美国在防御架构上的努力

今年3月份，公安部破获了一起特大窃取贩卖公民个人信息的案件，案中京东泄露50亿条公民信息，包括京东和QQ上的物流信息、交易信息、个人身份信息等敏感信息。而犯罪嫌疑人却是京东网络安全部的员工，长期监守自盗，并与外部黑客长期勾结，是一起典型的内部威胁犯罪案例，对公民的信息安全、财产安全甚至人身安全造成严重危害。

      近年来，内部威胁盛行，并呈现有增无减的趋势，其破坏程度和影响范围也不断扩大，已经成为组织机构信息的重要威胁。并且，由于内部人员熟悉组织内部的管理制度、信息资源，实施违法或破坏行为所需的代价极低，如果没有有效的防御及监测手段，可以“神不知、鬼不觉”地窃取内部信息或者对信息系统造成致命的破坏。

美国重大内部威胁案例

       内部威胁行为非常隐蔽并且危害性强，即使是信息安全技术最发达的美国也受到其带来的多次严重影响。

➡2010年，美国陆军士兵曼宁，在驻伊拉克期间负责情报分析工作，利用职务之便非法下载大量美国政府的机密资料并转交给维基解密，披露了美军在阿富汗的空袭中打死无辜平民的录像，严重影响了美国的军事形象。

➡2013年，美国国家安全局（NSA）承包商雇员斯诺登，偷偷复制了一批机密文件后逃离美国，随后曝光了NSA“棱镜”大型监听项目，引起国际社会的愤怒，对美国的国家形象和一些重要科技公司造成了严重打击。

➡2015年，“新斯诺登”曝光了美国无人机暗杀项目背后的诸多机密，涉及美军在2011年至2013年间对阿富汗、伊拉克、也门、索马里等地发动空袭的决策细节，揭露了该项目超过90%是误杀，对奥巴马政府的反恐策略造成了负面影响。

➡2016年，希拉里的“邮件门”事件曝光了大量敏感邮件，并在竞选的关键阶段对希拉里的大选造成致命一击。

➡2016年10月，与斯诺登同公司的马丁被曝窃取了NSA开发的高度机密的计算机程序源代码，这些程序旨在用来侵入俄罗斯、中国、伊朗、朝鲜等国的计算机网络，虽然美国检方没有指认马丁外泄或出售手中的情报，但也引起美国相关部门的高度重视。

➡前不久，席卷全球的勒索软件攻击事件对150多个国家30万名用户造成严重危害，产生的损失高达80亿美元。其中WannaCry勒索软件所利用的“永恒之蓝”漏洞和Petya恶意软件利用的“永恒浪漫”漏洞均出自NSA的黑客武器库。而盗取并公开这些漏洞的则是神秘的黑客组织“影子经纪人”（Shadow Brokers）。美国调查人员认为，影子经纪人很有可能就是NSA前雇员，在今年的Black Hat 2017安全盛会上，威胁检测公司Commae Technologies创始人马特·弗西也认为影子经纪人是NSA的内鬼。

       这些内部威胁事件对美国国家安全、政府形象等均产生了严重的负面影响，其破坏力远超外部入侵所带来的危害。

       我们在前面的文章中介绍了美国经典的网络安全体系模型和架构（详见《美国网络安全体系架构简介》），这些模型和体系侧重于对机构的信息安全提供综合立体的全面防护，针对内部威胁，美国提出的比较有代表性的防御体系架构则包括ITSA架构和ITSRA框架。

 ITSA架构

       2009年，卡耐基梅隆大学的Jabbour等人提出内部威胁安全架构ITSA（Insider Threat Security Architecture）。该架构定义了安全策略（security policy）和防御机制（defense mechanism）两个概念。其中，安全策略是由系统参数及其取值范围组成的键值对集合，防御机制则是确保系统配置不会被非授权更改以致安全策略失效的一系列控制措施。

       ITSA架构的基本理念是：任何防御机制必须被完整的集成到被保护的系统中，并具备不可分离性，从而确保防御过程不被中断。基于此理念，ITSA架构如图1所示，主要分为三层：自主访问控制执行、集成自我防护能力和综合商业智能能力。这三层构成了ITSA架构的核心防御机制。此外，合规性（compliance）、安全审计（security audit）和威胁缓解（threat mitigation）贯穿整个架构，是实施自我防护的指导原则。

图1 ITSA架构

       以数据库保护为例，传统方法和ITSA方法分别如图2和图3所示。传统方法中，数据库管理员（DBA）具有对系统的超级权限，因此能够在没有任何约束的情况下对系统进行任意更改。而在ITSA架构中，系统没有特权用户，多个系统使用者共同掌握一个密码，每个使用者掌握部分密码。这样，只有当所有使用者的密码组合起来后才能构成完整密码，实施对系统的更改。通过将此机制集成到系统中，防止了以特权用户为突破口的内部威胁。

图2 保护数据库的传统方法

图3 保护数据库的ITSA方法

 ITSRA框架

      ITSA架构将安全架构的关注点从对抗外部攻击转移到了对抗内部攻击，但其最大的问题在于过分强调了各个层的独立安全控制，却忽略了层间的联动关系。2012年，CERT提出了ITSRA框架，通过建立横跨各安全层的安全措施联动来充分保障机构信息安全。

      图4展示了ITSRA针对内部威胁防御的基本思路，即：在内部威胁动机产生、行动展开，再到造成破坏的整个时间区间内，应持续收集并综合分析多种类数据，并在最佳时间点上采取积极措施，进行预防、检测和响应。

图4  内部攻击预防、检测和响应的时机

       基于此思路，CERT提出ITSRA内部威胁安全参考框架，如图5所示。该框架由四个安全层组成：业务安全层、信息安全层、数据安全层和应用安全层， CERT建议，组织机构应在每一层均部署实施相应的控制措施来防范内部攻击，并且ITSRA各层之间不是隔离或独立的，指标的相关性和对四层的联合控制应用是该框架的关键。

图5 ITSRA架构

       此外，CERT还提出了防范内部威胁的3个基本安全原则：授权访问、许可使用和持续监测。CERT认为，只有组织机构充分落实上述3条原则，才能有效控制内部威胁。同时，在组织机构应用ITSRA时，需基于描述状态转移的内部威胁攻击模型库对给定的攻击事件序列进行表征，并对每层的安全控制措施进行细化与定制，最终形成针对该类威胁攻击模型的ITSRA矩阵。表1给出了ITSRA矩阵的一个示例。其中，所有安全原则都需通过贯穿所有安全层的跨层联动来提供安全防护。

表1  ITSRA矩阵示例

总结

       随着信息安全技术的提高，外部攻击的门槛也越来越高，相对而言，内部威胁则逐渐增多，引起了国内外的广泛关注。美国对内部威胁防御的研究起步较早，不仅颁布了一系列的政策来应对内部威胁，还对多个研究计划进行持续的投入，文中所述两个内部威胁防御框架就是研究成果的一部分。但是，由于内部威胁行为难以区分，并且恶意行为在时空上的分布很广，同时分析时涉及大量的员工和信息，异常行为又往往隐藏在正常行为之中，导致检测和防御内部威胁非常困难。