本文作者：雷鋒網(wǎng)網(wǎng)絡(luò)安全專欄作者，李勤

我是一只內(nèi)鬼

最近，我好不容易找到了組織——內(nèi)鬼家族

今天培訓(xùn)，老大給我們講了潛伏在世界各地的內(nèi)鬼的故事

雖然，這些內(nèi)鬼都已經(jīng)犧牲

他們的故事才為人所知

但這并不重要

為了顯示我們內(nèi)鬼家族的強(qiáng)大，我要告訴你們這些故事

有些人，一出生就被內(nèi)鬼賣了一次

是的，上海疾控中心員工販賣新生兒信息事件就是我們干的

我們還有潛伏在瑞士銀行的，這個(gè)兄弟是一個(gè)交易員

通過未授權(quán)交易造成23億美元巨虧，而且他還成功隱瞞了3年

這都不算什么

我們還有一個(gè)兄弟潛伏在華爾街一家市值數(shù)十億美元的金融服務(wù)公司，開發(fā)惡意軟件竊取了有價(jià)值的源代碼和加密密鑰，而且直接訪問了該公司核心業(yè)務(wù)的數(shù)據(jù)文件

最近，我們還有一個(gè)英勇犧牲的90后妹子，潛伏到二手車信息服務(wù)品牌車鑒定，為他的競(jìng)爭(zhēng)對(duì)手“查博士”（酷車易美）定期竊取運(yùn)營(yíng)數(shù)據(jù)、客戶信息等商業(yè)機(jī)密

我們能干的事可多了，泄露敏感數(shù)據(jù)，中斷業(yè)務(wù)，在知識(shí)產(chǎn)權(quán)、經(jīng)濟(jì)財(cái)產(chǎn)上撈一把，搞點(diǎn)金融欺詐，讓政企機(jī)構(gòu)陷入法律風(fēng)險(xiǎn)，破壞數(shù)據(jù)完整性……

徹底脫掉政企機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)所謂“安全”的帽子！

--

雖然，2016年4月以來，已經(jīng)有公安帶走了我們潛伏在個(gè)人信息行業(yè)的270多個(gè)兄弟

但是，沒關(guān)系，老大說，我們還有很多兄弟潛伏在政府機(jī)構(gòu)、大大小小的企業(yè)里

我可以偷偷告訴你，哪些人可能是我們的弟兄——反正你也抓不到

我們有一些專門潛伏在這些地方的人——離職泄憤的高管、員工、IT管理員以及供應(yīng)商雇員……

我們還有外部的外援—— 黑客兄弟使用合法的身份與軟件，比如機(jī)構(gòu)內(nèi)部的攻擊者、竊取身份，以及中間人攻擊

有些人，甚至不知不覺成為了我們中的一員，他們雖然在正常授權(quán)下開展業(yè)務(wù)

但無意識(shí)地進(jìn)行了一些看似無害的違規(guī)操作，比如，擅自點(diǎn)擊來源不明的惡意郵件鏈接，成功地給我們做了幫手

還有，我們經(jīng)常在不易察覺、感知的高風(fēng)險(xiǎn)和異常行為等安全死角偷偷活動(dòng)……

據(jù)說，有數(shù)據(jù)稱，70% 的內(nèi)部威脅是我們內(nèi)鬼干的，30% 的威脅是我們的黑客兄弟干的

但是，現(xiàn)在企業(yè)的人搞不太清楚狀況，只把30%的錢花在了對(duì)待內(nèi)部威脅上，70%的錢花在了構(gòu)筑防火墻等外部安全上

我只能偷著樂

--

現(xiàn)在，我發(fā)現(xiàn)，自己的工作越來越好開展了

以前進(jìn)不去的地方現(xiàn)在能進(jìn)去了

政企的網(wǎng)絡(luò)邊界在逐漸消失，越來越多的機(jī)構(gòu)采用移動(dòng)技術(shù)和全天候辦公模式，因此越來越多的外部設(shè)備可以訪問企業(yè)網(wǎng)絡(luò)

尤其是一些不靠譜的承包商，簡(jiǎn)直幫了我們的大忙

我們可以拿著他們的權(quán)限大搖大擺的進(jìn)入內(nèi)網(wǎng)

有些看上去有操作規(guī)范的組織也難不倒我們

他們雖然制定了制度文檔，但沒有落實(shí)到技術(shù)手段上，僅僅是以權(quán)限的形式進(jìn)行了限制

這對(duì)我們來說，簡(jiǎn)直沒什么難度

我們只要有合法權(quán)限，潛伏一下，干點(diǎn)什么很容易的

還有些機(jī)構(gòu)根本不重視這些

我們和黑客兄弟聯(lián)手后，干點(diǎn)什么他們也沒技術(shù)阻斷我們

還有些企業(yè)根本不知道他們有哪些需要防護(hù)的網(wǎng)絡(luò)資產(chǎn)

就像姑娘永遠(yuǎn)不知道自己的裙子有多少件

所以，在2016年，我們家族在世界各地積極創(chuàng)收

去年業(yè)績(jī)達(dá)到了4450億美元

比上年增加了18%，全球97%的500強(qiáng)企業(yè)都被我們成功搞過

更不要提那些沒法估值的知識(shí)產(chǎn)權(quán)了

--

聽說有人在竭盡全力要聯(lián)合政企機(jī)構(gòu)一起對(duì)付我們

據(jù)說，他們搞出了一套“眼”“腦”“手”系統(tǒng)

可以跟蹤哪些人在哪些業(yè)務(wù)系統(tǒng)干了啥

還能給不同用戶進(jìn)行風(fēng)險(xiǎn)定級(jí)

并冷不丁地妨礙我們工作

甚至可以追蹤溯源找到我們

他們還準(zhǔn)備了兩大核心武器對(duì)付我們

高深莫測(cè)的老大告訴我們

第一個(gè)武器是數(shù)據(jù)探針，可以收集訪問各種業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫、服務(wù)器的數(shù)據(jù)，對(duì)業(yè)務(wù)系統(tǒng)全盤摸底

第二個(gè)武器會(huì)通過上面這些數(shù)據(jù)與用戶行為分析，及時(shí)發(fā)現(xiàn)和定位高風(fēng)險(xiǎn)用戶——也就是說，它會(huì)找到我們這些潛伏的內(nèi)鬼！

連我這種剛?cè)腴T的小兵都嗅到了危險(xiǎn)的氣息

果不其然

我們付出了慘重的傷亡代價(jià)

他們首先通知政企單位，確保人人都要遵守各種行業(yè)規(guī)定以及企業(yè)內(nèi)部規(guī)定

一個(gè)兄弟因?yàn)橥低颠M(jìn)行了高危、異常的業(yè)務(wù)行為

被堵在了死角

另一個(gè)兄弟更慘

原本他偷偷獲取了一些他沒有的訪問業(yè)務(wù)系統(tǒng)的權(quán)限

但這些權(quán)限因?yàn)閲?yán)格排查被拿走了

沒有了“鑰匙”，我們的工作不好開展

還有一個(gè)兄弟才開始做了做小動(dòng)作，被這兩個(gè)武器瞄準(zhǔn)了

后來，我們才知道

對(duì)手通過數(shù)據(jù)關(guān)聯(lián)、行為基線和機(jī)器學(xué)習(xí)

一下就定位到了這個(gè)兄弟

對(duì)手還把各個(gè)業(yè)務(wù)系統(tǒng)聯(lián)結(jié)起來

我們?cè)谝粋€(gè)地方稍微有所動(dòng)作

抓捕的人就在背后偷著樂

老大交代，一定要重視這件事情，如果打聽到哪些政企有這種“武器”，不要硬拼，走為上策！

還有，看到武器背后的這兩個(gè)人，一定要跑得更快

（左：360企業(yè)安全集團(tuán)副總裁梁志勇、右：360企業(yè)安全研究院首席研究員裴智勇）

本文作者：雷鋒網(wǎng)網(wǎng)絡(luò)安全專欄作者，李勤

－－－－－－－－－－－－－－－－－－－－－－－－－

本文數(shù)據(jù)來自360企業(yè)安全4月25日發(fā)布的《政企業(yè)務(wù)安全狀況分析報(bào)告》、360企業(yè)安全集團(tuán)副總裁梁志勇訪談及360企業(yè)安全研究院首席研究員裴智勇的發(fā)言

關(guān)注雷鋒網(wǎng)宅客頻道微信公眾號(hào)（letshome），輸入“分析報(bào)告”，即可獲得完整報(bào)告

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。