无意的内部威胁:社会工程-2

admin
admin
admin
105127
文章
87
评论
2023年9月21日10:08:37评论24 views字数 4249阅读14分9秒阅读模式

摘要

本报告中记录的研究旨在加深对源自社会工程的非故意内部威胁(UIT)的理解。本研究的目标是收集其他UIT社会工程事件的数据,为内部威胁风险管理和教育(MERIT)数据库建立一组案例,并分析这些案例,以确定可能的行为和技术模式以及前兆。作者希望这项研究将为未来UIT缓解策略的研究和开发提供信息。

1简介

很大一部分计算机和组织安全专业人士认为内部威胁是他们企业的最大风险,超过40%的人表示,他们最担心的安全问题是通过员工泄露数据或类似错误导致意外危害安全[AlgoSec 2013]。卡内基梅隆大学软件工程研究所下属的CERT® Insider Threat团队之前的一份报告对该问题进行了初步审查[CERT 2013]。该报告通过制定操作定义、审查相关研究以更好地了解其可能原因和促成因素,[1]并提供了非故意内部威胁案例和多个类别的非故意内部风险发生频率的例子,对非故意内部危险进行了描述。该报告还记录了我们首次设计的UIT特征模型,该模型捕捉了UIT事件的重要元素。

研究UIT问题和制定有效缓解策略的一个挑战是,UIT主题在科学研究中基本上没有得到承认,UIT事件和案例研究大多没有报告。特别是,事故报告通常缺乏足够的细节来告知潜在促成因素的分析。CERT内部威胁小组[CERT 2013]的初步工作旨在向政府和行业利益相关者通报问题及其潜在原因,并指导研发投资达到对抗UIT的最高优先级研发要求。作为该研究的后续,目前的工作试图通过关注一种主要类型的UIT事件,即社会工程,来加深我们对UIT促成因素的理解。这个研究项目的目标是

  • 收集额外的UIT事件数据,以建立一组社会工程案例,将其添加到CERT部门的内部威胁风险管理和教育数据库(简称内部威胁数据库)中,该数据库记录内部威胁案例

  • 分析UIT案例,以确定可能的行为和技术模式及前兆,特别关注涉及社会工程的UIT案例为未来UIT缓解策略的研究和开发提供信息

本报告记录了实现这些目标的进展情况。报告的其余部分组织如下:

  • 2背景简要概述了工作初期完成的工作。[2]

  • 3节,定义和描述UIT,更新了UIT的定义,特别是社会工程利用,这是本研究的主要重点。

  • 4节,社会工程UIT事件研究综述,更新了我们的文献综述,重点关注社会工程UIT事件。

  • 5收集案例摘要描述了我们为指导UIT案例的收集和报告而制定的案例收集要求。本节还提供了涉及社会工程利用的代表性UIT案例的示例。

  • 6节,社会工程事件的概念模型,讨论了我们的研究和案例分析综合的结果,以确定可能有助于设计缓解策略的模式。

  • 7节和第8节分别讨论结论和建议。

  • 附录A提供了有关促成因素的更多详细信息。

  • 附录B提供了案例研究数据的更多细节。

2背景

2.1初始非故意内部威胁(UIT)研究中描述的促成因素

在我们工作的初始阶段[CERT 2013],我们观察到关于UIT的适用研究可能以几种不同的方式组织。一种有用的方法是确定UIT事件的潜在因果和相关因素,包括那些可能增加UIT事件可能性的预先存在的因素、导致攻击的一系列事件以及攻击本身所涉及的步骤。因此,本报告根据确定的潜在因素和攻击所涉及的步骤松散地分为几个部分,我们称之为攻击模式。这一阶段的研究工作只关注一类涉及社会工程的UIT威胁,其正式定义见第3.1节。

我们在初始阶段生成的部分UIT定义包括人类未能适当识别和应对UIT威胁,这里可以部分归因于人员在感知和决策方面的认知局限性和偏见。虽然对手通常会在员工个人层面渗透网络,但我们认识到,UIT事件背景下的固有因素可能会导致员工的脆弱性。在UIT的背景下,人为错误可能永远无法完全消除,但人为错误缓解技术可以显著减少允许对手渗透网络的错误。工作场所安全和人类工程学研究表明,缓解策略应包括识别这些导致错误和由此产生的不利结果的背景因素(例如,组织实践和政策、对抗性复杂性)[Deker 2002Pond 2003][3]

在我们对人为因素、认知心理学、人为错误和决策(但不是专门针对UIT)相关领域的文献的初步审查[CERT 2013]中,我们确定了一大组可能导致UIT事件的因素,并将这些因素分为几个大类,以下是Pond旨在确定导致安全事件的因素的工作[Pond 2003]。我们从数据流、工作设置、工作规划和控制以及员工准备等方面描述了深层次的组织因素:这些组织因素可能会增加人为错误的可能性,并可能导致许多UIT事件。我们从一系列不同的人为因素描述了UIT事件的更直接的相关性,包括缺乏情境意识、与风险承受和风险感知有关的问题、知识不足、推理和决策有缺陷,以及疾病、伤害和其他降低决策、判断或其他认知能力的健康相关因素。我们还考虑了与年龄、性别和文化因素等人口因素的可能关联。这项研究采取了初步步骤:(a)描述或推测这些不同因素可能影响UIT事件发生的可能机制,以及(b)检查案例研究,以确定在已发表的UIT案例中,这些因素中的哪些(如果有的话)已被记录为可能的促成原因。这项最初的工作并没有特别关注与涉及社会工程的UIT利用有关的因素。传统的人为错误分析方法通常不会考虑主动对手,因此它可能无法完全解决社会工程利用的潜在原因。

正如我们在第4节中所讨论的,我们目前进一步调查和综合这些潜在因素的努力导致了一个更为简洁的可能促成因素列表,以集中我们的研究,促进模型开发,并为案例数据收集提供信息。

2.2初步UIT研究中开发的特征模型

特征模型是描述概念实例的特征的集合。工作的初始阶段开发了UIT事件的特征模型[CERT 2013]。该模型表示任何UIT事件的相关特征,并包括一个层次图,该层次图将概念分解为特征和子特征、每个特征的定义、组合特征的规则,如其他特征所必需的特征,以及选择特征的基本原理。该模型对每个事件的四个强制性特征进行了分类:

  • 个人在UIT事件中的角色

  • 可能的根本原因、相关性和促成因素

  • 系统信息和披露数据的格式

  • 发生事故的行业部门或政府机构

我们使用特征模型对收集的案例进行分类,并确定每个类别中的案例发生的频率。分析首先考虑了每个顶层特征及其直属特征下各类事件的发生频率。特征模型还有助于描述每个事件类别的威胁向量和基本活动模式,使我们的研究人员能够使用特征搜索特定类型的事件。

在工作的最初阶段,我们使用术语UIT威胁向量[4]来指代不同类型的UIT事件,这些事件几乎占了我们收集的所有事件:

  • DISC,或意外披露(例如,通过互联网)——在网站上公开发布、处理不当或通过电子邮件、传真或邮件发送给错误的一方的敏感信息

  • UIT-ACK,或恶意代码(UIT-HACKing,恶意软件/间谍软件)——通过社会工程(如网络钓鱼电子邮件攻击、植入或未经授权的USB驱动器)获取并通过软件(如恶意软件和间谍软件)执行的外部人的电子条目

  • PHYS,或物理记录的不当/意外处理——丢失、丢弃或被盗的非电子记录,如纸质文件

  • PORT,或不再拥有的便携式设备——丢失、丢弃或被盗的数据存储设备,如笔记本电脑、个人数字助理(PDA)、智能手机、便携式存储设备、CD、硬盘或数据磁带

由于缺乏收集的数据,在工作的最初阶段获得的结果有限。一般来说,49%UIT案例与DISC威胁载体有关,6%PHYS有关,28%PORT有关,17%UIT-ACK有关。由于近一半的事件属于DISC类别,研究确定,通过互联网和电子邮件发布的事件分别占所有UIT案件的23%20%PHYSPORT矢量(与电子设备或非电子记录的丢失有关)的综合事件率约占事故的三分之一。虽然这些发现是初步的,因为35起事件的样本量很小,但这些结果导致我们目前关注社会工程利用,这在迄今为止收集的案件中占很大比例。

收集更多的UIT案例并随后对数据进行分析,将提高我们对基于模型特征的UIT事件之间的相似性和差异性的理解。事件统计数据的积累和分析也将最终帮助利益相关者优先考虑不同类型的UIT威胁和与组织风险相关的缓解策略。这种优先顺序还告知决策者在哪里以及如何投资研发资金,以获得针对UIT案件的最大保护。

2.3初步UIT研究的结果和建议

我们对UIT问题的初步研究确定了许多可能导致UIT事件的因素。如我们在第4节中所示,在当前阶段,我们简化了原始的影响因素列表,以便于数据收集、分析和综合。初步研究还为可能的缓解策略提供了许多建议。由于人为错误在UIT事件中可能起到的作用,我们建议对策和缓解措施包括改善和维护生产性工作环境、健康的安全文化以及提高系统可用性和安全性并降低人为错误可能性的人为因素的策略。还建议开展培训和提高认识计划,重点是提高员工对UIT问题的认识,并帮助个人识别可能存在的认知偏见和局限性,这些偏见和局限可能会使他们犯下此类错误或判断失误的风险更高。然而,培训和意识计划有其局限性,人为因素或组织系统无法完全消除与风险感知和其他认知和决策过程相关的人为错误。因此,我们建议采用一种全面的缓解策略,其中包括新的、更有效的自动化保障措施,旨在为这些故障提供故障安全措施。

重要的是要重申,我们从人类因素和认知心理学的广泛领域的研究中得出了第一阶段工作中确定的一组可能的UIT促成因素,而没有专门针对UIT的研究。事实上,我们发现有必要继续更新数据库,以容纳UIT案例,收集UIT事件数据并建立一套大型UIT案例集,并对导致UIT的因素进行更集中的研究。这些建议为当前研究阶段的方法和目标提供了信息,该阶段的研究重点是包括社会工程利用在内的UIT案例。由于许多涉及社会工程的UIT事件都包含欺骗因素,因此重新评估可能的UIT促成因素尤为重要。

[1] 因素是一种情境因果或特征,可能与事件的存在有关,也可能与之无关。促成因素是指已被证明与事件的因果因素相关的因素。因为在一般情况下,因果关系尚未显示,我们使用的“促成因素”一词应被解释为潜在促成因素。

[2] 《意外内部威胁:基础研究[CERT 2013]》报告了这项工作的初始阶段。

[3] 社会工程事件中的一般人为错误和人为错误之间的一个重要区别是,后者涉及一个恶意对手,他使用相当多的模糊技术来欺骗粗心的受害者。尽管组织采取了缓解策略(政策、工具、培训、管理实践等),但复杂的社会工程攻击很可能会成功。

[4] 在当前上下文中,我们使用威胁向量一词,而不是更典型的攻击向量一词,因为攻击一词意味着恶意,而这在无意行为中是不存在的。


原文始发于微信公众号(老烦的草根安全观):无意的内部威胁:社会工程-2

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年9月21日10:08:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   无意的内部威胁:社会工程-2https://cn-sec.com/archives/2054403.html

发表评论

匿名网友 填写信息