我是一隻內鬼

本文作者：雷鋒網網路安全專欄作者，李勤

我是一隻內鬼

最近，我好不容易找到了組織——內鬼家族

今天培訓，老大給我們講了潛伏在世界各地的內鬼的故事

雖然，這些內鬼都已經犧牲

他們的故事才為人所知

但這並不重要

為了顯示我們內鬼家族的強大，我要告訴你們這些故事

有些人，一出生就被內鬼賣了一次

是的，上海疾控中心員工販賣新生兒資訊事件就是我們幹的

我們還有潛伏在瑞士銀行的，這個兄弟是一個交易員

通過未授權交易造成23億美元巨虧，而且他還成功隱瞞了3年

這都不算什麼

我們還有一個兄弟潛伏在華爾街一家市值數十億美元的金融服務公司，開發惡意軟體竊取了有價值的原始程式碼和加密金鑰，而且直接訪問了該公司核心業務的資料檔案

最近，我們還有一個英勇犧牲的90後妹子，潛伏到二手車資訊服務品牌車鑒定，為他的競爭對手“查博士”（酷車易美）定期竊取運營資料、客戶資訊等商業機密

我們能幹的事可多了，洩露敏感性資料，中斷業務，在智慧財產權、經濟財產上撈一把，搞點金融欺詐，讓政企機構陷入法律風險，破壞資料完整性……

徹底脫掉政企機構的業務系統所謂“安全”的帽子！

--

雖然，2016年4月以來，已經有公安帶走了我們潛伏在個人資訊行業的270多個兄弟

但是，沒關係，老大說，我們還有很多兄弟潛伏在政府機構、大大小小的企業裡

我可以偷偷告訴你，哪些人可能是我們的弟兄——反正你也抓不到

我們有一些專門潛伏在這些地方的人——離職洩憤的高管、員工、IT管理員以及供應商雇員……

我們還有外部的外援—— 駭客兄弟使用合法的身份與軟體，比如機構內部的攻擊者、竊取身份，以及中間人攻擊

有些人，甚至不知不覺成為了我們中的一員，他們雖然在正常授權下開展業務

但無意識地進行了一些看似無害的違規操作，比如，擅自點擊來源不明的惡意郵件連結，成功地給我們做了幫手

還有，我們經常在不易察覺、感知的高風險和異常行為等安全死角偷偷活動……

據說，有數據稱，70% 的內部威脅是我們內鬼幹的，30% 的威脅是我們的駭客兄弟幹的

但是，現在企業的人搞不太清楚狀況，只把30%的錢花在了對待內部威脅上，70%的錢花在了構築防火牆等外部安全上

我只能偷著樂

--

現在，我發現，自己的工作越來越好開展了

以前進不去的地方現在能進去了

政企的網路邊界在逐漸消失，越來越多的機構採用移動技術和全天候辦公模式，因此越來越多的外部設備可以訪問企業網路

尤其是一些不靠譜的承包商，簡直幫了我們的大忙

我們可以拿著他們的許可權大搖大擺的進入內網

有些看上去有操作規範的組織也難不倒我們

他們雖然制定了制度文檔，但沒有落實到技術手段上，僅僅是以許可權的形式進行了限制

這對我們來說，簡直沒什麼難度

我們只要有合法許可權，潛伏一下，幹點什麼很容易的

還有些機構根本不重視這些

我們和駭客兄弟聯手後，幹點什麼他們也沒技術阻斷我們

還有些企業根本不知道他們有哪些需要防護的網路資產

就像姑娘永遠不知道自己的裙子有多少件

所以，在2016年，我們家族在世界各地積極創收

去年業績達到了4450億美元

比上年增加了18%，全球97%的500強企業都被我們成功搞過

更不要提那些沒法估值的智慧財產權了

--

聽說有人在竭盡全力要聯合政企機構一起對付我們

據說，他們搞出了一套“眼”“腦”“手”系統

可以跟蹤哪些人在哪些業務系統幹了啥

還能給不同用戶進行風險定級

並冷不丁地妨礙我們工作

甚至可以追蹤溯源找到我們

他們還準備了兩大核心武器對付我們

高深莫測的老大告訴我們

第一個武器是資料探針，可以收集訪問各種業務系統、資料庫、伺服器的資料，對業務系統全盤摸底

第二個武器會通過上面這些資料與使用者行為分析，及時發現和定位高風險用戶——也就是說，它會找到我們這些潛伏的內鬼！

連我這種剛入門的小兵都嗅到了危險的氣息

果不其然

我們付出了慘重的傷亡代價

他們首先通知政企單位，確保人人都要遵守各種行業規定以及企業內部規定

一個兄弟因為偷偷進行了高危、異常的業務行為

被堵在了死角

另一個兄弟更慘

原本他偷偷獲取了一些他沒有的訪問業務系統的許可權

但這些許可權因為嚴格排查被拿走了

沒有了“鑰匙”，我們的工作不好開展

還有一個兄弟才開始做了做小動作，被這兩個武器瞄準了

後來，我們才知道

對手通過資料關聯、行為基線和機器學習

一下就定位到了這個兄弟

對手還把各個業務系統聯結起來

我們在一個地方稍微有所動作

抓捕的人就在背後偷著樂

老大交代，一定要重視這件事情，如果打聽到哪些政企有這種“武器”，不要硬拼，走為上策！

還有，看到武器背後的這兩個人，一定要跑得更快

（左：360企業安全集團副總裁梁志勇、右：360企業安全研究院首席研究員裴智勇）

本文作者：雷鋒網網路安全專欄作者，李勤

－－－－－－－－－－－－－－－－－－－－－－－－－

本文資料來自360企業安全4月25日發佈的《政企業務安全狀況分析報告》、360企業安全集團副總裁梁志勇訪談及360企業安全研究院首席研究員裴智勇的發言

關注雷鋒網宅客頻道微信公眾號（letshome），輸入“分析報告”，即可獲得完整報告