我们都对2013年美国塔吉特(Target)超市遭遇网络攻击事件记忆犹新:黑客窃取了约4000万顾客的支付卡号和约7000万顾客的个人数据。这一事件沉重打击了塔吉特:名誉扫地、利润大幅下滑、CEO和CIO相继离任。可能很多人并不知道:尽管黑客是外贼,但他们之所以能进入这一零售连锁公司系统,是因为使用了内部人员证书:证件持有者正是塔吉特的冰箱供应商。
网络攻击日益增多,塔吉特只是其中一例。来自外部的网络攻击已经引起了各界极大关注,比如无孔不入的知识产权黑客攻击,Stuxnet蠕虫病毒以及东欧黑客集团的恶意滋扰等。但相关企业或内部员工造成的网络攻击威胁更大,而且内鬼的危害要比外部黑客攻击严重得多,因为内鬼更容易进入系统,作案机会也大得多。他们造成的损失五花八门:操作中断、知识产权遗失、名誉受损、投资者和顾客信心下跌、以及将敏感信息泄露给第三方,包括媒体。据多个机构估计,每年美国至少发生8000万起内部攻击,实际数字可能会更高,因为很多攻击并未被报道。这些攻击每年造成的影响价值以百亿计。
很多组织承认,它们尚未有完备的安全措施来查找或抵御内部攻击。原因之一是,这些组织仍不愿承认这一威胁规模已如此之巨。
过去两年间,我们一直负责一个国际研究项目,其目的是大幅改善组织发现和抵御内部威胁的能力。该项目由隶属英国安全局军情五处的国家基础设施保护中心(CPNI)赞助,研究团队由来自牛津大学、莱斯特大学和卡迪夫大学的16名成员组成,包括计算机安全专家、商学院研究公司治理的学者、管理学教育家、信息可视化专家、心理学家和犯罪学家。
我们以跨学科方式研究所得的结论不同于通常的观点和做法(见“失效的常规做法”)。例如,很多公司目前的做法是:阻止员工使用工作电脑登陆与其工作不直接相关的网站,比如Facebook、交友网站和政治话题网站。我们则认为,公司应该给予员工网上浏览的自由,但要用常备安全软件监督他们的活动,从而得出与行为和人格有关的重要信息,便于查找隐患。我们在本文中将分享把内部攻击可能性降至最低的有效方法。
