美军核潜艇机密泄露案：如何防御受过内部威胁培训的内部威胁者？

[[440129]]

2021年10月，美国海军核工程师乔纳森·托比(Jonathan Toebbe)及其妻子戴安娜·托(Diana Toebbe)因试图将核动力战舰的设计出售给外国代表被以间谍罪逮捕。此次内部威胁事件再次引发了一个问题：企业组织应该如何处理接受过内部威胁培训的内部威胁者?

背景介绍

美国海军工程师乔纳森·托比因试图以500万美元出售敏感的核潜艇机密被捕入狱，如今，他正在西弗吉尼亚州的监狱中等待12月份的最终审判。

我们只能想象海军信息安全团队在得知最敏感机密泄露后的慌乱场景，他们应该会组织谈论以了解这些机密究竟是如何被人为带出机密环境，带回员工住所，然后传递给未经授权的第三方。内部威胁的缩影再次重现了!

那些参与过缓解内部威胁项目的人几乎一致认为，人们从工作场所窃取专有机密的倾向会随着离职期接近而与日俱增。据法庭文件显示，Toebbe曾希望获取高额薪资，并从海军工作中抽身。此次公开事件也许再次印证了他正考虑退出的想法。

注意!您的恶意内部人员受过内部威胁培训!

Toebbe讲述了自己是如何在不引起同事们怀疑的情况下窃取海军机密的犯罪过程。他表示：“我在日常工作中非常小心地、慢慢地、自然地收集我拥有的文件，所以没有人会怀疑我的计划。而且，我们接受过内部威胁培训，我可以有针对性地避免触发任何可疑行为。即便将来有调查，我也坚信我以前的任何同事都不会怀疑到我身上。”

法庭文件显示，虽然他多年来拿走了10,000多页的文件，但他坚称只拿了自己可以自然接触的文件。他还默记了部分信息，回家后重新绘制了图表。此外，他还在多个海军研究地点窃取了这些机密。他的信件和他执行非个人间谍活动的尝试表明，他正在借鉴其他成功窃取机密的内部人员所使用的大量间谍历史和方法论。

其他类似内部威胁案例

就Toebbe的数据泄露方法而言，我联想到了其他四起政府内部威胁案例。所有这四个人都接受过反间谍培训，其中包括有关内部威胁的部分内容。他们还被教育需要自我报告处理机密信息时的任何错误，并报告工作场所内的任何可疑活动。

上世纪80年代中期，海军分析师乔纳森·波拉德(Jonathan Pollard)曾一周多天，每天两至三次将文件带离工作场所。他将文件统一存放在一个手提箱中，等待交付给他的以色列情报处理人员。在长达一年的时间里，Pollard盗窃文件的行为都没有被发现。直到一位同事看到Pollard对机密材料处理不当并举报。最终，政府认定Pollard已将相当于18立方英尺的机密材料带离工作场所。

2015年，美国国家安全局(NSA)的承包商Reality Winner在她的工作场所打印了一份机密文件，并将其塞进连裤袜中，然后顺利地躲过安检，将其邮寄给了一家媒体。她同样接受过内部威胁培训。直至媒体要求美国国家安全局确认发送给他们的数据时，她才被发现，美国国家安全局的调查显示，Winner是有权限阅读该文件的少数人之一，也是唯一一个打印文件的人。

然后是情报界的承包商哈罗德·马丁(Harold Martin)，他被发现在1996年至2016年期间从不同的工作地点泄露信息。据悉，当他被发现时，联邦调查局调查人员发现他保留的信息量超过50 TB。在审判期间，政府部门注意到他也接受过内部威胁培训。

安娜·贝伦·蒙特斯(Ana Belen Montes)于2002年被判入狱，她被捕时正是国防部(DoD)的首席分析员。在她担任分析师的整个任期内(大约17年)，她也是古巴政府的秘密间谍。 她天生具有近乎摄影般的记忆力，因此据信她从未从工作场所带走任何文件。相反地，她记住了内容，然后将其重新创建以传递给她的古巴情报人员。最终，一名古巴叛逃者提供了可以识别Montes的线索才将其逮捕入狱。

如何识别此类内部威胁者?

Toebbe长期窃取文件是否足以触发当今可用的内部威胁监控技术?是否足以触发同事检测到涉及机密文件的异常事件?毫无疑问，海军内部的损害评估正在努力回答这些问题。

Code42公司的Joe Payne指出，政府和私营部门之间存在差异。他观察到，在设定对员工行为的期望以及在非常真实的期望范围内运作时，政府部门的标准比私营部门高得多，政府员工从一开始就接受过培训，并且养成了“看到可疑，立即上报”的习惯。不过，只要作案总有痕迹可寻，调查人员可以以此来检测Toebbe的行为。

那么，技术应该如何检测Montes(上述拥有超凡记忆力的内部威胁者)和Toebbe这种通过记住机密内容，随后重新创建副本的行为呢?DTEX Systems公司安全和商业智能总监Armaan Mahbod指出，单纯在阅读/扫描的用户不会长时间逗留。技术应该能够判断用户与其他人相比在特定文档中的用时长短，并在出现异常活动时发出警报。

从残酷的内部威胁现实中吸取教训

问题的本质仍然是人员匮乏。鉴于审计职能人员不足，那些窃取文件的内部威胁者才有机会从职权访问范围缓慢且有条不紊地向其他领域渗透。如今，组织在人力资源、IT和安全等部门间已经实现不同程度的跨部门沟通。不过，我们的最终目标是在整个组织内加强他们的沟通，从而进一步加强安全性。

关注内部威胁的CISO需要与企业和基础设施的其他领域紧密合作，以确保当调查员工在一个领域的行为时，他们在所有领域的行为都能得到审查。此外，最高管理层应该鼓励所有员工和承包商在与同事互动时接受“发现异常，立即上报”的心态。

最后，应该让您的员工以受信任的方式完成他们的工作，并用一把“保护伞”将他们包裹起来，这样如果他们冒险偏离流程和程序——例如，加载到基于Web的存储——就会立即得到纠正。

本文翻译自：https://www.csoonline.com/article/3641410/what-cisos-can-learn-from-the-navy-insider-who-went-undetected-stealing-us-nuclear-secrets.html如若转载，请注明原文地址。