公司内部员工泄漏、盗窃、破坏公司信息已经成为了一个非常严重的网络安全问题。一家安全服务商说,它可以通过读取公司所有员工的电邮,来帮助工公司提前察觉“内部威胁”。
假设你在一家大银行,或者硅谷的一家软件巨头,或者一所政府机构担任安全官员,每天早晨,你都可以用一个软件进行查询:“截至昨晚,谁是公司里最心怀不满的人呢?把前10个的名字显示出来。”
埃里克·肖奥(Eric Shaw)是一名心理学家,长期在情报界担任顾问。他为网络安全公司Stroz Friedberg开发了一种软件,每天可以检查公司里数以百万计的电邮和短信,找出哪些员工对特定字词和短语的使用率比较高——语言心理学家把这些词语和一定的心理状态以及性格类型联系到一起。肖奥说,你可以询问哪些员工在“心怀不满”方面得分比较高,也可以自己亲自查看一下这些电邮。
以谴词用句方式为线索
很多公司现在已经可以对员工的电邮进行关键字搜索,寻找令人担忧的单词和短语,比如“贪污挪用”和“我讨厌这份工作”等等。但Stroz Friedberg这个叫“侦查员”(Scout)的软件却希望走得更远:通过员工在无意识之中使用的句法和语法,间接检测出雇员的愤怒情绪,以及经济上或者个人生活中承受压力的状况,以及其他预示某个员工可能会铤而走险的线索。
例如,这个软件在衡量员工心怀不满的程度时,会使用基于语言的算法,找出和伤害、愤怒和指责有关的遣词用句方式。比如异常频繁地使用“me”(我)这个词,“为什么是我?”“你怎么能这样对我?”肖奥说,异常频繁是指超过平均水平好几个标准差。
还有另外一些词语,它们的高频率使用也暗示着愤怒的情绪,比如“no”“never”。大量使用“very”“so”这样的状语增强词也是一个线索。
闹情绪并不是违法行为。但是,今天的失意工人,明天有可能会采取破坏数据的行动,带来上亿美元的损失。“侦查员”软件的卖点是帮助企业防止内部威胁,比如一些员工犯下欺诈或贪污罪行。还有另外一种情况,就是员工和承包商在在离开公司的时候,会窃取知识产权或其他机密数据,破坏公司的信息技术体系,或者是威胁说:如果不给钱,他们就会这么做。这种职场暴力状况正在越来越多地引起大家的关注。
爱德华·斯诺登2013年曝光大量机密的事件,就是一个令人瞩目的例子。
内部威胁并不少见
CSO杂志、美国特勤局、普华永道和软件工程机构CERT(CERT是美国国防部资助的网络犯罪研究中心,设在卡内基梅隆大学)联合进行的最新年度网络犯罪调查显示,针对公司和机构的攻击中,大约27%来自内部。在562名受访者中,大约有43%说,在过去一年里,他们的组织至少遭到过一次内部攻击。虽然这些攻击事件往往不会公诸于众,但近年已知的受害者就已经有摩根士丹利、AT&T、高盛与杜邦。
“内部威胁”现在已经足够充分认识到,他们针对的公司和组织,尤其是金融机构,如果没有采取足够的措施来防止攻击,可能就会遭受监管者的处罚。不久前,证券交易委员会就对摩根士丹利处以了100万美元的罚款,因为它们没能阻止一名财务顾问泄露73万个客户账户的行动,虽然是摩根士丹利自己抓住了这个员工,并将此事上报了证交会,而且后来这个员工也确实被判有罪。
有很多愤怒和消极的电邮涉及员工自己的婚姻冲突,这往往不是公司需要关注的事情,所以“侦查员”软件使用和工作有关的词语(比如“炒鱿鱼”、“离职”、“root访问权限”)作为过滤器,你可以选择只跟踪包含此类词语的电邮。
“侦查员”软件使用了大约个60算法来跟踪约1万个词汇,不过这些词汇可以根据不同的客户进行微调。其中大约50个算法是针对内部威胁的。其余的可以有多种用途,比如检测办公室内部纷争,评估管理者,识别新的潜在领导者。“侦查员”通常向客户提供服务合同,由外部承包商(肖奥负责管理他们)来解释跟踪的结果。
四种类型的工具
网络安全专业人士已开发了一系列打击“内部威胁”的技术工具,这些威胁包括数据盗窃、欺诈和破坏行为。总的来说,这些技术工具可以分为四种类型:
SIEM:这是“安全信息和事件管理”的缩写,指监测一家公司的安全软件和设备所产生的所有数据。信息管理器用来存储信息,供以后研究;事件管理器可以创建数据流,让工作人员可以进行实时跟踪。SIEM厂商包括惠普、IBM和Splunk。
数据丢失防护(DLP):这种技术的作用是发现并阻止未经授权擅自移动敏感信息的行为。EMC(很快就属于戴尔了)的网络安全部门提供DLP服务,其他广泛使用的产品还包括Comodo的MyDLP,免费和开源的OpenDLP。
行为分析:这是个新兴领域,它把数据处理和机器学习结合起来,查找内部威胁和有问题的帐户。每当有人的行为超过规定的标准偏差时,分析工具就会打上标识。提供这种分析产品的公司包括Rapid7、RedOwl和Securonix。
活动监测:比如,当一个雇员把属于“公司宝贵资产”的文档的数据标签删除时,就会触发监测工具,开始录制他的键盘输入动作,捕捉屏幕截图,禁用他的对外电邮通信。雷声公司和Digital Guardian可以提供这类活动监控工具。
解决棘手问题的开明方式?
Stroz Friedberg聘请斯科特·韦伯(Scott Weber)来管理公司业务。韦伯以前曾是律师事务所的合伙人,并在大数据公司Opera Solutions负责过政府业务。“‘侦查员’不是决定性的判定,”韦伯说。“它不会说,卡罗琳明天来上班的时候就会盗窃数据,或者说,斯科特的即将在职场实施暴力行为。”
韦伯举了一个例子:“侦查员”软件曾经检查了来自6.9万个发件人近5100万封电邮和短信,这是一个政府机构的全部数据。结果仅仅标识了137个发件人的383条消息,占整个数据集的0.0008%。
关于隐私问题,韦伯认为,“隐私正是遭到威胁的东西。不法者入侵人们的网络,阅读并复制人们的东西,打开人们的麦克风或摄像头,这些都是巨大的侵犯隐私。”
所以,Stroz Friedberg表示,“侦查员”是用来解决一个严重、棘手的问题的开明方式:“你必须做点事情,来避免灾祸的发生。但是你要负责任地做到这一点。”
自学小组 http://www.zixuexiaozu.com/