本文出自

跨國界管理

跨國界管理

2014年9月號

小心駭客就在你身邊

The Danger from Within
大衛.厄普頓 David M. Upton , 珊蒂.克理斯 Sadie Creese
瀏覽人數:8469
  • 文章摘要
  • "小心駭客就在你身邊"

  • 字放大
  • 授課文章購買
    購買〈小心駭客就在你身邊〉文章
  • 個人收藏購買
    購買〈小心駭客就在你身邊〉PDF檔
    下載點數 10
公司網路安全最大的威脅,可能來自內部員工或生意伙伴。為此,公司必須採取包括所有層級的內部管理政策、防範網路釣魚、徹底篩選新聘員工、設計妥善的委外流程,並讓員工知道,公司會在法律許可範圍內監控網路活動。

眾所周知,美國連鎖零售商標靶百貨(Target)在2013 年遭受駭客攻擊,竊取約四千萬名顧客的簽帳卡號碼,以及約七千萬名顧客的個人資料。這次事件損害了公司的信譽,導致獲利暴跌,也讓執行長和資訊長丟了工作。但較不為人知的是,雖然駭客來自公司外部,卻是藉由公司內部管道入侵:他們利用一家冷藏設備供應商的身分認證資料進入公司系統。

標靶百貨不是單一個案,它反映了一個日益嚴重的現象。自公司外部而來的攻擊,吸引了相當多的關注,包括:中國猖獗的竊取智慧財產、電腦病毒Stuxnet,以及東歐的網路詐騙集團。然而,攻擊若是來自公司的直接員工和有生意往來的公司,則更具殺傷力。自家人更容易進入公司系統,攻擊機會也更多,因此,可能比外部的駭客造成更大的傷害。他們可能造成的傷害,包括:營運停擺、智慧財產遭竊、名譽受損、投資人和顧客信心直落,以及把機密訊息洩漏給媒體等第三方。根據估計,美國每年至少發生八千萬件公司自家人的駭客事件。但實際數字可能更高,因為這類事件經常沒有曝光。顯然,每年因此造成的損失,可達數百億美元。

許多公司承認,對自家人的駭客攻擊,他們仍沒有適合的偵測或預防措施。原因之一是,他們仍然拒絕承認這類危機的嚴重性。

過去兩年來,我們主持一項跨國研究計畫,目標是大幅改善公司發現和化解來自公司內部的威脅。這項計畫,是由英國安全局的國家基礎設施保護中心(Centre for the Protection of National Infrastructure)贊助,參與成員有16 位,包括電腦安全專家、研究公司治理的商學院學者、管理教育專家、資訊視覺化專家、心理學家和犯罪學家,這些專家服務於牛津(Oxford)、萊斯特(University of Leicester)、卡迪夫(Cardiff University)等大學。

我們採用跨領域研究方法得出的結果,挑戰了傳統的看法和做法(見邊欄:「常見的無效做法」)。舉例來說,現在有許多公司,不讓員工透過工作用的電腦,連上與工作沒有直接關係的網站,例如臉書(Facebook)、約會網站、政治網站。我們認為,其實公司應該讓員工自由造訪網站,但使用現成的安全軟體,來追蹤員工的動向,這樣便可獲得有關員工行為和性格的重要資訊,有助於偵測危機。本文提出我們的研究結果,分享一些有效方法,協助公司把自家人駭客攻擊的機率降到最低。

未察覺的危機

內部人員帶來的威脅,是以合法管道取得公司的網路資產,蓄意從事未經授權或惡意的行為,或者是不經意地使公司陷入險境。造成危機的人,可能是直屬員工(從清潔人員到最高階主管都包括在內)、契約承包商,或是提供資料和運算服務的第三方供應商。舉一個有名的例子,愛德華.史諾登(Edward Snowden)便是在美國國家安全局的一家承包商裡任職時,竊取機密資訊。一般的安全措施,是以邊界的入口控管為主,而不是已在系統內的人或內容。因此,公司自家人透過合法管道,便可不受偵測地進行竊取、干擾,或是毀壞電腦系統和資訊。

根據知名電腦安全設備公司伏爾米(Vormetric)的資料,54%的大型和中型公司經理人表示,偵測和防範自家人的駭客攻擊,現在會比2011 年更加困難。此外,自家人駭客攻擊的事件數目,或者占所有駭客攻擊案件的比率,都呈現上升的趨勢。KPMG(台灣的會員所是安侯建業聯合會計師事務所)指出,自家人攻擊占所有駭客攻擊事件的比率,由2007 的4%,增加至2010 年的20%。我們的研究也顯示,這個比率仍持續增加。此外,來自公司外部的駭客攻擊,也可能牽涉自家人有意或無意間的協助,標靶百貨事件就是一個例子。

危機增加三大原因

資訊科技領域的一些變化,是導致自家人駭客攻擊增加的因素。這些原因並不令人驚訝,而這正是關鍵所在:讓公司易於遭受內部攻擊的原因,平凡無奇且隨處可見。

資訊科技的規模和複雜度急遽增加

你知道是哪些人在管理你使用的雲端服務嗎?誰和你共用那些伺服器?那些伺服器的安全性如何?包括電話客服中心、後勤支援、清潔、人力資源、顧客關係管理等,這些外包服務的提供者值得信賴嗎?2005 年,花旗銀行(Citibank)在紐約的四位存款戶,被位於印度浦那(Pune)的電話客服專員詐取近35 萬美元。這些專員受雇於花旗銀行委外的印度軟體和服務公司,因而得知存戶的個人資料、帳號,以及識別密碼(PIN)。

現在,「黑暗網路」(Dark Web)的網站為數眾多,掮客肆無忌憚地兜售大量機密資訊。這些見不得人的網站出售各種資料,從顧客密碼、信用卡資料,到智慧財產都包括在內。掌握這些資訊的公司內部人員,往往願意以大幅低於市價的報酬,提供取得前述資訊的管道,因而促成了「網路犯罪服務業」。

員工把私人配備用在工作上

愈來愈多員工在工作上使用私人電子產品,往往因而不經意地讓公司暴露在風險中。我們和其他一些研究團隊都發現,公司的網路安全單位,追不上電子產品大幅增加而導致的危險。根據阿爾卡特朗訊公司(Alcatel-Lucent)最近的報告,在任何時刻,全球都有約1,160 萬個行動裝置中毒,而2013年時,行動裝置惡意軟體中毒的數目增加了20%。

這裡指的,並不只是智慧型手機和平板電腦,像隨身碟和電話記憶卡這樣簡單的設備,也可能造成威脅。我們研究團隊的成員,也是牛津大學網路安全中心副主任麥可.葛史密斯(Michael Goldsmith)說:「對公司攻其不備的最佳方法,就是在停車場發放印有公司標誌的有毒隨身碟。」他指的是2012 年荷蘭化學公司帝斯曼(DSM)發生的事。他說:「一定會有員工拿去用。」

2013年,二十國集團(G20)高峰會在俄羅斯聖彼得堡(Saint Petersburg)舉行。許多與會代表收到隨身碟和行動電話充電器,裡面被植入惡意軟體,以竊取資訊,這件事當時受到廣泛報導。在2008到2010 年,伊朗的鈾煉製設備遭到Stuxnet 病毒攻擊,根據報導,也是經由隨身碟進入並未連上網路的電腦。

其實,沒有人可以免於這種風險。

社群媒體盛行

公司的各種資訊,都可能經由社群媒體洩露,傳布全世界,而公司往往沒有察覺。也有人會透過社群媒體來吸收公司內部員工,利用他們取得公司資產。所謂的網路愛情詐騙(romance scam)已證實特別有效,過程是由精通此道的騙徒,在約會網站上佯裝熱烈追求某家公司的員工,騙對方透露機密資料。還有其他做法,像是利用從社群媒體取得的資訊,向員工施壓。還有其他的網路勒索的手法,例如,要求員工提供機密資訊,否則便刪除他在辦公室電腦裡的檔案,或是植入色情圖片。

他們為什麼這麼做?

根據一些政府和民間的研究,蓄意參與網路攻擊的公司自家人,動機五花八門,包括:賺錢、報復、渴望獲得認可和權力、被勒索、對公司某些人的忠誠,以及政治立場。

我們在研究當中得知一個例子,是2014 年發生在一家成長中的小型網路教育公司的事件,一位員工因為追求遭拒而展開攻擊。一位經理人向主管抱怨,說有一個系統管理人員不但送花到他辦公室、傳送內容曖昧的簡訊給他,還經常開車經過他家。那位經理人明確拒絕之後,系統管理人員開始毀損公司的教育影片資料庫,連備用檔案也無法倖免。公司開除了他,但他知道公司並未掌握到犯罪證據,於是便向公司勒索幾千歐元,威脅要公開公司安全堪慮的事,這會重創該公司即將進行的股票公開發行作業。如同公司內部人員犯罪的其他例子一樣,這次代價高昂的事件並未公諸於世。

和犯罪組織或激進團體合作的事件,愈來愈常見。現在,許多國家已組成電腦緊急應變小組(computer emergency readiness team, CERT),來防範這類和其他類型的攻擊行動。卡內基美隆大學(Carnegie Mellon University)的「電腦緊急應變小組內部威脅中心」(CERT Insider Threat Center)出版的2012 年報告《聚焦:惡意內部人員和組織犯罪活動》(Spotlight On: Malicious Insiders and Organized Crime Activity ),分析了150 個事件,其中16%是內部人員勾結犯罪組織。

其中有一個例子,是2012 年一個俄羅斯犯罪組織,從美國南卡羅萊納州稅務局竊取了380 萬筆未加密的銀行帳戶資料,並盜走將近四百萬美元的退稅。鑑識結果顯示,攻擊行動是由一個內部員工,點進了一個電子郵件的連結,讓犯罪組織取得他的身分辨識資料,因而得以進入該州的資料伺服器。

我們研究團隊成員之一的萊斯特大學心理學家莫妮卡.惠蒂(Monica Whitty),和其他許多人都認為,協助或參與網路犯罪的公司內部人員,都有一個或更多「黑暗三角」(dark triad)特質:權謀狡詐、自戀、精神病態。CPNI 在2013 年的一份研究,也支持這個看法。那份研究發現,內部駭客攻擊者通常具有下列特質中的一些:不成熟、自尊心低落、缺乏道德倫理、膚淺、幻想傾向、躁進和衝動、缺乏良知、控制欲,以及不穩定。

羅傑.杜羅尼奧(Roger Duronio)便呈現幾個上述特質。2006 年,他擔任瑞銀集團(UBS)財富管理系統管理人員時,利用惡意程式「邏輯炸彈」(logic bomb)破壞公司的電腦網路。杜羅尼奧原本就很擔心自己工作不保,當他預期得到五萬美元紅利,實際上卻只得到32,000美元時,更是勃然大怒。於是,他放空瑞銀股票,然後引爆「邏輯炸彈」,造成全美國瑞銀辦公室的兩千個伺服器當機,其中有一些長達好幾個星期無法交易。瑞銀直接的損失達310萬美元,未揭露的附帶損失更達數百萬美元。杜羅尼奧被判坐牢97 個月。

如何思考這類問題

管理來自公司內部的網路安全威脅,與管理品質和安全問題類似。過去這些問題是特定部門的責任,但現在,公司已無法預期每一個風險,因為科技環境非常複雜,而且不斷變化。因此,無論公司規模大小為何,主管都必須讓每一位員工參與其中。以下,是主管應該馬上採取的五個步驟:

步驟1:採取健全的內部管理政策

清楚界定內部人員必須做什麼、不能做什麼,以遏止有人因粗心、怠忽或錯誤,而招致風險。內部管理政策必須精簡易懂,讓每一位員工都容易了解、取得和遵守,而不是僅限於安全和技術人員。這些規定必須適用於組織所有層級的人員,包括高階主管在內。如何制定這類規則,可參考伊利諾州的架構,網址:www.illinois.gov/ready/SiteCollectionDocuments/Cyber_SOSSamplePolicy.pdf。

公司應提供內部人員工具,幫助他們遵守這項政策。例如,可以設計一些系統,每當有人嘗試登入包含機密資訊的子系統,電腦便會自動跳出警告訊息,然後詢問該人員是否獲得授權,如果沒有,就加以記錄和追蹤。

違反政策的人應該受到處罰。當然,出售顧客的個人資料、蓄意將惡意程式植入公司系統,這類嚴重違規的人員,應該要開除並起訴。初次違規且後果較不嚴重者,可給予警告,列入該員工的紀錄;這類違規像是把密碼告知信任的同事,讓他登入公司的系統等行為。

公司也應該幫助員工了解,如何安全地執行日常工作。資訊說明會和內部溝通活動,都可以強化政策,做法包括在辦公室張貼海報。有些公司會拍攝影片,呈現違反政策會如何招致網路攻擊,以及更安全的做法可以如何防範攻擊。

步驟2:提升網路安全意識

對可能發生的威脅採取公開態度,員工才能加以偵測,並提防任何人想利用他們的協助來進行攻擊。針對不同職務,量身設計防範駭客的訓練課程。網路釣魚(phishing)是常見的入侵手法,例如,以偽造的電子郵件,誘使員工分享個人資訊或登錄密碼,或是點選連結,而下載了惡意程式(許多人不知道,電子郵件的發送信箱很容易偽造)。公司也可以自行或雇用外部網路安全服務公司,來測試員工因應駭客攻擊的能力。

即使做了上述準備,公司內部人員有時仍很難抵抗頑強的外部攻擊。2013 年4 月,一家法國的多國籍公司,成為一樁聰明攻擊的目標。一位副總經理的行政助理收到一封電子郵件,其中附加了雲端檔案分享系統的發票。她知道不要打開這個檔案,但幾分鐘之後,她接到自稱是公司另一位副總經理的人來電,指示她下載,並處理那張發票,這次她照做了。結果發票檔案裡有木馬程式(Trojan),讓一群位在烏克蘭的歹徒,可由遠端入侵她的電腦、記錄她的鍵盤輸入,藉此竊取公司的智慧財產。

鼓勵員工一發現不尋常或被禁止的科技和行為,就應立即報告,就像在機場離境大廳發現無人看管的行李一樣。這類不尋常或被禁止的科技和行為很多,例如:在有些辦公室裡,通常員工是透過網路取得資料和軟體,但有人卻使用攜帶式硬碟;未經授權的員工或供應商,詢問機密資料檔案。

步驟3:聘雇員工時注意可能的威脅

使用篩選流程和面談技巧,來評估應徵者的誠信,這一點具有空前的重要性。例子包括:犯罪紀錄調查、履歷表是否做假,以及面試時詢問有關應徵者道德尺度的問題。我們的研究團隊正在設計一套測驗,好讓主管評估,應徵者是否有CPNI 提出的危險人格特質。

在面試過程中,公司主管也應評估應徵者的網路安全意識程度。他是否知道什麼是內部人員威脅?他在什麼情況下會和同事分享密碼?在什麼情況下,會出借他的電腦讓同事使用?如果應徵者在所有其他方面都實力堅強,主管可以雇用他,但一定要讓他立即接受訓練,以了解公司的政策和實務。然而,如果應徵的職位具有高度機密性質,就必須更加謹慎是否雇用他。

步驟4:採用嚴謹的委外流程

標靶百貨事件提醒我們,公司必須確定供應商和經銷商不會帶來風險,例如,盡量避免讓外部資訊科技供應商的員工,有機會開啟後門連接公司系統。如果供應商系統受損或違規的風險,比你公司小得多,它可能不會採行你要求的控管措施。尋求風險容忍度和組織文化與你公司相近的合作伙伴和供應商,這樣雙方較可能執行一致的網路安全措施。

討論委外合約時,詢問對方如何處理內部員工帶來的風險。如果已簽訂合約,就定期稽核,看對方是否真的持續依約執行那些做法。清楚向對方說明你會進行稽核,並明訂稽核的內容。公司可要求供應商沿用自家的控管措施,來要求供應商,例如:調查員工的犯罪紀錄;查核應徵者履歷的真實性;針對人員取得公司資料和申請進行未獲授權活動,進行監控;以及防止有人闖入機密性辦公場所。

步驟5:監控員工

讓員工知道,公司可以、也打算在法律許可範圍內,觀察他們的網路活動。你不能把網路安全的責任完全交給專家,一旦出事,後果你承擔不起。所以,你必須在日常當中,提高對進出你公司系統各種動作的敏感度。也就是說,你應該要求安全部門或服務供應商,定期進行風險評估,評估內容包括:威脅的來源、較易受到攻擊的員工和網路,以及萬一風險成真可能會帶來的後果。你還應該衡量降低風險的行為,例如,對警訊的反應時間。

通常,路由器或防火牆可以監看資訊對外流出的管道,但必須確認這些功能已啟動。如果公司沒有監看資訊流出的設備,就必須添購。其他資訊流出的工具,也必須登錄和監看,例如,隨身碟和其他可攜式儲存媒體、列印文件等。公司可不定點或甚至定點常設監控設備,例如像在機場那樣搜索進出辦公室的人員。奇異(GE)和惠而浦(Wipro)在印度班加羅爾(Bangalore)就有採用這個做法。

為使監控有效,你必須勤於管理所有員工的權限,包括對公司系統擁有最高權限的人,因為往往是他們教唆內部員工進行駭客攻擊的。你必須定期調整最高權限使用者名單,並仔細觀察名單上的人,確認他們是否真的值得信任。尋找內部威脅偵測系統,來預測可事先預防的事件,以及發現已發生的事件。巨量資料(big data)有助於連結各項線索,提出警訊。

惡意程式偵測軟體也可能有用,尤其是外部和內部人員聯手時,初期的重要步驟,就是在系統植入惡意程式。當你發現惡意程式,必須考慮內部人員駭客攻擊的可能性。分析惡意程式如何為人使用,可以提供線索,有助於找出攻擊者的身分及更大的目標。

上述的監控方法,會加重每個人的工作量,但藉由增強公司的承受力,並降低風險,這樣的辛苦是值得的。

讓員工重視網路安全

要解除來自公司內部的網路安全威脅,最有效的策略,就是使用現成的保護性技術,並修正它的弱點。但最重要的,還是要讓所有內部人員的行為,都能夠保護公司的網路安全。他們必須知道哪些行為是公司可接受的,哪些是無法接受的。提醒員工,保護公司就是保護他們的工作。

(黃晶晶譯自“The Danger from Within,”HBR ,September 2014)



大衛.厄普頓 David M. Upton

牛津大學薩伊德商學院(University of Oxford's Sa?d Business School)營運管理講座教授。


珊蒂.克理斯 Sadie Creese

英國牛津大學的網路安全教授,暨全球網路安全能力中心(Global Cyber Security Capacity Centre)主任。厄普頓和克理斯都是「公司內部威脅偵測」研究計畫(Corporate Insider Threat Detection)的主任研究員。


本篇文章主題風險管理