趋势与观点 | 利用社交媒体平台检测内部威胁行为

长期以来,内部威胁一直是组织面临的一个问题,而且它们不断地进入本应是最值得信任的组织。内部威胁是指拥有或曾被授权访问一个组织的资产的个人有可能利用他们的访问权,无论是恶意的还是无意的,以一种可能对组织产生负面影响的方式行事。这些威胁来自于恶意的用户、粗心的用户和被攻击的用户,引发公共行业、政府和公民的担忧。从历史上看,47%的违规事件是由于内部威胁造成的。

检测和减轻内部威胁没有固定的方法,组织需要更有效的措施。检测潜在内部威胁的一种方法是使用机器学习(ML)来检索社交媒体的数据。然而,收集和分析这些数据会被认为是对隐私的侵犯。

保护隐私信息是至关重要的,组织需要分析因为那些不必了解信息的人造成的信息泄漏所引起的道德问题和成本影响。威胁到安全或隐私的事件每年都会给消费者和纳税人带来数百万美元的培训和人员配备费用。此外,还有信息被泄露的成本,或在信息泄露的危害发生后对基础设施进行加固的成本。

对于IT专业人士来说,了解社交媒体数据的可用性和可用于使用机器学习识别可能的内部威胁的方法,以及与从众多社交媒体平台检索信息有关的隐私和政策影响非常重要。基于使用机器学习的可能性已经引起了政策制定者和政府领导人的注意。

利用机器学习识别威胁

人们已经开展了很多研究,调查使用机器学习技术可能存在的内部威胁,研究可用于保护员工数据的政策,并扩大对这种不断演进的能力的理解。研究人员分析了50万个社交媒体帖子,以确定它们是否可以与使用Facepager和机器学习的可能构成内部威胁的用户相关联。FacePager是一个免费的开源软件工具,可用于从各种社交媒体平台上提取数据,包括YouTube、脸书(Facebook)、亚马逊(Amazon)和推特(Twitter)(图1)。它可以在几分钟内从一个社交媒体页面上检索出数百万个帖子,包括创建日期、最后更新日期、表情符号、识别码、回复和消息等信息。

图1-FacePager应用工具

来源:Facepager, https://facepager.software.informer.com/3.6/

为了分析数据,我们创建了一个来自R语言的信任评分算法。图2显示了被导出到一个结构化的逗号分隔值文件(CSV)的帖子。一旦变成这种格式,数据就可以用R或Python语言进行分析。在R语言中,初学者可以通过预设的软件包快速解决复杂的问题,这些软件包是由开发人员使用R语言建立的。虽然Python有数百个库,可以执行复杂的操作,在数据分析、网络开发和其他操作中很有用,但它不像R语言那样有成千上万的预设软件包。

图2-从社会媒体中检索数据

来源:Facepager, https://facepager.software.informer.com/3.6/

机器学习可以用来查询一个由数千甚至数百万个帖子组成的数据集,并根据一个基线社交媒体数据集给每个帖子打分。有许多其他的社交媒体数据集,但本次分析侧重于从福克斯新闻的帖子中检索的数据集。在这个例子中,尽管许多帖子被认为是正常的帖子,对一个组织不构成任何风险,但有几百个帖子是令人担忧的,其中极其令人担忧的帖子被归类为1级。帖子的文字影响分数越大,即关于政府部门和官员的大量文字或帖子中包含的可能令人担忧的文字,内部威胁的机会就越大。

安全和隐私方面的考虑

隐私是人类的一种需求。虽然使用FacePager这样的检索抓取工具有好处,但使用这些类型的工具也会侵犯社交媒体用户的隐私。安全从业人员必须在推动技术发展以帮助防范内部威胁和执行个人隐私保护之间找到一个平衡。尽管一些社交媒体平台,如Facebook,已经阻止了对个人身份信息(PII)的抓取,但信息碎片依然可以被相互连接,使用机器学习筛选和搜索来揭示这些信息。

如果从社交媒体上检索到的帖子中的数据和相关的信任评分被泄露,无论是通过云存储、处理,还是升级的漏洞,这些信息的泄露可能会损害组织多年来的声誉,并可能影响职业生涯。因此,如果组织在处理敏感数据时被发现有疏忽,就有可能被提起诉讼——无论其社交媒体页面是否对公众开放。处理不当和未经授权公开发布数据,会被认为是不道德的,更糟糕的是会引起诉讼。许多恶意行为者的唯一目的是获得损害声誉的信息,以挟持组织和个人作为要挟,直至支付赎金。为此,应高度重视数据的保护,应实施数据审计以监控信息的下载,在云中发送数据时应使用加密技术以遵守 "知其所需"的政策,并应实施身份认证以确保只有预期的人员才能访问数据。系统信息的物理安全应该存储在一个安全门后,该门应有一个徽章阅读器或一个针对入口的摄像头来保护。

尽管使用Facepager收集数据可以使组织受益,但对结果的分析可能是一个重大挑战。在线验证和归集是很困难的;因此,需要一个专门的调查团队来处理相关数据,并从头到尾保障数据收集过程。

调查其他社交媒体平台,并将结果与该行业视角进行比较,可能是这一过程中有用的下一步。

围绕内部威胁的关注远远超出了现有员工。对于未来的员工,可能也需要制定保护措施。虽然雇主查询雇员的社交媒体帖子是在法律范围内,但应该有法律来防止前雇主与雇员寻求就业的其他组织分享检索到的数据。国家层面的政策可以防止组织保存社交媒体数据或这些数据的结果应该超过3年。这项政策可以防止组织无限制地禁止个人就业。

结论

尽管有多种检测方法用于保护最敏感的信息,但被认为是受信任的员工并能畅通无阻地接触敏感信息的内部人员仍在给企业带来损失。2021年,内部威胁造成美国的组织每年平均损失1540万美元,比2020年增长34%。大约三分之二的美国公民拥有社交媒体账户。人们使用社交媒体账户来分享想法,探索新的想法,并与那些有类似和不同想法的人接触。因此,社交媒体页面上有大量的信息,可以通过现有的PII进行检索和链接,以获得与用户有关联的工作地点、学校或组织。这些关联可能会被储存在云环境中,供多个组织使用。

这种隐私权的丧失对消费者产生了负面影响,但知识产权的丧失也可能对国家安全产生负面影响,并危及生命,例如被盗的军事武器技术、方法和来源。存有敏感数据的系统的安全需要包括保护隐私的保障措施。组织和政府必须在保护隐私和主动检测内部威胁之间找到一个平衡。

编者注:本文首次发表于2022年10月12日ISACA官网News and Trends /Industry News。尾注略。文章内容仅代表作者本人观点。
作者:Michael Williams, DSc,拥有20年以上丰富经验的技术领袖。
Babur Kohy, DSc,是一位以结果为导向的网络安全领导者,在多个网络安全领域拥有丰富的实践经验。
翻译:王岩 (Liam Wong),CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员。
校对:谭辰菲(William Tan),CISSP,CISA,CDPSE,CRISC, ISACA微信公众号特邀通讯员,德国商业银行信息安全经理。