內(nèi)部人威脅可能是最難以檢測和控制的安全風(fēng)險(xiǎn)了，而對內(nèi)部人威脅的關(guān)注也上升到了出臺新法案的地步——2017年1月美國國會通過《2017國土安全部內(nèi)部人員威脅及緩解法案》。

該法令要求國土安全部(DHS)建立內(nèi)部人員威脅計(jì)劃，包括培訓(xùn)和教育，以及執(zhí)行內(nèi)部威脅風(fēng)險(xiǎn)緩解行動。不過，條文里倒是沒解釋這些“緩解行動”到底由什么組成。

其中一個(gè)難點(diǎn)在于，內(nèi)部人員的概念并不統(tǒng)一。包括通過被盜合法憑證成為“內(nèi)部人員”的遠(yuǎn)程攻擊者，天真不設(shè)防的雇員，機(jī)會主義雇員，以及惡意內(nèi)部人士。所有這些當(dāng)中，惡意內(nèi)部人士是最難以攻克的問題。

傳統(tǒng)安全控制，比如訪問控制和數(shù)據(jù)丟失防護(hù)(DLP)，有一點(diǎn)點(diǎn)微小的作用。最近幾年，這些方法有了用戶行為分析(UBA)的增強(qiáng)，使用機(jī)器學(xué)習(xí)來檢測網(wǎng)絡(luò)中的異常用戶行為。

Exabeam首席執(zhí)行官尼爾·頗拉克解釋稱：“行為分析是得到內(nèi)部人威脅真正洞見的唯一途徑。UBA能基于個(gè)人與同類的對比，告訴你什么時(shí)候有人在做不尋常且危險(xiǎn)的事，它可以穿透噪音，給出真正有用的見解——任何想處理內(nèi)部人威脅的機(jī)構(gòu)都應(yīng)該密切關(guān)注UBA。”

漢弗萊·克里斯蒂安，Bay Dynamics 產(chǎn)品管理副總裁，倡導(dǎo)UBA與風(fēng)險(xiǎn)管理的組合。他說：“如果對低價(jià)值資產(chǎn)下手，那就不成其為威脅了。異常行為如果在業(yè)務(wù)上說得通，那也同樣不應(yīng)該歸入威脅行列，比如被經(jīng)理批準(zhǔn)了的雇員行為。一旦識別出異常行為，管理受威脅應(yīng)用的人，必須確定自己是否給了該雇員對受影響資產(chǎn)的訪問權(quán)。如果答案是‘否’，就應(yīng)觸發(fā)警報(bào)加以調(diào)查了。”

本周，情報(bào)與國家安全聯(lián)盟(INSA)發(fā)布了一篇新論文，提出物理用戶行為分析應(yīng)更進(jìn)一步，將依據(jù)常規(guī)行為模式設(shè)置的心理分析納入進(jìn)來。這不僅僅是網(wǎng)絡(luò)上可接受行為的基線，還結(jié)合了工作場所內(nèi)外生活事件的心理影響。目的不單單是響應(yīng)已發(fā)生的異常行為，而是要未雨綢繆，能夠在事發(fā)前預(yù)測到惡意行為。

INSA的論文源于雇員不會突然決定變壞的觀察結(jié)果。惡意行為一直都是逐漸積累的不滿的大爆發(fā)。這種不滿既可以是工作上的，也可以是工作之外的。INSA的理論是，這種漸進(jìn)式不滿的線索，能夠，也應(yīng)該，被技術(shù)檢測出來。機(jī)器學(xué)習(xí)和人工智能就可以做到。

該早期檢測可使經(jīng)理們干預(yù)，乃至幫助掙扎中的雇員，預(yù)防重大安全事件發(fā)生。

工作場所中的不開心跡象如果以“反生產(chǎn)行為(CWB)”表現(xiàn)出來，倒是相對容易檢測。INSA稱，檢測并緩和有惡意內(nèi)部人傾向的雇員，有3個(gè)關(guān)鍵認(rèn)知：CWB不會孤立發(fā)生；CWB往往會升級；CWB甚少是自發(fā)的。

如果早期無害CWB可以在升級之前被檢測到，那么內(nèi)部人威脅緩解也就成功可期了。

在現(xiàn)有研究的基礎(chǔ)上，比如《精神疾病診斷與統(tǒng)計(jì)手冊》第五卷(DSM-5)，INSA給出了壓力源與CWB的關(guān)聯(lián)表。舉個(gè)例子，低水平的情緒壓力可能引發(fā)反復(fù)拖延；更嚴(yán)重一點(diǎn)兒，就會導(dǎo)致欺負(fù)同事和不安全(危險(xiǎn))行為。

INSA的觀點(diǎn)是，雖然單個(gè)CWB可能會被經(jīng)理和HR忽視，但模式和壓力指征的任何升級，都是可以被機(jī)器學(xué)習(xí)算法檢測到的。這種類型的用戶行為分析，已經(jīng)不僅僅針對異常網(wǎng)絡(luò)活動，而是尋求在事發(fā)前識別出可能導(dǎo)致異常網(wǎng)絡(luò)活動的受壓用戶行為。

不過，這種方法也有局限：影響用戶工作的壓力源完全處于工作場所之外的情況。比如離婚、經(jīng)濟(jì)損失、家人生病。對此，INSA提出了更激進(jìn)，但在工作場所內(nèi)外都適用的方法。

特別的，復(fù)雜的心理語言工具和文本分析，可以監(jiān)測雇員的通信，發(fā)現(xiàn)生活壓力源和情緒，幫助在轉(zhuǎn)化過程早期檢測出潛在問題。

該方法的理念就是，監(jiān)視并分析用戶的通信，包括推特和博客，積極和消極的詞匯都是查找對象。論文中給出了一個(gè)例子。“我喜歡食物……和……一起……我們……在……非常……高興……”這詞匯序列在推特、微博、微信上很常見，但‘和’、‘一起’、‘在’這幾個(gè)詞的使用，表現(xiàn)出了包容宜人的性情。

公平地說，INSA對第二個(gè)例子的誤用，給了懷疑者質(zhì)疑的理由。這第二個(gè)例子，是將美國政府秘密泄露給維基解密的上等兵切爾西·曼寧。INSA稱：“第二篇博客文章，證實(shí)該生活事件，并確認(rèn)了另外一個(gè)。‘關(guān)系終結(jié)/離婚’在每個(gè)生活事件中都被提到2次。”其含意是，對這篇博文的心理語言分析，本可以勾出曼寧生活中的壓力源，警示其雇主他可能會采取的惡意行為。

然而問題是，這被引用的章節(jié)并非出自事發(fā)前的曼寧博客帖子，而是來自2010年5月維基解密已經(jīng)開始公布機(jī)密文檔后，曼寧與拉莫的聊天記錄。這個(gè)案例中的語言學(xué)分析可能有助于解釋曼寧的行為，但卻對預(yù)警美國政府毫無幫助。

但是，重點(diǎn)在于，心理語言學(xué)分析是具備勾勒情緒狀態(tài)的潛力的，隨時(shí)間進(jìn)程，凸顯出正從最初的小CWB升級到最終重大CWB過程中的個(gè)人，也不是不可能。問題就是，這真的有點(diǎn)令人毛骨悚然。這種詭異性也被INSA所承認(rèn)。

這些工具的使用需要特別特別小心，要保證個(gè)人公民權(quán)和隱私權(quán)不被侵犯。只有被授權(quán)的信息才可以在符合預(yù)定義策略和法律監(jiān)管的情況下被收集，且只能用于定義清晰明確的對象。絕不可以在缺乏斷言的情況下，使用隨機(jī)查詢和“如果”場景來審查具體個(gè)人，然后期望發(fā)現(xiàn)異常的不良行為。

用戶逐漸降低的隱私期待或許預(yù)示著，或早或晚，出于早期發(fā)現(xiàn)潛在惡意內(nèi)部人目的的心理語言學(xué)分析，將為人所接受。但同時(shí)，該分析的使用應(yīng)十分謹(jǐn)慎，且要征得用戶清晰明確的知情同意。不過，INSA倡議的，其實(shí)是司法機(jī)構(gòu)多年來一直尋求的東西：不是僅僅響應(yīng)不良行為，而是能夠預(yù)測之。