当安全软件销售商eEye自己的网页受到损害时,公司立即怀疑这是一个不满的员工干的。很多内部攻击者都是悄悄干的。将目标定为内部用户的入侵检测方法也随即出现。在这期间,许多公司也都需要使用一系列其他安全技术来阻止来自其自身员工的攻击。
生产了Spynet网络嗅探器的eEye公司,可能有好的理由来猜测应该归咎于某个员工。根据来自英国的VNUnet的一个统计数字,一个贴在eEye网页上的消息说"你是否会相信一个安全公司,他甚至无法保证其自身的安全",同时在被攻击的网页上,攻击者指控eEye公司不信任自身员工,无礼对待公司的产品,并用一个羞辱性的绰号"首席黑客官"来称呼eEye公司的官员Marc Maiffret。
eEye事件发生在2000年12月。自那时起的研究表明来自内部的攻击开始成为一个重要的威胁。例如,在2002年CPI/FBI的调查中,有59%的组织承认至少受到了一次内部攻击。尽管有时内部攻击者被抓获了。
在今年早些时候,一个曼哈顿的犯罪嫌疑人由于从其雇主处,Orrick, Harrington & Sutcliffe LLP,非法盗取一份机密电子文件而被判入狱。根据美国司法部散发的材料,这个有问题的文件是原告在一个涉及烟草诉讼的名为"Falise et al. vs. American Tobacco Company. et al. "的一个测试计划。
嫌犯被指控从Orrick公司的计算机系统中下载了测试计划,然后发送电子邮件给诉讼中被告的律师,提出把计划卖给他们。在被FBI秘密机构逮捕后,Farraj摆出一副被告律师的样子,他需要为其以下罪行辩护:反叛欺诈,州际传送被盗物,未经授权使用计算机。
更典型的是,内部安全破坏在室内处理。诸如AccessData Development 和 NTI那样的公司,生产适用于法庭的软件,这些可以让法律实施者和团体用来在犯罪行为发生后在Windows系统上跟踪用户行为。一个拥有类似功能的,叫做的Coroner工具包的开放源代码程序可以运行在UNIX系统上。
显然,这使得在各种层次上在其发生之前防止内部攻击更有可能。入侵检测系统(IDS)建立了一种在防止功能上有效的方法,当然这些努力并没有就此终结。
安全顾问Edward P. Yakabovicz这样说"只要你有一个内部网络,员工就该被视为一个威胁。"
"你需要不断的考虑入侵检测领域的新技术,各层的方法以及你使用的是哪种防火墙"
来自其他报告的数据显示防火墙仍然在对付有组织侵入的防护中位居IDS系统前列。然后也有其局限性。Nir Zuk, OneSecure的CTO和联合创始人断言:"防火墙无法探测到侵入行为"
尽管防火墙可以控制那些被允许进入和离开网络的通信,一些被允许的通信可能是恶意的。防火墙可能会被IP spoofing欺骗,也会被那种在看起来无毒数据中嵌入恶意代码的技术所愚弄。
当然,防火墙在不断被IDS重新配置。举一个例子来说,RealSecure IDS被设计用来重新配置CheckPoin或Lucent防火墙以使之能够拒绝来自攻击代码地址的通信信息。
专家们建议组合配置基于主机和网络的IDS.他们都有自己的优点和不足。例如,基于主机的IDS,能够不断的监视系统文件和系统日志来搜查值得怀疑的行为。Yakabovicz指出,在另一方面,一旦一个主机被侵害,它的IDS 将会很容易被霸占。基于网络的IDS更广范围的探测。
包括ISS在内的一些销售商已经开发了一个称为"混杂"的IDS,目标定为同时带来基于主机和网络中最好的技术。
除了保护企业的局域网不受来自外部侵入者的影响,IDS可以被设置为一个诸如会计和销售等单个部门的保护者。
然而,为了抓住内部的犯罪者,IDS系统需要被设计用来在一个特定的网络中探测不同于"正常行为"的"反常使用"行为,并将其列为"滥用"行为。
Yakabovicz建议认为,通过克服顽固的基于签名的技术,非常规系统在将来是可行的方法。他补充说,"你需要有更好的技术"。由于明显的原因,组织应该建议根据内外不同的使用者设计不同规则。
然而,这种情况也是有可能的,外部攻击者欺骗网络将其当成是公司员工。在90年代后期,一个弗吉尼亚大学的研究者将这类恶棍归于他创造的这个词:"假冒内部侵入者"(pseudointernal intruder)
从1980年开始,入侵检测系统就根据侵入者进入系统的不同将侵入者分为两类:内部和外部的。复杂网络分布式系统的不断增加需要对侵入定义进行重新审视。当时是一个大学计算机系研究生的Brownell K. Combs如此写到:我们定义了一个新的类别,假冒内部侵入者。这个新的类别包括绕过现代分布式系统防护通过网络攻击系统的没有用户账号的侵入者。
在IDS和防火墙之外,其他可以用来防护内部攻击的技术有:鉴定/加密/预定使用/重新命名等。
好消息是组织经常有更多的资源用来对付内部侵入者。员工在他们刚刚加入公司的时候将被要求同意关于安全和智能产权的政策。如果他们后来破坏了规则,他们将失去进入内部网络的权力,甚至失去他们的工作。
