內(nèi)部人威脅可能是最難以檢測(cè)和控制的安全風(fēng)險(xiǎn)了，而對(duì)內(nèi)部人威脅的關(guān)注也上升到了出臺(tái)新法案的地步——2017年1月美國(guó)國(guó)會(huì)通過(guò)《2017國(guó)土安全部?jī)?nèi)部人員威脅及緩解法案》。

該法令要求國(guó)土安全部(DHS)建立內(nèi)部人員威脅計(jì)劃，包括培訓(xùn)和教育，以及執(zhí)行內(nèi)部威脅風(fēng)險(xiǎn)緩解行動(dòng)。不過(guò)，條文里倒是沒(méi)解釋這些“緩解行動(dòng)”到底由什么組成。

其中一個(gè)難點(diǎn)在于，內(nèi)部人員的概念并不統(tǒng)一。包括通過(guò)被盜合法憑證成為“內(nèi)部人員”的遠(yuǎn)程攻擊者，天真不設(shè)防的雇員，機(jī)會(huì)主義雇員，以及惡意內(nèi)部人士。所有這些當(dāng)中，惡意內(nèi)部人士是最難以攻克的問(wèn)題。

傳統(tǒng)安全控制，比如訪問(wèn)控制和數(shù)據(jù)丟失防護(hù)(DLP)，有一點(diǎn)點(diǎn)微小的作用。最近幾年，這些方法有了用戶行為分析(UBA)的增強(qiáng)，使用機(jī)器學(xué)習(xí)來(lái)檢測(cè)網(wǎng)絡(luò)中的異常用戶行為。

Exabeam首席執(zhí)行官尼爾·頗拉克解釋稱(chēng)：“行為分析是得到內(nèi)部人威脅真正洞見(jiàn)的唯一途徑。UBA能基于個(gè)人與同類(lèi)的對(duì)比，告訴你什么時(shí)候有人在做不尋常且危險(xiǎn)的事，它可以穿透噪音，給出真正有用的見(jiàn)解——任何想處理內(nèi)部人威脅的機(jī)構(gòu)都應(yīng)該密切關(guān)注UBA。”

漢弗萊·克里斯蒂安，Bay Dynamics 產(chǎn)品管理副總裁，倡導(dǎo)UBA與風(fēng)險(xiǎn)管理的組合。他說(shuō)：“如果對(duì)低價(jià)值資產(chǎn)下手，那就不成其為威脅了。異常行為如果在業(yè)務(wù)上說(shuō)得通，那也同樣不應(yīng)該歸入威脅行列，比如被經(jīng)理批準(zhǔn)了的雇員行為。一旦識(shí)別出異常行為，管理受威脅應(yīng)用的人，必須確定自己是否給了該雇員對(duì)受影響資產(chǎn)的訪問(wèn)權(quán)。如果答案是‘否’，就應(yīng)觸發(fā)警報(bào)加以調(diào)查了。”

本周，情報(bào)與國(guó)家安全聯(lián)盟(INSA)發(fā)布了一篇新論文，提出物理用戶行為分析應(yīng)更進(jìn)一步，將依據(jù)常規(guī)行為模式設(shè)置的心理分析納入進(jìn)來(lái)。這不僅僅是網(wǎng)絡(luò)上可接受行為的基線，還結(jié)合了工作場(chǎng)所內(nèi)外生活事件的心理影響。目的不單單是響應(yīng)已發(fā)生的異常行為，而是要未雨綢繆，能夠在事發(fā)前預(yù)測(cè)到惡意行為。

INSA的論文源于雇員不會(huì)突然決定變壞的觀察結(jié)果。惡意行為一直都是逐漸積累的不滿的大爆發(fā)。這種不滿既可以是工作上的，也可以是工作之外的。INSA的理論是，這種漸進(jìn)式不滿的線索，能夠，也應(yīng)該，被技術(shù)檢測(cè)出來(lái)。機(jī)器學(xué)習(xí)和人工智能就可以做到。

該早期檢測(cè)可使經(jīng)理們干預(yù)，乃至幫助掙扎中的雇員，預(yù)防重大安全事件發(fā)生。

工作場(chǎng)所中的不開(kāi)心跡象如果以“反生產(chǎn)行為(CWB)”表現(xiàn)出來(lái)，倒是相對(duì)容易檢測(cè)。INSA稱(chēng)，檢測(cè)并緩和有惡意內(nèi)部人傾向的雇員，有3個(gè)關(guān)鍵認(rèn)知：CWB不會(huì)孤立發(fā)生；CWB往往會(huì)升級(jí)；CWB甚少是自發(fā)的。

如果早期無(wú)害CWB可以在升級(jí)之前被檢測(cè)到，那么內(nèi)部人威脅緩解也就成功可期了。

在現(xiàn)有研究的基礎(chǔ)上，比如《精神疾病診斷與統(tǒng)計(jì)手冊(cè)》第五卷(DSM-5)，INSA給出了壓力源與CWB的關(guān)聯(lián)表。舉個(gè)例子，低水平的情緒壓力可能引發(fā)反復(fù)拖延；更嚴(yán)重一點(diǎn)兒，就會(huì)導(dǎo)致欺負(fù)同事和不安全(危險(xiǎn))行為。

INSA的觀點(diǎn)是，雖然單個(gè)CWB可能會(huì)被經(jīng)理和HR忽視，但模式和壓力指征的任何升級(jí)，都是可以被機(jī)器學(xué)習(xí)算法檢測(cè)到的。這種類(lèi)型的用戶行為分析，已經(jīng)不僅僅針對(duì)異常網(wǎng)絡(luò)活動(dòng)，而是尋求在事發(fā)前識(shí)別出可能導(dǎo)致異常網(wǎng)絡(luò)活動(dòng)的受壓用戶行為。

不過(guò)，這種方法也有局限：影響用戶工作的壓力源完全處于工作場(chǎng)所之外的情況。比如離婚、經(jīng)濟(jì)損失、家人生病。對(duì)此，INSA提出了更激進(jìn)，但在工作場(chǎng)所內(nèi)外都適用的方法。

特別的，復(fù)雜的心理語(yǔ)言工具和文本分析，可以監(jiān)測(cè)雇員的通信，發(fā)現(xiàn)生活壓力源和情緒，幫助在轉(zhuǎn)化過(guò)程早期檢測(cè)出潛在問(wèn)題。

該方法的理念就是，監(jiān)視并分析用戶的通信，包括推特和博客，積極和消極的詞匯都是查找對(duì)象。論文中給出了一個(gè)例子。“我喜歡食物……和……一起……我們……在……非常……高興……”這詞匯序列在推特、微博、微信上很常見(jiàn)，但‘和’、‘一起’、‘在’這幾個(gè)詞的使用，表現(xiàn)出了包容宜人的性情。

公平地說(shuō)，INSA對(duì)第二個(gè)例子的誤用，給了懷疑者質(zhì)疑的理由。這第二個(gè)例子，是將美國(guó)政府秘密泄露給維基解密的上等兵切爾西·曼寧。INSA稱(chēng)：“第二篇博客文章，證實(shí)該生活事件，并確認(rèn)了另外一個(gè)。‘關(guān)系終結(jié)/離婚’在每個(gè)生活事件中都被提到2次。”其含意是，對(duì)這篇博文的心理語(yǔ)言分析，本可以勾出曼寧生活中的壓力源，警示其雇主他可能會(huì)采取的惡意行為。

然而問(wèn)題是，這被引用的章節(jié)并非出自事發(fā)前的曼寧博客帖子，而是來(lái)自2010年5月維基解密已經(jīng)開(kāi)始公布機(jī)密文檔后，曼寧與拉莫的聊天記錄。這個(gè)案例中的語(yǔ)言學(xué)分析可能有助于解釋曼寧的行為，但卻對(duì)預(yù)警美國(guó)政府毫無(wú)幫助。

但是，重點(diǎn)在于，心理語(yǔ)言學(xué)分析是具備勾勒情緒狀態(tài)的潛力的，隨時(shí)間進(jìn)程，凸顯出正從最初的小CWB升級(jí)到最終重大CWB過(guò)程中的個(gè)人，也不是不可能。問(wèn)題就是，這真的有點(diǎn)令人毛骨悚然。這種詭異性也被INSA所承認(rèn)。

這些工具的使用需要特別特別小心，要保證個(gè)人公民權(quán)和隱私權(quán)不被侵犯。只有被授權(quán)的信息才可以在符合預(yù)定義策略和法律監(jiān)管的情況下被收集，且只能用于定義清晰明確的對(duì)象。絕不可以在缺乏斷言的情況下，使用隨機(jī)查詢(xún)和“如果”場(chǎng)景來(lái)審查具體個(gè)人，然后期望發(fā)現(xiàn)異常的不良行為。

用戶逐漸降低的隱私期待或許預(yù)示著，或早或晚，出于早期發(fā)現(xiàn)潛在惡意內(nèi)部人目的的心理語(yǔ)言學(xué)分析，將為人所接受。但同時(shí)，該分析的使用應(yīng)十分謹(jǐn)慎，且要征得用戶清晰明確的知情同意。不過(guò)，INSA倡議的，其實(shí)是司法機(jī)構(gòu)多年來(lái)一直尋求的東西：不是僅僅響應(yīng)不良行為，而是能夠預(yù)測(cè)之。