從美國國防部看內部威脅的五大關鍵指標

五角大樓機密情報在社交媒體平臺Discord上泄露，一番審查之后，美國國防部（DoD）擬成立內部威脅辦公室監控雇員。

6月30日，美國國防部長簽發備忘錄，要求成立內部威脅與網絡能力聯合管理辦公室以“監督用戶活動監測（UAM）”。

盡管阻止內部人員泄露數據的任何舉措都可帶來潛在收益，但正如2014年美國國家安全系統委員會第504號指令所言，與UAM要求相關的問題才是重點。

簡而言之，當前的UAM數據要求不足以主動阻止內部風險演變為可致數據泄露事件的威脅。

昨日重現

聽聞“內部威脅與網絡能力聯合管理辦公室”，很多內部風險防范從業者可能都會產生似曾相識之感。這是有原因的。

我們不妨簡要回顧一下過往：

2011

維基解密（WikiLeaks）網站放出成千上萬份機密文件之后，時任美國總統奧巴馬發布第13587號行政令，宣布成立國家內部威脅特別工作組（NITTF）。

2014

華盛頓海軍造船廠槍擊案促使美國國防部成立國防部內部威脅管理與分析中心（DITMAC）。

實際上，美國國防部已實施多項舉措來整合自身內部威脅管理職能。但只要最終是出于國家安全利益的目的而保護機密情報，那需要解決的問題遠不止如此。

真正的問題：UAM數據要求是被動反應式的

美國國防部主動緩解內部風險的最大障礙在于所要求的UAM數據采集能力（充其量）是被動反應式的。

按照CNSSD 504的要求，每個行政部門和機構都至少應該具備五種采集用戶活動數據的技術能力。分別是：

1、鍵盤記錄

2、完整的應用程序內容（例如，電子郵件、聊天、數據導入、數據導出）

3、屏幕截圖

4、出于合法目的的文件跟蹤（即，跟蹤文件名稱和文件位置變更的能力）

5、將所采集的UAM數據追溯至特定用戶

截至2019年，具有機密信息訪問權限的人有420萬。上面列出的能力中有很多都依靠對員工的監控，這是隱私和員工信任方面的嚴重問題。但將監控作為在眾多員工中發現極少數內鬼的主要機制顯然是不可行的。即便碰巧發現了那么一兩個，大多數內部風險不到真的發生數據泄露也不會暴露出來，而那時早已為時已晚。被動反應的方法設置了很低的標準，尤其是在國家安全方面。

事涉國家秘密保護，擁有正確的數據是主動內部風險管理和被動損害控制之間的分水嶺。

鍵盤記錄和屏幕截圖不能用于阻止泄密事件發生：這類數據僅在事發后才有用，且即便到了那種時候，其用處也不大，因為損害已經造成。

很有必要重視可早期用于主動緩解內部風險的數據，借此現代化UAM要求。這就是預警指標為何如此重要的原因：為在事發前檢測、遏阻和瓦解內部風險留出時間。

五角大樓泄密：預警指標本可改變歷史

如果目標是主動緩解內部風險，那在潛在數據滲漏發生之前擁有可操作數據就是一切。僅靠UAM解決方案在數據泄露事件進行時和發生后捕捉數據是不夠的。

預警指標為分析師提供了在數據泄露事發前主動升級、調查和修復內部風險的時間。

說到五角大樓泄密事件，有幾個預警指標本可以用來提供主動識別風險并防止數據泄露所需的上下文。

知道查找哪些東西和如何利用正確的數據是個精細活兒。僅靠孤立的數據點無法確定內部風險。內部風險確定是一項全面細致的工作，涉及長期關聯和聚合來自員工、組織、網絡和物理傳感器的數據。

五角大樓泄密事件的五個潛在預警指標

規模和頻率

以不正常的頻率訪問大量數據，尤其是與同事相比

敏感度

搜索、訪問或聚合不符合個人工作職能的高度敏感數據

工作職能

超出個人工作職能和部門范圍或資歷的任何其他活動

人力資源（HR）部門通知

關于員工未授權或反社會活動的任何通知——無論多小（“看到什么就說什么”）

搜索

以不尋常的方式、時間和頻率搜索或研究公司網絡（在本例中為聯合全球情報通信系統）

以上只是一些基于行為的預警指標。這些指標單獨來看可能無害，但如果聚合并關聯起來，尤其是與涉事人員頗具爭議的網上表現相關聯的時候，其風險狀況就升高了。

進一步講，了解預警指標，建立捕捉這類指標并據此負責任地快速采取行動的機制，是主動檢測和解決內部風險的關鍵。美國國防部擬成立的內部威脅與網絡能力聯合管理辦公室可能是保護國家秘密的使命中或許考慮到這一點了吧。