苹果惨遭内部员工泄密，你的企业还安全吗？

苹果号称是全球保密最严格的公司，苹果的安全团队是由全球的数据安全专家组成。与其他公司只是简单地签署保密协议、进行保密培训不同，苹果的保密文化，甚至从招聘的时候就开始了。
被招聘的员工不知道自己将要具体从事什么工作，只会得到一个大方向的指引。新员工甚至在得知自己将在哪栋楼工作之前，就开始保密措施，进行保密条例的学习，而这些只是所有工作展开前的一个基础。
除了保密培训和基本的保密措施外，苹果的安全团队更多的是广泛利用“技术避免泄露”。
据悉2017年，苹果共发现29个泄密者，其中12人被逮捕并起诉。
近期，“张小浪涉嫌窃密苹果事件”引人关注，其中充满着泄密者与保卫者之间激烈的对抗。AnyRobot 新安全分析产品部希望和大家一起通过这样一个典型的安全事件来学习苹果在企业安全体系的做法，做到窥一斑而知全豹。

张小浪涉嫌窃密苹果事件回顾

4月30日，4月的最后一个星期一。张在结束休假后（4.1-4.28因妻子生产休假），于30日当天以“母亲身体不好”为由向导师提出离职。导师的职业安全意识十分灵敏，交谈中获悉张的新东家为“小鹏汽车”，期间谈到保密问题时，张闪烁其词。导师及时将情况告知新产品安全部门（New Product Security Division）。
新产品安全部门是专门负责苹果内部信息安全的部门。对离职人员进行审计是一道必须程序，安全人员得到导师的消息后，安全人员对审计更加严谨——万一出了意外，责任可就到了他们身上。
安全人员迅速调取安全系统中有关张的告警及行为异常信息。然而，在谈话中，张并未向安全人员透露有关数据泄露的信息。谈话无果后，安全人员只能按照程序，要求张先交还所有办公设备，并立刻离开苹果园区。
“立即切断离职员工与企业内部网络联系的渠道，可以避免出现二次泄露；保存办公设备，可以防止设备中有关数据泄露的证据被销毁”。——安全人员立即禁用了张对设备的远程控制、工卡权限、内网接入许可、以及一系列员工访问许可。
5月1日，安全人员对张进行全面审查，包括网络活动和现实活动。很快，张的异常行为被确定，离职前的异常被一一锁定。

4月28日、29日两天——在张提出离职的前两天。张的行为活动显著增加，出现了极为异常的搜索记录和下载记录——大量的搜索机密文件，大量的下载机密文件。4月28日、4月29日两天，张在苹果数据库共有3390条用户活动记录。作为对比，从2017年7月到2018年3月半年间，张的用户活动记录仅1484条。
安全系统虽然捕捉到了异常，并没有及时进行告警。这是因为张对于这些机密文件具有访问、下载权限，而这些权限审核相当严格——需要管理人员一一审核通过。
异常未及时发现的原因还有一点，28日、29日两天为周末——大部分安全人员正在沙发上躺着，享受休假！然而对于企业而言，大部分泄密来自离职员工，而离职员工泄密作案大都选择在下班期间。企业是无法限制一个“好员工”在加班期间访问、下载文件进行办公的！
安全人员于5月1日当天紧急约谈张，张在起初并不承认，后面对“无法说谎的行为数据”称：“大量的搜索和大量的下载”是为了转岗学习和个人学习。显然，这样的说法无法得到安全人员的认可。后问及数据去向时，张称通过“AirDrop”（用于在多台设备之间分享文件）将数据传输到了私人电脑（其妻子的电脑）。
安全人员立即对电脑进行分析，发现4月28日、29日两天“最近的文档”列表里活动文件高达40GB。机密信息涉及苹果无人车的原型车、原型车要求等，安全人员不由得冒了一身冷汗，崩紧了神经。
截至目前，没有证据表明机密信息泄露到其他公司。
但，仅仅是“没有证据表明”。

张小浪涉嫌窃密苹果事件分析

在该事件中，虽然苹果的安全团队没能在早期阻止张的下载行为，但是苹果安全团队的处理效率和专业化水平不由得让人惊叹。
对于企业而言，我们无法像苹果一样拥有一支来自全球顶级数据安全专家的团队。但是，苹果运用了哪些安全技术我们还是可以学习和运用的。
纵观苹果判定张的行为异常和泄密的举证，4月28日、29日离职前两天一反常态的大量搜索和大量下载最引人质疑的。在专业术语上，这叫做用户异常，即用户做了某些一反常态的行为。例如，张上半年的行为记录为1484条，平均每天仅为8.2条；而离职前两天的行为记录为3390条，平均每天高达1695条。用户异常还可能表现在与员工的同伴（部门同事、业务相关人员）相比有很大的出入。这些都会被系统判定为用户异常。鲜有人知，用户异常是企业内部安全审计解决方案——UEBA的一种应用。

什么是用户实体行为分析

UEBA，User and Entity Behavior Analytics
UEBA是指以用户为中心来分析用户行为，同时也能分析其他实体（诸如端点、网络和应用等）的行为，从而做到异常监测，最终达到保护企业信息安全的目的。
简单来说，UEBA的核心是“什么人做了什么事”，重点关注两个问题：一、是否存在用户异常（是否出现异常行为，例如数据泄露、越权访问等）；二、是否存在异常用户（是否出现异常用户，例如账号被盗、非法访问等）。
我们知道企业内部员工泄密一直是中大企业的痛点、安全部门关心的焦点，同时又是传统安全厂商的弱点、难点。这是因为传统的安全厂商对于内部员工泄密往往束手无策。
传统的解决办法是人为的设立规则，通过规则判定行为合法或是不合法，不合法就告警。例如张对自动驾驶机密信息有访问权限，那么当张进行访问时就不会告警。但是，内部员工泄密往往界限模糊，无法通过单一的规则进行判定。例如针对张离职前两天平均行为记录大幅度增加，理论上可以通过设立行为记录的阈值，一旦行为记录条数超过阈值则进行告警。但是企业中每个人的操作习惯不同，有的人习惯用完文档就关闭，需要时再打开；而有的人习惯用完文档仍不关闭，需要时继续使用。这就会导致每个人产生的行为记录条数是不一致的，哪怕操作的结果相同。
因此，对于内部员工泄密无法通过简单的人为设计规则解决。基于规则进行合法或是不合法的二选一判定无法有效应对内部员工泄密。除此之外，用户行为甚至还存在相当一部分灰色地带，例如张究竟是不是因为转岗需要而大量下载机密，这就需要UEBA辅助监测进行异常分级，最后通过人工审查来解决。
UEBA的一大亮点是一方面能够检测容易被忽略的异常和违规行为，运用机器学习算法和统计分析帮助人们找到隐形的行为异常，另一方面能够基于规则和模型对风险进行分类，提高安全部门的处理速度，在保障企业信息安全的同时，让安全人员从繁杂的告警堆中解脱出来，提高部门办事效率。

UEBA 业务流程图

UEBA是如何做到既能保障企业信息安全，又能让安全人员提高部门效率的呢？了解UEBA的运作流程之后，我们就能够明白。

UEBA采集来自网络、应用、服务器、端口等的用户与实体行为数据，然后通过机器学习算法构建的模型对用户行为进行分析，发现安全风险后，将用户行为分为高危风险和普通风险。系统会将高危风险以告警的形式通知安全管理员，安全管理员通过观察列表可以清楚的了解到企业内部安全风险的情况，然后对风险进行人工审查，消除其中潜在的威胁，从而保障企业内部安全。
我们可以试着将“张小浪涉嫌窃密苹果事件”代入UEBA模型中，看一下会发生什么样的化学反应。

从业务流程图中，我们可以看出张虽然具有访问权限，但是其“大量的搜索和大量的下载”的异常行为，已经被UEBA捕捉到并被识别为安全风险。但因其拥有访问机密文件的权限而只是被判定为普通风险。从节奏上看，该风险已经进入了观察列表。安全管理员一旦运用观察列表，相信很快就能够发现张的异常行为、及时进行泄密确认。因此UEBA在保障企业内部安全上，拥有十分出色的表现。
但是因为张的异常行为发生在4.28、29周末两天，这就导致了风险处理存在长达两天的空档期。因此张得以顺利地大量下载机密文件。虽然事后安全人员成功发现了风险，但是如果系统能有一定的响应措施来处理风险或是为管理员提供一定的缓冲，或许能够使损失再降低一些。
可以说，UEBA已经能够从用户行为的角度解决内部员工泄密的难题，但是能不能进一步完善，在风险早期解决类似苹果窃密事件的问题呢？。

AnyRobot UEBA 业务流程图

经过大量的方案预演和大量的落地测试后，AnyRobot 结合企业实际业务流程提出了一套更加完善的UEBA解决方案。
方案在原始UEBA的基础框架上，拓展实现了自我认证、响应、自我审核三大功能。自我认证及响应能够对风险做出自适应的处理动作，例如短信验证、限制权限甚至禁用用户，能够有效避免类似“张小浪涉嫌窃密苹果事件”的发生。自我审核能够扩大风险的排查面，帮助发现潜在的账号被盗风险，将风险降到最低，还能够提高员工的保密意识。

在AnyRobot UEBA的处理流程中，主要可以分为安全风险处理和非安全风险处理两大部分。AnyRobot UEBA会根据自定义的规则和机器学习构建的模型对用户行为进行分析，若判定为安全风险，则进入安全风险处理流程。在安全风险处理流程中，对普通风险要求进行自我认证，输入手机验证码进行验证方可继续操作。一方面可以对账号盗用告警，另一方面又可以对泄密者起威慑作用，及时终止其异常行为。对于高危风险，系统会迅速做出响应——限制权限，中止其异常行为。若用户行为被判定为非安全风险，则进入非安全风险处理流程，AnyRobot UEBA会定期将生成安全报表，并将报表推送给个人，让每一名员工可以对自己的报表进行自我审核，一旦发现潜在的账号被盗风险就及时上报，避免了因账号被盗而背责的风险，同时在企业内形成“人人参与”的安全协作体系，在提高内部员工保密意识的同时，减轻安全人员的工作负担。
最终这些用户与实体行为都会进入系统中按紧急程度排序好的观察列表。安全管理员只需要根据观察列表，对风险做出人工审核，然后对其中的紧急风险按优先顺序进行处理。
我们可以试着将“张小浪涉嫌窃密苹果事件”代入AnyRobot UEBA模型中，看一下会发生什么样的化学反应。

从流程图中，我们可以看出虽然张的异常行为只是被系统认定为普通风险，但是该异常将触发系统的自我认证功能。此时，张必须通过短信认证的形式才能够继续下载机密文件。短信提醒势必能够对张产生一种强烈的威慑效果，让其不敢轻易继续泄密行为。如果张一意孤行或是确实工作需要继续异常地大量下载机密文件，这将会反复触发自我认证机制，最终系统将会对张进行响应处理——限制权限或是直接禁用用户——可以直接的达到避免数据泄露的效果，给予安全管理员足够地缓冲时间来处理风险。
从实际运行过程可以看出，AnyRobot UEBA的风险中止机制——响应、自我认证，能够一方面将高危风险造成的损失降至0，另一方面能降低安全人员工作负担，填补安全空档，实现24小时信息安全。而自我审核机制则能够借助员工自我检测机制，放大微小的蛛丝马迹，发现其中隐藏的账号被盗风险。
从AnyRobot UEBA处理的结果上看，我们可以明显看出其能够有效应对张在苹果公司的窃密举动。
方案同时能够做到自我优化，管理员通过定期输出安全报告和提出新策略，反过来改进规则和优化模型，使得UEBA在企业持续更高效的运转，形成良性的正向反馈。

防范内部泄密，时不我待

俗话说“日防夜防，家贼难防”，对于企业来说更是如此。
部分内部员工或许因为对绩效考核不满，或许看中数据背后的商业价值，常常不顾企业保密制度做出泄密行为。
而以下一组关于企业网络安全的数据，更是说明防范内部员工泄密的紧迫性。

这组数据相信一定出乎很多人的意料，企业付出大量的人力、财力来防御外部攻击，最终还是免不了遭遇数据泄露，而在内部安全审计上，几乎没有什么实质性的投入。而从结果上看，内部员工泄密比黑客窃取造成的数据泄露要多得多。
当然，我们不能否认黑客窃取的占比较低的原因是因为企业投入资源建设安全体系。但是，当企业建立了一定规模的安全体系之后，应该清楚的认识到：此时安全部门的防范重点应该从外部攻击转变成为内部员工泄密。如何进行内部安全审计，防范内部员工泄密，早已成为中大企业安全体系中后期的重点。
对于这类企业，企业往往早已做大做强，员工规模相对较大，员工泄密的可能性更大，员工因为操作失误造成的数据泄露事故也更多，单纯依靠传统的保密制度教育早已无法保障企业安全。一旦发生内部员工泄密，后果往往会造成更大的损失。
我们知道在企业安全领域一直有一个定律：“越早发现，损失越低”。因此能否做到“越早发现”，便成了衡量安全产品优劣的重要标准。
UEBA借助大数据环境，并通过机器学习模型推动提供及时的异常告警和风险评分。在泄露早期，对于异常做到分级处理、迅速响应，能够极大的避免数据泄露的发生。同时，为管理员提供观察列表，让管理员直观的看出异常的紧急程度，能够极大的提高安全部门的运行效率。
我们知道企业安全负责人关注更高层的流程：从处理报警如何到整体安全防御能力的提升。
● 出了安全问题，哪些人（内部人、外部人）应该负责
● 这些人为何有这样的安全问题（有意还是无意）
● 将来如何避免这样的安全问题（付诸教育、资产管理、还是法律）
UEBA还能够做到用户行为留痕分析，对用户的行为活动全保留。一旦出现安全问题，管理员通过对文件泄露途径进行分析，做到“谁泄露谁负责”的精准归责；安全部门甚至可以以UEBA生成的报表为依据制作企业年度安全报告，为企业将来如何避免安全问题指引方向。

爱数新闻