精品科技資訊安全顧問兼資安部經理陳伯榆,過去曾多次擔任臺灣資安大會講者,分享內部人員、外包第三方人員(Insider)從企業內部竊取資料的手法及防護方法。

圖片來源: 

圖/iThome

客戶涵蓋跨國IT供應商NTT Data及臺灣多家高科技業者的資安廠商精品科技,在資安端點防護已經累績了三十年經驗,資訊安全顧問兼資安部經理陳伯榆,過去更曾多次擔任臺灣資安大會講者,分享內部人員、外包第三方人員從企業內部竊取資料的手法及防護方法。而在今年臺灣資安大會上,他更純粹以資料竊取者的角度,來分析內賊如何竊取企業機密,並輕易閃避企業IT偵測,將資料傳送出去。

「有很多資安人員,不曉得如何抓到偷竊行為,可能已經窮舉各種方法,甚至把CMD指令或PowerShell執行權限降到最小,只能執行預設的功能。但這真的有效?」陳伯榆點出企業IT在資源有限的情況下,要查找出竊取行為的挑戰。

尤其,這類來自內部的資料竊取者(通常來自內部人員或外包第三方人員,通稱為Insider),通常熟悉企業的資訊環境,比如網段、主機位置、啟用的資訊服務等,也一定程度的掌握了企業員工的習慣,包括員工如何時離開位置、電腦是否登出、是否使用外接儲存裝置等狀態,就連資料的儲存位置、資安管控措施都有所了解。由於內部人員具備了這些有利的條件,一旦受到利益、惡意、政治目的驅使,或是一時疏忽導致機密資料外洩,就會成為企業的災難,甚至帶來更甚於外部駭客攻擊的破壞。

近年來,從內部竊取資料的手法也更隱蔽,比如一位名列中國千人計畫的華裔工程師,就疑似把39份美國企業General Electric Power的設計與流程圖,加密並隱藏到一張照片裡,偽裝成一張正常的日落風景圖,再從公司伺服器複製出來傳送到自己的Email中。陳伯榆表示,面對這類偷竊手法,企業在資源有限的情況下,很難一窺或是查找出竊取行為,需要有相關配套環境與管控措施,才能在微跡證的軌跡紀錄中揪出竊取者。

Insider如何把資料偷走?

陳伯榆也以技術角度分析Insider竊取手法,來說明內賊難防的原因。

首先,在偷資料的過程中,Insider會先把機密資料隱藏起來,透過編碼(Encode)或加密(Encryption)的手法,將機密文件的內容文本,以一道工法進行遮蔽,使其無法透過簡易方式閱讀出文本的真正意義與內容,比如上述案例中,將設計圖加密到一張風景圖中,就是一種隱匿資料的手法。而將機密資料隱藏到各種載體的過程,也稱為隱寫術(Steganography),具有不可察覺(Imperceptibility)、難以檢測(Undetectability)的特性。

陳伯榆說明,隱寫術中用來隱藏機密資料的媒介,包括圖片、影片、聲音、內容(txt、pdf)、壓縮檔(zip、rar),且透過非技術性的簡單手法,也可以將機密資料隱寫到文件中,比如透過在Word檔的空白處貼上機密內容,再把文字反白,就能偽裝成一份正常的文件檔案,但事實上已經隱匿了機密訊息。

將資料隱匿起來之後,接著,還要把資料偷渡出去才有價值。陳伯榆說,企業對外有各種網路傳輸的渠道,如Mail、Web、DNS Tunnel、FTP、雲端工具等,許多企業往往認為做了嚴密控管,但仍有許多技術管道能嘗試繞過這些限制,比如DNS Tunnel作為與外界通訊的管道,就容易成為機密資料外洩的破口。

另一個傳輸管道,則是透過實體的裝置來存取資料,最常見的就是USB,其他還有CD、Mobile裝置、紙本文件、印表機等。尤其許多企業電腦具有雲端列印的功能,若沒有防護措施,偷竊者甚至可以直接將文件列印到家中印表機,這些都是需要防範的傳輸管道。

陳伯榆更提醒,偷竊者從網路將資料傳輸出去時,更可能利用混淆(Obfuscated)程式碼的手法,混淆CMD或PowerShell指令,來迴避IT人員的監測分析,達到傳送輸出的目的。而且,多數企業也都缺乏輸入(input)、輸出(output)指令的行為紀錄,容易成為偷竊者迴避監測的管道。最後,將機密資料取出後,就能透過解碼(Decode),完成一次機密竊取。

面對這些內部資料偷竊威脅,陳伯榆也建議,市面上仍有合適的產品工具,可供企業快速分析、查找風險,成敗關鍵,在於資安稽核人員需不斷學習並精進相關技術,來累積風險查找的經驗與敏感度。

熱門新聞

Advertisement