人员可以合法访问组织的数据，并且将大部分时间用于执行常规工作，即使存在违规行为，也很难发现。传统网络安全工具一般通过阈值来判断违规事件的发生迹象，一旦某种事件发生次数超过阈值，就会产生告警。内部人员进行数据盗窃等情况时会针对这种特性，采用少量、缓慢、低频行为进行违规操作，例如每天通过电子邮件泄露少量数据，要识别此类威胁，需将这种模式识别为需要调查的重复行为，进一步加以鉴别。因此真正检测发现恶意内部攻击需要很长时间，通常在组织面对严重的威胁后果时才变得明显。

二、内部威胁模型概述

早期模型都从内部攻击者的角度入手，其分析目的在于获取攻击者成功实施一次攻击所需要具备的要素，其中的主观要素包括动机、职业角色、具备的资源访问权限以及技能素养等，客观要素则包括目标的内部缺陷的访问控制策略等，由于此类模型多从用户的静态画像角度开展，通过对行为动机、心理因素等内在特征进行研究，因此被称为用户特征模型，又称为主体模型。

用户特征模型更关注利用心理学和社会学等技术手段，监控并分析内部人员的心理状态变化，这种方法从一定程度上可以预测内部人员是否具有恶意意图，采用一定手段规避下一步恶意行为的发生，从而防患于未然。

后期以用户行为习惯、行为偏好为研究内容的模型越来越多，这种模型被称为用户行为模型，又称为客体模型。行为分析模型主要通过深度解析历史记录中的用户行为数据形成用户行为特征，然后和用户操作的实时数据作对比，就能够识别出恶意的用户行为，并提出预警。

用户特征分析和行为分析可互为补充，协同工作。但无论哪种模型都无法脱离“人”这个研究主体。即使存在少部分模型从网络流量、系统调用关系等角度进行研究，最终也要以“人”为单位对研究内容进行划分，定位追踪“人”的违规问题，无法完全脱离“人”的束缚。

三、内部用户特征模型

上世纪80年代，内部威胁的关注点主要聚焦系统安全策略与访问控制机制上。美国国防部就在可信计算机系统评价准则TCSEC中加入访问控制机制，限制了外部用户，还限制不同内部用户的访问权限，该机制的出现对于内部威胁概念的形成意义重大。上世纪末最具代表性的研究成果是1996年6月美国国防部启动的内部威胁削弱计划“DoD Insider Threat Mitigation Plan: Final Report of the Insider Threat Integrated Process Team”，该计划针对内部人员的特点、内部威胁的特点、危害等方面开展了研究，然而由于该计划对内部人员的定义准确性不够、对解决内部威胁的困难程度意识不够等缺点的存在，使其缺乏真正实施的现实意义。

基于上述问题，该领域研究开始集中于对内部用户特征模型的构建，比较著名的模型有SKRAM模型与CMO模型。

（1）SKRAM模型

1998年，D.B.Parker提出了SKRAM（Skills, Knowledge, Resources, Authority, and Motives）模型[1]。

Donn B. Parker是美国信息计算机安全和犯罪方面的高级信息系统管理顾问和研究员，为美国国会和州立法机构以及政府机构提供有关信息安全的咨询，同时也是SRI International的国际信息完整性协会的创建者，为60家大型国际公司提供持续的咨询服务。

Parker认为，当考虑在组织中实施新的网络安全战略时，信息安全专业人员应该评估那些可能对组织发起攻击人员的潜在特征，特别是技能、知识、资源、权威和动机(即SKRAM)这五个关键要素。

图3 Donn B. Parker提出的SKRAM模型

其中，技能与潜在攻击人员发起特定网络犯罪的技术、专长和能力有关；知识是指嫌疑人对不同攻击方法和工具以及对潜在目标信息系统的了解程度，随着时间的推移，嫌疑人可以通过非正式或正式的培训和协作获得技能和知识；资源是指嫌疑人可以获得的时间、金钱、硬件、软件和其他类型技术手段等，使他们能够借此发起犯罪行为；权限涉及嫌疑人对设施或信息系统的访问授权范围；最后，动机是指嫌疑人参与网络犯罪背后的潜在原因，事实上，Parker认为网络罪犯参与各种网络犯罪的动机可能有很大不同，包括探索计算机技术的愿望、参与非法活动的兴奋感、报复心理、意识形态或金钱收益都有可能使驱动其犯罪的因素。考虑到这五个关键因素之间的相互作用，Parker认为SKRAM模型所描述的风险可能随着时间的推移而发生变化。

SKRAM模型有助于识别组织的潜在风险，但它也存在两个主要问题：首先，它没有考虑到个人层面的因素，例如个人性格、自控能力等因素，这些因素往往是个人参与网络犯罪行为和犯罪的前因。第二，这个模型阐述了像报复、金钱收益、寻求刺激这样的因素是个人内部威胁犯罪的主要动机，然而简单的将动机归于这些原因并不完备，大量的犯罪学研究表明，个人犯罪的动机要么来自内部，要么来自环境，SKRAM模型并没有充分考虑这些内部诱发事件和环境等因素的作用。

（2）Frank的SKRAM风险评估模型

Frank提出了一个基于SKRAM的实用风险评估模型[2]，该模型有16个独立分值评判点，一个嫌疑人可以通过多种动机或在一个以上相关领域的技术熟练获得16分以上。中低风险嫌疑人风险评估值介于0至5分之间，中等风险嫌疑人的风险评估值介于6至11点之间，高风险个体的风险评估值介于12点以上。

Frank模型所包含的16个特定的风险评估标准中：

a) 标准1到3：这三个标准评判点直接衡量嫌疑人所掌握的技术技能集。

b) 标准4到6：涉及嫌疑人对攻击期间受损或使用的基础设施的了解。

c) 标准7到11：这四个标准用于评估嫌疑人对犯罪所涉及的系统和信息的访问权限。

d) 标准12至16。最后五个标准确定了嫌疑人实施犯罪的潜在动机。

这些标准评估值构成了评估嫌疑人实施特定信息安全犯罪可能性的调查基线。

表1 基于SKRAM的风险评估模型

评估项	基于SKRAM的风险评估标准	评判得分
1	嫌疑人使用攻击所需的技能	每使用一项技能得1分
2	嫌疑人展示了攻击所需技能的高级知识	每个专业技能得1分
3	嫌疑人受过攻击中使用的技术或方法的正规教育	每种技术或方法得1分
4	嫌疑人知道受影响的系统基础设施	如果是，得1分
5	嫌疑人定期使用受影响的系统	如果是，得1分
6	嫌疑人熟悉受影响系统的操作系统环境	如果是，得1分
7	嫌疑人可以直接访问受影响的系统	如果是，得1分
8	嫌疑人可以直接访问攻击所需的程序	如果是，得1分
9	嫌疑人对那些可能实施攻击的人有管理作用	如果是，得1分
10	嫌疑人知道拥有执行攻击所需的权限安全访问权限	如果是，得1分
11	嫌疑人了解受影响的系统网络环境	如果是，得1分
12	嫌疑人从攻击中获得可识别的金钱利益	如果有，得1分
13	嫌疑人对目标系统的所有者有可识别的不满	如果有，得1分
14	嫌疑人对攻击造成的损失没有表现出担忧不满	如果是，得1分
15	嫌疑人计划离开目标系统的公司机构	如果是，得1分
16	嫌疑人以前有行为问题违反组织规范	如果是，得1分
总分

（3）CMO模型

Wood.BJ提出可以从多种特征来描述内部人员的CMO模型，最早该模型只包括三个因素，分别是能力（Capability）、动机（Motivation）和机会（Opportunity），他将一个系统定义为“某个相关管理领域范围内的整体网络”，研究目标定义为“系统中易受恶意内部人员攻击的部分”。后期Wood对CMO模型进行了扩展[3]，其所描述的内部人员特征与Parker模型中的特征部分重叠，包括:访问、知识、特权、技能、风险、策略、动机和过程，具体内容如下。

·系统访问情况

描述内部人员可以不受限制地访问哪些系统组成部分。同时应考虑某些特殊情况，例如，哪些内部人员可能绕过系统外部防御或者从内部发起攻击，又或者有哪些内部人员了解系统安全防御系统，可以突破系统的外部防御而不会引发告警。

·知识

描述内部人员对系统和目标了解的程度。具体来说，内部人员可能会不受限制地访问关于目标和系统的很多文档，并在不引起怀疑的情况下收集情报。特别地，有些内部人员是极少数了解关于目标的准确、详细信息的人。

·特权

描述内部人员获得进行攻击所必需的权限。尤其是需要搞清楚哪些内部人员发起攻击并不需要root或管理员访问权限，或者其本身可能已经拥有对目标的特权访问权限，明确其具体可能的访问范围、渠道和风险。Wood认为也可能会发生这样的情况，某个内部窃密者只是收买或利用了具有发动攻击所需特权的人，还有可能是负责监控或在目标或系统上实施安全策略的人自己发起了攻击。

·技能

描述内部人员所拥有的能够发起内部攻击的技能。经调查统计，大部分恶意内部人员不太可能对不熟悉的目标开展攻击，相对来讲内部窃密者实际上更可能是系统某些部分的领域专家。

·风险

用来描述发起攻击的内部人员可能会规避的风险。内部威胁最终的失败一般都是在攻击者发起攻击前被发现。为规避风险，通常会对攻击者的规避风险行为存在一些设想，例如内部人员通常独自工作，而且可能在同事不知情的情况下与其合作发起攻击等等。

·战术

对手使用的战术策略完全取决于攻击的目标，常见的策略是“植入并运行恶意软件”。在这种情况下，内部攻击者可能会植入恶意代码后离开现场，在攻击发起时对攻击进行远程控制。

·动机

典型的内部攻击者试图在组织内部施加某种不利影响，利用这个来达到干扰系统运行、经济勒索或者破坏目标系统运行等目的，也可能是为了某些个人动机，例如炫耀其技术或者报复等目的。

·过程

内部攻击遵循一个基本的、可预测的过程。首先是产生发起内部攻击的动机（动机可能是内生也可能是外部诱发的），在此基础上识别攻击目标（确定要破坏的系统、窃取的数据等），在识别目标之后，计划内部攻击操作（方式、工具和手段以及窃取数据后输出的途径等等），最后发起内部攻击。实际攻击发生后，罪犯可能还有很多后续工作，包括:后果评估、即刻逃离、方便时逃离或重复操作、作案成功或被抓住。

四、用户行为模型研究

针对内部威胁中内部人员特征的研究，一定程度上可以辅助组织判定其可疑程度，但由于不同人在性格、思想和教育等方面本身就存在较大差异，这种差异并不是导致用户实施恶意行为的根本原因，因此无法单纯依靠用户特征确定其实施恶意行为的可能性。近年来的研究更多偏重于对用户行为模型的研究，在具体应用过程中增加了大数据和智能化的分析内容。当前代表性的工作分别来自于两个团队：美国卡耐基梅隆（CMU）大学的CERT内部威胁研究团队与英国Oxford的网络安全团队。

CERT内部威胁中心自2001年以来就一直在进行内部威胁研究。他们通过对内部威胁风险的研究和认识，希望找出影响内部人员采取行动的因素、恶意行为的指标和征兆，以提高组织面对内部威胁的生存能力，并制定相应的防护策略。CERT收集了美国所有关键基础设施部门发生的400多个内部案件数据库以及在美国的120多个国家安全间谍活动的数据库。这些不断发展的数据库构成了CERT的坚实研究基础，同时这些案件数据的收集和分析工作得到了美国特勤局、国土安全部、国防部等部门的资助。

（1）系统动力学研究

CERT的内部威胁工作被称为内部威胁风险的管理和教育MERIT（Management and Education of the Risk of Insider Threat），它使用CERT收集的大量经验数据来概述组织内部事件的复杂性，特别是政策、实践、技术、内部风险管理工作和组织文化随着时间的推移而产生的意外后果。作为MERIT的一部分，CERT内部威胁研究团队一直在使用系统动力学建模和仿真来分析内部人员对组织的信息技术系统构成的威胁。

系统动力学是一种随着时间的推移对复杂问题的整体行为进行建模和分析的方法，能够将所有产生和理解有问题的行为所必需的变量都包含在其中，通过分析这些变量来了解各种变量的变化对系统状态的变化产生的影响。

2012年CERT就内部人员知识产权窃取事件进行了系统动力学建模研究[4]，通过研究发现窃取知识产权的内部人员几乎总是窃取其工作职责范围内的信息，通常他们了解或部分参过相关研发工作，如果嫌疑人在知识产权研发小组担任领导者角色，他在离开组织前一个多月就开始窃取信息，辞职后一个月内也会窃取少量一些信息。

图4（a）领导者的数据窃取计划实施动态过程

图4（b）领导者数据窃取的可能性预测

（2）基于异常检测的内部威胁分析

组织信息系统内部和其他部门提供的各种数据（不仅是日志），有助于深刻理解内部用户正常活动(数据分析过程又称之为用户和实体行为分析UEBA)，基于这些数据的分析结果可以标识出任何超出正常范围的行为。应用统计数据模型和度量标准可以为内部威胁的异常检测提供一个全新的视角。依据检测中使用的方法，异常检测技术可以分为基于统计方法的异常检测、基于分类方法的异常检测、基于聚类方法的异常检测和基于关联方法的异常检测几个类型。

基于统计的异常检测——统计分析是异常检测最基础的分析方法，在早期的研究中得到了充分发展。其主要思想是利用正常样本数据中统计参数，对正常行为进行建模。随后，将待检测行为的数据参数与正常模型进行对比，以确定两者是否存在显著差异。如果偏差超过预设阈值，则判定为待检测行为异常。统计分析方法对领域知识要求较低，简单易操作，然而该方法无法应对攻击者伪装为正常模式的恶意行为。且预设阈值的确定，对模型检测效果具有十分明显的影响，组织需根据自身特点维持异常行为误报率与漏报率之间的平衡。常用的统计分析模型包括贝叶斯网络、（隐）马尔可夫链等。

基于分类的方法——分类方法是一类有监督的机器学习方法的统称，属于数据挖掘任务中的预测方法。通过对已有数据进行分析，对正常模式进行建模，该模型可根据部分数据特征将带检测数据映射到某一目标类别中，实现对待测数据的预测。分类方法基于正常行为与异常行为某些特征存在明显差异的假设，将异常检测转化为二分类问题。通过使用有标记的数据集训练分类器，随后可以利用分类器对异常行为进行判定。常用的机器学习分类算法包括决策树、随机森林、支持向量机等。

基于聚类的方法——聚类算法与分类算法存在明显差异，分类算法是指利用有标注历史数据进行模型构建的有监督学习算法，而聚类算法利用无标注数据中样本项之间的相似度进行类别划分的，属于无监督学习算法。样本项之间的相似度计算方法有很多，不同的数据类型对应的方法存在差异，常见的相似度计算方法包括闵可夫斯基距离、马氏距离、Jaccard 相似性系数、余弦相似度、Pearson 相关系数、Hellinger距离。聚类算法主要由基于层次的聚类方法、基于划分的聚类方法、基于密度的聚类方法等组成。

基于关联的方法——关联分析可以从狭义和广义两个角度进行分析。狭义上的关联分析通过挖掘发现大量数据中的隐式相关性，用关联规则描述数据项中出现的规则和模式。该方法分析数据项同时出现的概率和置信度，根据数据项同时发生的频繁度构建关联规则，反映数据中的模式。在异常检测过程中，把与关联规则不相符的行为认定为异常。常用的关联分析方法包括FP-Growth算法、Apriori算法等。广义的关联分析将与目标对象有关联的异构多源数据进行组合，弥补了单数据源无法提供充足信息的不足。在某些特殊情况下，仅依靠特定数据源，无法对正常行为进行完整的刻画，将多个不同领域的数据源进行融合，可以全面地对目标对象进行描述，从而提高异常检测的准确度。因异构数据的复杂性，具体的数据融合算法需根据实践情况进行确定。

目前机器学习算法应用于内部人员异常行为检测是这个方向的主流趋势。此类方法一般不需要创建大量策略或规则，同时通过不断修正模型参数可以使整个检测过程更准确，更节省工作量。

（3）基于Benford定律的异常流量分析

虽然内部威胁的识别主要是对用户异常行为的识别，但已知异常行为特征并不能覆盖所有威胁，无法识别未知威胁特征，同时创建基准流量配置文件并处理大量流量数据非常耗时，又无法覆盖所有场景，因此针对未知特征通常很难实现异常检测。针对这一问题，2020年12月，CERT的Emily Kessel 开展了Benford定律在内部威胁检测中的应用研究[6]，通过对网络流量数据的异常分析，检测异常行为。

Benford定律，也称为Benford法则，说明一堆从实际生活得出的数据中，以1为首位数字的数，其出现概率约为总数的三成，接近直觉得出之期望值1/9的3倍。推广来说，越大的数，以它为首几位的数出现的概率就越低。它可用于检查各种数据是否有造假。即在适合所有Benford假设的数据集中，数字应遵循前导数字的这种分布，其中最常见的是1，最小的是9。

图5 Benford定律各位数字的分布统计情况

图6 Benford定律各位数字概率分布

Benford定律结论有效必须遵循以下条件：数据必须是数字的、随机生成的，样本量足够大（样本数量大于3000），数据用来描述事物的大小。许多类型的数据都符合这些假设，包括人口数据、会计数据、包含用作标识符的数字数据（例如电话号码和社会安全号码），在违反了该数据是随机生成的情况下都能从Benford曲线进行判别。Benford分析在检测极有可能和不太可能的数据点时特别有用，因此它是对正常度和偏差的双重度量。

网络流量数据一般也符合使Benford定律结论有效所需的四个假设，Emily Kessel认为此时利用Benford曲线可以避免基于基线的异常检测工作面临的难题，任何偏离Benford曲线的流量数据都可以视为异常。

一般来说，从网络流量可以获取到src_bytes、dst_bytes和bytes这三种流量特征数据：

a) scr_bytes是从源主机到目标主机的数据字节数；

b) dst_bytes是从目标主机到源主机的数据字节数

c) bytes是组合特征（src_bytes和dst_bytes特征和）

对于网络流量数据，src_bytes、dst_bytes和bytes这三种特征的正常类别和混合类别（如图绿色和红色曲线）与Benford曲线的拟合情况较好，而异常类别曲线（如图紫色曲线）与Benford曲线相比呈现较大差异。

图6 src_bytes、dst_bytes和bytes三种特征与Benford曲线的拟合情况

Emily Kessel通过一个数据泄露场景中应用的示例来说明Benford曲线在异常检测过程中的应用情况：

某科技公司联合创始人与他的合伙人发生争执，决定离开公司，他之前并没有大量下载过大型商业机密文件，但其拥有访问商业秘密并定期查看和使用文件的权限。后期其即使每天处理大量的上传和下载，他认为自己也没有露出什么迹象。但网络流量的度量通常遵循Benford曲线，因此尽管该联合创始人通常处理商业秘密并具有很高的网络使用率，但是他在正常网络活动中的意外增加却改变了公司网络流量中前导数字的分布，表明存在异常。检测网络活动统计分布变化的分析会触发可疑活动的警报。

五、见微知著，睹始知终

随着数据高价值时代的全面到来，组织对其核心业务运行及敏感信息关注度也越来越高。内部人员拥有读取、修改组织数据资产的权限，无论是恶意破坏或无意失误都会对组织造成损害。特别是蓄意的内部攻击隐蔽性强、破坏性大，直接威胁到组织核心利益，会对组织造成极大的危害。

根据对现有研究的分析来看，目前内部威胁检测实践中，全面构建用户的静态特征和动态行为画像，建立内部威胁异常检测机制，能够帮助组织见微知著，睹始知终，从蛛丝马迹预警和捕获内部威胁：

一方面以“动机”分析为切入点，从用户性格特征、工作状态、日常挫折等多方面着手，通过标签式用户画像等方法将多因素进行整合，有助于将与恶意员工行为动机高度相似的潜在用户突出，提前预警和干预；

一方面充分利用用户历史行为数据，通过日志数值化、向量化为全细节行为特征构建描述用户行为的数字化模型，充分挖掘行为背后的业务逻辑和用户习惯，为用户异常行为判定提供了有力依据。

基于上述用户特征与行为分析，持续有助于深入跟踪、监管和引导，将加强对内部威胁行为的预警，可降低内部威胁的发生率，减少内部攻击对企业造成的损失。

参考文献：

[1] D.B. Parker. Fighting Computer Crime: A New Framework for Protecting Information[M].New York, NY.USA: John Wiley&Sons, Inc.1998.

[2] Frank, S., (2003), Can S.K.R.A.M. Support Quantified Risk Analysis of Computer Related Crime?, In Partial Fulfillment of the Requirements in the Honors Research Class at the Rochester Institute of Technology, www.sparsa.org/research/QTAssess.pdf

[3] Wood, B., (2000), An insider threat model for adversary simulation, SRI International, published in Research on Mitigating the Insider Threat to Information Systems – #2 — Proceedings of a Workshop Held August 2000, National Defense Research Institute, p. 41-48, www.rand.org/publications/CF/CF163/CF163.pdf

[4] https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=9855

[5]https://insights.sei.cmu.edu/insider-threat/2020/12/benfords-law-potential-applications-for-insider-threat-detection.html

冯静 周春龙 李玲 / 中孚信息（北京）研究院

来源：freebuf.com 2021-03-24 14:27:11 by: 中孚信息