"攘外"勿忘"安内"--谈insider威胁研究

本文链接：https://blog.youkuaiyun.com/amh/article/details/172876

本文指出信息安全威胁来自内外两方面，但内部人员威胁研究易成空白。介绍了内部人员威胁加剧的现状及特点，阐述国际上对其研究的三个阶段，重点讲述第一次兰德会议，包括前奏活动、确定待研项目等，旨在引起对内部人员威胁解决方案的关注。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

赵战生，左晓栋

(中国科学院研究生院信息安全国家重点实验室，北京100039)

引言

媒体连篇累牍的关于黑客入侵的报道，在引导人们增强信息安全意识的同时，也把人们的注意力强烈地导向到重视防范来自外部的信息安全事件。这固然是重要的，但却是片面的。对信息安全保障的威胁，从来就来自"内"、"外"两个方面，而且外因通过内因起作用，堡垒最容易从内部攻破。尽管各种威胁列表中一般总不忘把"insider threat（内部人员威胁）"列入其中，但由于缺乏有效的内部人员威胁解决方案，甚至很少有这方面的研究项目，大多数人对内部人员威胁的认识仅限于泛泛的概念层面上，长此以往，对内部人员威胁的研究有可能成为安全领域的一项空白。为此，本文讨论了国际上对内部人员威胁研究的最新进展，希望能够引起研究界对内部人员威胁解决方案的关注，并藉此机会大声疾呼?quot;攘外"勿忘"安内"！

一、insider威胁向我们走来

特定的安全解决方案必然要针对特定的安全威胁，此所谓有的放矢。因此，几乎所有的系统介绍安全的文献中都会谈及各类安全威胁，而"内部人员威胁"则免不了是"座上客"。图一是美国国家安全局撰写的《信息保障技术框架》中对安全威胁的分类。

现在，在90年代初的资料中我们也可以找到专家对内部人员威胁的描述，但近来导致人们对内部人员威胁开始投入更多注意力的因素则来自于两个方面：

其一就是2001年上半年的美国联邦调查局汉森间谍案。作为FBI高级雇员的汉森，为前苏联和俄罗斯充当了15年之久的间谍，出卖了大量国家核心机密，并且在FBI严格的安全制度下游刃有余，他甚至可以随时阅览FBI的案件卷宗，判断其间谍行为是否已引起了FBI的怀疑。

汉森案震惊了美国朝野，余波至今尚未平息。安全专家们惊呼："我们从这次事件中得到的最重要的教训就是，大多数安全缺口是来自于内部，而非外部。"并且又一次重申："安全……首先--而且是最主要的，它是有关人和政策的学问。"

而对一系列计算机犯罪统计数字分析的结果，也促使了更多的人去关注内部人员威胁。

根据FBI和计算机安全学会(CSl)最近对359个公司的调查，在2000年由于非授权的内部人员对IT系统的访问和滥用，造成了这些公司超过5000万美元的损失。在这些公司中，有38％的公司在上一年度发生了一至五起内部人员职务滥用事件，而有37％的公司说他们不知道公司中发生了多少起同内部人员有关的安全事件。

国内外从事信息安全的专业人士，通过调查逐步认识到，媒体炒得火热的外部入侵事件，充其量占到所有安全事件的20%-30%，而70%-80%的安全事件来自于内部。从不同渠道来的统计数据略有差别，但就国内的情况来说，内部人员犯罪（或于内部人员有关的犯罪）一般占到了扑慊缸镒芰康?0%以上。只要略微统计一下本年度媒体批露的几次计算机犯罪事件，就不难发现这个趋势。

图一关键基础设┩餐?/p>

随着内部人员威胁的加剧，内部人员犯罪已经体现出了"危害大、难抵御、难发现"的特点：
(1)内部人员最容易接触敏感信息，并且他们的行动非常具有针对性，危害的往往是机构最核心的数据、资源等。
(2)一般说来，各机构的信息安全保护措施都?quot;防外不防内"，比如很多公司赖以保障其安全的防火墙对内部人员攻击毫无作用，形同虚设。
(3)内部人员对一个机构的运作、结构、文化等情况非常熟悉，导致他们行动时不易被发觉，事后难以被发现。
因此，不管我们是以乐观还是悲观的心态来看待信息安全的现状以及未来发展，我们都可以意识到一个事实：insider威胁已经由威胁列表中的简简单单的一句话而变成了异乎严峻的现实，insider威胁正渐渐向我们走来。而我们却缺乏对其系统、理论的研究。

二、内部人员威胁研究的历史阶段

国际上对内部人员威胁注意得比较早，已经做了一些相对来说比较深入的研究。大体上，内部人员威胁研究可以分为三个阶段。

启蒙阶段

这一阶段的显著特点是，还没有明确提出"insider threat"的概念，但已经在安全策略的实施上有意无意地加入了内部人员控制手段。这其中最具代表性的是80年代美国国防部的TCSEC（橘皮书）中讨论的访问控制机制。访问控制机制紧跟鉴别机制的使用，显然，通过了鉴别机制后，访问者就已经属于内部人员，因此可以说它实现了对内部人员的分权制衡。现在看来，我们也许不会认为访问控制机制如何了得，但从"insider threat"的角度看，访问控制机制的意义是非常重大的。

意识阶段

对信息最敏感的部门非军方莫属，因此在历史上最早也是由军方开始对内部人员威胁给予注意的。但该阶段对内部人员威胁的研究只是处于概念意义上，没有出现成熟的想法，人们渴望问题得到解决但却感到一片茫然。最终也只是对内部人员的特征、危害等问题有了一定的意识和了解，为后续的研究打了一定的基础，这一阶段称?quot;意识阶段"。目前很多地方的研究也还只停留于此。

该阶段的代表性研究是美国国防部在意识到内部人员威胁是关键国防信息系统的最大威胁之一后，所启动的"国防部内部人员威胁减灾计划"。最终，国防部在1999年6月做出了报告：《DoD Insider Threat Mitigation Plan: Final Report of the Insider Threat Integrated Process Team》。但这份报告的缺点在于，把目光放在了短期行为上，希望以不长的时间、不大的代价来减弱内部人员威胁，因此在现实上对问题的解决很有限。并且，它对于内部人员的定义过宽，甚至延拓到了如微软、思科等供应商的全体雇员之中，理论意义大于现实意义。
初级研究阶段
近年来信息安全的概念已大大扩充，美国确立了"信息保障"的观念来处理关键基础设施保护。"内部人员"问题面对新的历史时期，新的观念、技术，在更高层次上再次得到了关注，我们称其为"初级研究阶段"。与前两个阶段不同的是，该阶段中人们已经开始了对内部人员威胁解决方案的系统研究，做了大量尝试。但由于"内部人员威胁"这一问题的复杂度，这类研究尚处于初级的水平。

由美国军方（包括国安局、副部长办公室等）发起，著名的兰德公司（RAND）公司（该公司是美国政府与军方的智囊团成员）出面组织的内部人员威胁研究系列会议（以下简称兰德会议）则是这一阶段的代表性成果。

兰德会议如今已召开两次（1999年8月16日至18日，2000年8月30日至9月1日），每次会议的参加者均为40人左右，分别来自军方、研究界、工业界和政府等方面。这两次会议基本反映了当前内部人员威胁研究的最高水准，其研究思路、研究方法和研究成果具有很高的参考价值。

三、第一次兰德会议

第一次兰德会议名为"用以预防、检测和响应关键防务信息系统中内部人员滥用的研发活动"，会议的目的主要是建议和启动有关内部人员问题的技术研究项目，在更加基础的级别上解决内部人员威胁问题。

(一）前奏活动

兰德会议认为，在确定内部人员威胁研究的方向、重点和研发项目之前，需要一个使研发活动得以有效施行的环境，因此有必要在概念、政策等方面开展一系列的前奏活动。具体分为如下9项：

1．法律和执法机关应该对数据的分发、收集、维护、处理和存储有明确的方针和要求，以供研究界参照。

防范内部人员犯罪的途径之一是加强审计和取证工具的使用，但在研究界开发出有效的内部人员犯罪数据收集工具之前，需要借助法律和执法机关的力量，他们应对犯罪数据、审计踪迹等信息有明确的方针和要求。

2．需要清晰地定义"内部人员滥用"这一概念下需保护的"关键资产"。

确定关键资产是任何保护措施施行前的第一步，内部人员威胁研究也不例外。在确定关键资产的同时，也要明确，针对这些关键资产的何种行动能够被定性为"滥用"，因为同样的行为，如果由角色不同的人来实施，其性质是不同的。这为"关键资产的确定"这项工作提出了新的课题，而此前，这项工作并不涉及对"滥用"的判定（因为以往的关键资产确定工作针对的是外部威胁）。

3．需要清晰地定义什么是"内部人员"

对"内部人员"的定义其实是内部人员研究中的一大难题，与会者在讨论这个问题时开玩笑说，内部人员的角色就像变色龙的颜色一样易变。兰德会议为此颇费苦心，与会者提出了大量问题，并希望这些问题有助于使"内部人员"的定义逐渐明晰。

定义环境

物理访问-"空间边界"。"内部人员威胁"这一问题是否涉及对关键资产的物理访问？因为物理访问有时超越了信息系统的控制范围。
计算机访问-"逻辑边界"。怎样看待内部人员问题中的计算机保护边界（比如路由器、防火墙和保护性应用程序等）？
执法环境。为了使执法界对insider事件进行预备和响应，是否要有相关的规定和要求？

定义内部人员

正常的-反常的－有恶意的。内部人员的意图是什么？"正常的"内部人员的行为不会造成威胁。"反常的"内部人员的行为可能包括日常的错误。这些日常错误可能引起系统的削弱或隐私信息的无意泄露。"有恶意的"是怀有恶意企图的内部人员的行为。

新手-熟练的。内部人员具有何种级别的技能？包括他们的技能储备的数量和质量，检测灾难的知识等因素。

内在环境的知识。内部人员了解多少有关工作系统内部的空间或逻辑边界？会上讨论了内部人员对内部环境的各种程度的知识和了解。

固有的特权。什么是内部人员具有的物理和管理的特权？这同内部环境的知识相关。

密切的程度。要对内部人员之间的关系、他们的角色和特权以及他们同组织的密切度有充分的把握，这有助于更好地理解内部人员威胁。要区别永久雇员、临时雇员、外部人力资源、以前的雇员、系统开发人员等不同角色，以确定内部人员的机会、动机、技巧和系统脆弱性。

人-代码/硬件。内部人员是个体的人、软件、固件或硬件吗？与会者大量讨论了一个内部人员不必是一个单独的人。例如，恶意的代码被看作是一种典型的、普遍但拙劣的内部人员威胁。

经过这些讨论，兰德会议形成了下列一些认识（注意不是共识）：

"内部人员"可以基于技术管理角色（及每一角色所对应的信任关系）、在一个组织的控制域内所拥有的访问权限来刻画。
从三个方面可以区别内部人员与外部人员：（1）对内部的环境的知识；（2）攻击的速度；（3）访问性的容易度。

执法界与技术界对内部人员的认识是不同的。对执法人士来说，内部人员威胁涉及到授权人员对内部知识的运用，内部人员威胁与信任关系的破坏有关。而对技术人士来说，内部人员威胁是发生于安全边界（比如防火墙）之内的事件，能够影响一个组织或系统保护域之内操作运行的任何人都可称?quot;内部人员"。
软件代理/移动代码技术、多种信息技术的融合以及在修复千年虫问题中引入的新bug都属于非人类的"内部人员威胁"，一个组织的外部资源也可能产生"内部人员威胁"，比如"合作方内部人员威胁"。

此外，兰德会议还对导致国防部内内部人员威胁增多的原因做了分析，得出了初步结论，限于篇幅，这里不再讨论。
由此可知，针对区区一个内部人员的概念，与会者们就已经付出了这么多的精力，这种严谨的精神对我们很有启迪。

4．代价/获益分析非常重要
内部人士威胁解决方案的实施很有可能对系统的效率带来较大的冲击。因此代价/获益分析十分必要，而且这种分析必须在解决方案实施前进行。但内部人员威胁涉及的"代价"与"获益"均很难估计，这是一项全新的课题，为此兰德会议建议能有经济学家、组织研究专家以及其它领域内的研究人员参与进来，共同解决这一难题。

5．检测内容应该包括（但不限于）基于主机的信息
由于大多数安全针对的是外部攻击，因此注意力放到了外部接口和网络上，而内部人士威胁则不同，检测和监控系统应该关注内部的主机和客户机。

6．加速技术转化
长久以来，安全技术的研究和原型开发就与测试、评估以及配置、实施之间存在着巨大的鸿沟。而在内部人士威胁解决方案的研究中，时间已经不允许这种鸿沟存在，因此应加速内部人士威胁研究结果的转化。

7．存在大量非技术的内部人员威胁有效解决方案
兰德会议的工作组成员强调，虽然本次会议关注的是技术角度的研发活动，但存在着大量非技术的方案来对付内部人员威胁（比如培训、教育等措施）。

8．开发内部人员滥用案例研究数据库
为了指导研发活动和其他政策的执行，需要大量的关于内部人员滥用的目的、手段、熟练级别、成功度等准确数据。

9．需要有多种不同的措施，且这些措施要并行实施
与会者们认为，"深度保卫战略" 是非常重要的，一定要同时实施多种不同的措施，尽可能广地得到来自大量探测器以及保护系统的感应和信息，并能够协调和关联这些信息。与会者特别指出，在"内部人员威胁"这一特定的问题之下，也可以说完全没有"脆弱性"之说--因为内部人员拥有合法的身份，这与外部攻击完全不同。所以，人们不应该期望内部人员问题能够被彻底解决--充其量，只能通过保ぁ⒓觳夂拖煊Φ刃形梦侍饨抵磷钚〖侗稹?/p>

（二）内部威胁和脆弱性

"内部威胁和脆弱性"以及后面将讨论的"预防"、"检测"和"反应"是第一次兰德会议的重点，在每一部分之中，兰德会议均确定了相应的待研项目。
为了讨论内部人员威胁，研究者们从图二入手，逐步使"内部人员威胁"变得清晰。

图二信息系统安全事件的刻画

图二反映了事故（accident）、攻击（attack）和一次特别事件（event）的区别，并从动机、访问、技巧和工具的角度刻画了攻击者，揭示了当一次事件发生时，检测技术所担当的角色。正如该图所示，一个特定的威胁由四部分组成。

动机
实现动机的机遇
目标信息系统之中的脆弱性
利用脆弱性的技巧
任何威胁分析都至少应在一个约束机制下进行，那就是"冲击门限"--也就是说，要确定风险在什么时候大到了无法忽视的地步（即门限）。
兰德会议工作组在三种范畴内刻画了内部人员威胁：
能够"到达"（即暴露或风险）关键部件和敏感数据的程度以及与此相关的成本。
事件发生的频度和强度，以及检测的成本。
内部人员威胁对业务和技术的带来的冲击。

内部人员威胁至少与下列角色相关，每种角色相关的风险级别有所不同：

授权用户
CERT人员
网络管理员
系统维护人员
系统管理员
建筑物维修人员
信息安全官员
建筑物安全人员

基于如上的认识，兰德会议确定了下列与"内部人员威胁和脆弱性"有关的研究活动：

使内部人员攻击事件的结果同特定的内部人员威胁对应起来，开发响应式的配置控制工具
当一次内部人员滥用事件被检测到时，应该有相应的方法来确定事件所代表的威胁的性质和危害度。基于这些性质和危害度，有可能使用工具来自动化地对系统进行配置，作为事件的响应，从而使危害减至最小。
开发内部人员信任模型
"内部人员"事实上包含了各种各样的角色，要能够确定各个角色的信任度，并使这些不同的信任级别表示为机器可读的格式。
开发使非法结果能够与用户相映射的工具
当检测到系统异常时，它是否是由内部人员引起的呢？如果是，如何能够追踪到具体的用户？这里要求开发的工具就是用来解决该问题。
用以确定非法结果的"签名"
当滥用事件发生时，我们需要事件的"指示器"，否则，无以确认威胁的级别。因此，要基于案例研究和滥用可能性分析来开发非法结果的"签名"。

（三）预防

兰德会议在内部人员威胁的预防措施方面，建议首先要开发一系列的部件：

创建认证部件
认证是最传统、最基本的安全措施之一，但很多认证技术并不适用于复杂的系统或具有复杂交互作用的系统，内部人员甚至完全有能力对认证部件施以破坏，因此创建针对内部人员威胁的认证部件显得极为需要。这个部件必须适用于多级处理环境，且必须和使用者的密钥和令牌捆绑，此外，该部件要能够涵盖注销和恢复等行为。其性能和操作标准必须满足用户的需求，比如达到每秒1000次事务处理的能力。
开发访问控制部件
对内部人员威胁来说，访问控制机制是非常基本的手段。然而，不同以往，我们需要的是更加精致的访问控制来减少内部威胁的脆弱性，比如针对每一个文件、每一次事务或每一个包。--当然，这样的粒度也是昂贵的。除此之外，访问控制还要能够在不同的平台间操作。研究的目标还包括要减少访问控制管理和维护的成本以及开发出新类型的访问控制机制来减少可信内部人员面临的脆弱性。此外，什么人控制访问控制是首先就是一个内部人员问题，这个问题也要处理好。
为安全系统开发一个双向的可信路径
即使一个系统的完整性和认证问题已经得以解决，恶意的用户仍可以通过其它手段来获得系统特权--比如，恶意用户可通过欺骗图形用户界面来窃取登录名和口令。一个可能的解决方案是创建通往这个安全系统的确实的可信路径，这是一个安全体系结构中非常基础的一部分。
开发属性绑定部件
每一个特定的行为都应该同个人联系在一起。为此，水印或指纹技术将会扮演重要的角色。但需要指出的是，内部人员有可能直接去访问这类机制，从而使机制失效。一个可能的解决方案是在属性绑定机制中使用强加密。

（四）检测

兰德会议在对内部人员威胁的检测方面，建议启动的研究项目是：

开发轮廓，使之发展成一项技术
一个"用户轮廓" 包含可以从其他用户中区别这个使用者或者代理的特征信息（注意"使用者"一词可以涉及进程、命令、功能等）。
该轮廓可以包括这样一些信息：通常被访问的文件和进程；登录后通常使用的时间周期；击键模式以及很多其它的属性。使用这样的轮廓可能开发出针对在事发前未曾遇到过的非法行为的异常检测，而以前适用的基于签名的方法则对未知恶意行为无能为力。
检测应用的滥用
很多对"内部人员问题"有所关心的人通常只不过关注内部人员对数据的不当访问。而另外一个有用的内部人员滥用警示则是对系统中进程和应用程序的不当使用。这一点不应忽视。
提供对系统客体的使用进行跟踪的能力
非常有必要针对文件或程序等系统客体的使用路径开发审计踪迹。一旦怀疑出现了内部人员滥用，经由审计踪迹就能够调查出用户对系统对象的访问情况。
自动地识别关键信息
当代信息系统经常要收集上千兆比特的数据和信息，很多关键文件的的静态列表以及进程并不是一眼就可以看出关联性的。该项研究涉及到能够自动地识别一个系统中的关键信息。
制定系统设计原则，使可检测性成为系统的主要特征之一
检测一个内部人员的滥用是非常困难的。如果存在一种体系结构并且一个系统在设计时就专门考虑了滥用的可检测性，那么这项工作将变得很容易。
要能够检测出与物理访问有关的非授权变更
内部人员的一个重要特征是，他们通常持有对系统设备的物理访问（级别不等）。因此，他们可以造成系统的物理改变，例如在网络上安装另一个临时的客户机或主机计算机，变更电缆或调制解调器的插头，这些都是极为危险的行为。所以，实时地检测这些物理的改变是非常之重要的。

（五）响应

兰德会议在对内部人员威胁的响应方面，建议启动的研究项目是：

针对保密性增强的系统，比如使用了加密机制的系统，开发相应的监控技术，
很多信息系统中都已经采用了文件或数据加密等措施，这为监控滥用增加了不小的难度，尤其是当内部人员可以访问那些保密性增强机制时。因此有必要开发新的机制来对保密性增强的系统进行有效监控。
在系统中组织实用的自动系统响应功能
内部人员能够在片刻之间造成巨大破坏，故而应该在如此短的时间范围内及时地检测事件，从而快速阻止或减轻损坏的程度，这意味着要采用自动响应过程。问题是：如何在保持有效性反应的同时不引起副作用？特别是，如果内部人员知道有这样一个自动系统在使用，他能够用来伤害这个系统本身（比如他可以通过对自动响应功能的触发来削弱系统的性能）。如果系统开发者在系统中创建了与响应相关的能力，那么自动化响应的发起将非常容易。但与响应相关的能力包括那些呢？实施起来是否容易？为了在商用现成系统中引入这些能力，政府和军方需要提供那些激励机制？这些问题都是研究过程中要思考和解决的。
开发数据关联工具，包括针对内部滥用的计算机执法取证工具和可视化工具
为了在对一个潜在的或事实已发生的滥用事件进行响应，有必要将来自多种源头的数据进行关联和分析，而且要捕获和存储用以计算机执法的相关数据，还要对复杂模式进行可视化，这样才可以对一次滥用事件获得全面的理解，有利于对其做出反应。但现在这样的工具极为缺乏。
提供用来对非网络化的部件进行监视的能力
不是所有的信息系统部件都是在线的或利于查询相关数据。电话记录、考勤卡、各种硬件设置等等都同响应有关，但来自这些源头的数据难以关联和融合，现在极为需要能够实时收集这些数据的手段。
考虑可适用的欺骗技术
"兵不厌诈"，欺骗技术在军事操作中--不管是进攻还是防御--长期扮演着关键的角色。在内部人员威胁研究中，欺骗技术有助于从更多的角度认识内部人员滥用的各个方面，特别是恶意内部人员的兴趣、意图以及人们在理解和使用系统设备时的熟练程度。这项研究的重点在于，要适当地使用欺骗技术，以获取对恶意内部人员属性的了解。

设计内部人员威胁研发项目是第一次兰德会议的重点，但这些研究项目并不是很成熟的，只是初步的想法，而且，有些研发项目实施起来困难重重，比如对欺骗技术的研究（该项研究在军方的背景下更有意义）。但我们可以看到，所有这些项目在制定时是经过了深思熟虑的，每一个项目均就研究背景、研究目标、项目评审标准、对内部威胁的特殊意义、研究中可能存在的问题等内容作了说明（因篇幅所限，本文没有详细阐述），更为重要的是，这些研发项目把浮在上空的"内部人员威胁"概念转变为了可触摸的实际对象。相较于这些项目本身来，这一点更有意义。

在第一次兰德会议德基础上，第二次兰德会议取得了长足的进步，我们在下篇中将继续讨论。