爱德华·斯诺登与国家安全局：关于内部威胁的一课——彭博社

爱德华·斯诺登在香港接受采访期间。《卫报》通过盖蒂图片社拍摄在围绕爱德华·斯诺登事件的所有谜团中，有一个尚未引起太多关注：为什么美国国家安全局（NSA）——这个地球上技术最先进的组织之一——没有方法能检测到斯诺登正在下载数千份文件？

每位首席执行官都应向其最高安全官提出的必然问题是：“我们组织是否有方法检测未经授权的数据访问？”根据最近的SANS 2013关键安全控制调查，实际上只有不到10%的公司对安全控制进行了主动监控，这一领域正是管理未经授权访问的关键。

拥有无限权限接触敏感数据的员工和承包商，存在故意、意外或间接滥用该权限的更大风险，可能导致数据被盗、删除或修改。在人员、流程和技术——安全的三大支柱——的交汇处，人性是最薄弱的环节，而爱德华·斯诺登的失误就是一个完美的例证。

据迈克尔·海登（前美国国家安全局和中央情报局局长）称，NSA中能够访问高度机密数据的人员不超过22人，这些数据每天包括约10亿多条记录。可以假设这些人应该是经过严格背景调查的内部分析师，他们在处理高度机密数据方面经验丰富，并且是NSA的员工。我们还可以假设这些人拥有以高度安全的方式访问这些数据的特殊权限。

我对NSA的内部运作并无特别了解，但显然该协议未被遵守——作为外部承包商的斯诺登在无强制监控的情况下获得了敏感信息访问权限，这明显违反了控制条例且暴露出流程的重大漏洞。

虽然现有技术能强制执行访问权限、特权及策略，但技术效果完全取决于实施者的操作与流程管控。若管理人员刻意规避技术策略执行、特批例外、忽视违规或未建立充分监督机制，技术防线必将失效。

从技术层面审视的另一关键问题在于：NSA完全缺乏对用户、流程及安全控制的统一化持续监控与审计机制。

假若NSA当时能对网络活动、用户行为、系统操作及策略执行等进行全面监控分析与审计，通过识别异常行为和使用模式，斯诺登访问敏感数据、连接移动设备并拷贝文件等举动本应触发警报。单个产品（如USB监控方案或数据库活动监测系统）或许捕获了相关数据，但分散查看数据点的管理员未能串联线索。若NSA采用能将所有信息整合至统一数据库并自动关联分析的技术，本可及时发现潜在入侵或策略违规行为。

不幸的是，斯诺登事件中特权人员能够不受制衡地访问敏感数据的情况，在私营部门也屡见不鲜。高管层往往对安全持应付检查的心态（即仅做满足政府或行业强制要求的最低限度措施），或缺乏认知意识不到其知识产权和业务正因安全管控不足而面临风险。

随着自带设备（BYOD）、移动设备和云基础设施的普及，传统网络边界日益薄弱，企业亟需实施SANS 20项关键安全控制等最佳安全实践来防范网络攻击与间谍行为。这需要管理层在资源与预算层面给予支持。

斯诺登丑闻应当为公共和私营部门敲响警钟，必须建立能够全面感知并自动化持续监控关键安全控制的机制，从而有效降低业务面临的真实风险与威胁。