从美国国防部看内部威胁的五大关键指标

五角大楼机密情报在社交媒体平台Discord上泄露，一番审查之后，美国国防部（DoD）拟成立内部威胁办公室监控雇员。

6月30日，美国国防部长签发备忘录，要求成立内部威胁与网络能力联合管理办公室以“监督用户活动监测（UAM）”。

尽管阻止内部人员泄露数据的任何举措都可带来潜在收益，但正如2014年美国国家安全系统委员会第504号指令所言，与UAM要求相关的问题才是重点。

简而言之，当前的UAM数据要求不足以主动阻止内部风险演变为可致数据泄露事件的威胁。

昨日重现

听闻“内部威胁与网络能力联合管理办公室”，很多内部风险防范从业者可能都会产生似曾相识之感。这是有原因的。

我们不妨简要回顾一下过往：

2011

维基解密（WikiLeaks）网站放出成千上万份机密文件之后，时任美国总统奥巴马发布第13587号行政令，宣布成立国家内部威胁特别工作组（NITTF）。

2014

华盛顿海军造船厂枪击案促使美国国防部成立国防部内部威胁管理与分析中心（DITMAC）。

实际上，美国国防部已实施多项举措来整合自身内部威胁管理职能。但只要最终是出于国家安全利益的目的而保护机密情报，那需要解决的问题远不止如此。

真正的问题：UAM数据要求是被动反应式的

美国国防部主动缓解内部风险的最大障碍在于所要求的UAM数据采集能力（充其量）是被动反应式的。

按照CNSSD 504的要求，每个行政部门和机构都至少应该具备五种采集用户活动数据的技术能力。分别是：

1、键盘记录

2、完整的应用程序内容（例如，电子邮件、聊天、数据导入、数据导出）

3、屏幕截图

4、出于合法目的的文件跟踪（即，跟踪文件名称和文件位置变更的能力）

5、将所采集的UAM数据追溯至特定用户

截至2019年，具有机密信息访问权限的人有420万。上面列出的能力中有很多都依靠对员工的监控，这是隐私和员工信任方面的严重问题。但将监控作为在众多员工中发现极少数内鬼的主要机制显然是不可行的。即便碰巧发现了那么一两个，大多数内部风险不到真的发生数据泄露也不会暴露出来，而那时早已为时已晚。被动反应的方法设置了很低的标准，尤其是在国家安全方面。

事涉国家秘密保护，拥有正确的数据是主动内部风险管理和被动损害控制之间的分水岭。

键盘记录和屏幕截图不能用于阻止泄密事件发生：这类数据仅在事发后才有用，且即便到了那种时候，其用处也不大，因为损害已经造成。

很有必要重视可早期用于主动缓解内部风险的数据，借此现代化UAM要求。这就是预警指标为何如此重要的原因：为在事发前检测、遏阻和瓦解内部风险留出时间。

五角大楼泄密：预警指标本可改变历史

如果目标是主动缓解内部风险，那在潜在数据渗漏发生之前拥有可操作数据就是一切。仅靠UAM解决方案在数据泄露事件进行时和发生后捕捉数据是不够的。

预警指标为分析师提供了在数据泄露事发前主动升级、调查和修复内部风险的时间。

说到五角大楼泄密事件，有几个预警指标本可以用来提供主动识别风险并防止数据泄露所需的上下文。

知道查找哪些东西和如何利用正确的数据是个精细活儿。仅靠孤立的数据点无法确定内部风险。内部风险确定是一项全面细致的工作，涉及长期关联和聚合来自员工、组织、网络和物理传感器的数据。

五角大楼泄密事件的五个潜在预警指标

规模和频率

以不正常的频率访问大量数据，尤其是与同事相比

敏感度

搜索、访问或聚合不符合个人工作职能的高度敏感数据

工作职能

超出个人工作职能和部门范围或资历的任何其他活动

人力资源（HR）部门通知

关于员工未授权或反社会活动的任何通知——无论多小（“看到什么就说什么”）

搜索

以不寻常的方式、时间和频率搜索或研究公司网络（在本例中为联合全球情报通信系统）

以上只是一些基于行为的预警指标。这些指标单独来看可能无害，但如果聚合并关联起来，尤其是与涉事人员颇具争议的网上表现相关联的时候，其风险状况就升高了。

进一步讲，了解预警指标，建立捕捉这类指标并据此负责任地快速采取行动的机制，是主动检测和解决内部风险的关键。美国国防部拟成立的内部威胁与网络能力联合管理办公室可能是保护国家秘密的使命中或许考虑到这一点了吧。