在Google搜索杀伤链（kill chain）的时候无意搜到dtexsystems公司有一篇介绍内部威胁5步杀伤链（insider threat kill chain）的文章。内部威胁和外部威胁不管从过程还是IOC都有很大不同，感觉还是值得参考。这里简单介绍一下此方法论。

和杀伤链一样，内部威胁杀伤链也分成多个阶段：侦察、规避、打包、混淆、泄漏。外部入侵者如果冒充内部人员身份在内网巡游，也应该适用此方法论。可以认为这是kill chain在command&control和actions on target阶段的细化。

第1步：侦察

当他们打算内部攻击时，用户开始寻找窃取的文件和数据。这阶段要逮住入该用户的关键是要留意谁访问了不寻常的位置或运行不正常应用程序。通过这种方式，你可以得到一个早期指示：内部可能正在准备攻击。

高风险用户活动包括：

• 在文档库中访问一个新的或不寻常的位置
• 错误或被拒绝的访问比平时增多
• 尝试安装USB设备和接入外部网站失败
• 在短时间内以不同寻常的速度迅速打开文件的
• 使用网络扫描和的网络工具
• 运行以前从来没有运行过的应用程序 – 尤其是黑客的应用

第2步：规避

接下来，用户研究将获得的数据带出组织的方法。有时可以通过简单的方式，例如文件共享网站。其它时候，精通IT技术的人员可以使用更技术化方法，如代理服务器和VPN。

一些例子包括：

• 使用Tor、VPN和代理服务器这样的工具来从事无法跟踪的互联网活动
• 通过即时通讯文件传输逃避DLP的约束
• 使用黑客工具
• 在线共享信息，无论是通过如PasteBin样的复制/粘贴网站，像reddit的社区或社交网络如Facebook或LinkedIn
• 禁用或绕过安全软件，或研究如何做到这些

第3步：打包

当他们准备采取行动，用户会打包他们准备窃取数据。这意味着，你需要留意各种形式不寻常的文件活动，复制、移动、删除操作。

一些例子包括：

• 文件拷贝，移动和删除操作数量异常
• 高风险位置和敏感文件类型的文件活动数量异常
• 这完全一样大小的文件创建数量异常
• 将文件保存在用户终端平时的位置

步骤4：混淆

用户在试图窃取数据之前几乎总是会掩盖他们的痕迹。他们使用的方法简单的像重命名文件，复杂的像完全禁用安全工具。为了在这一阶段抓住罪犯，你需要有组织内发生一切活动的详细视图。

您可能会看到：

• 异常的文件压缩速度和​​大小
• 清除cookies和事件查看器日志，或不正常使用的浏览器“隐形”的设置，如Chrome的隐身模式
• 将隐藏敏感信息在图像，视频或其它误导性的文件类型
• 特别是异常比例的对不同文件类型的文件进行重命名

第5步：泄漏

希望你是抓住了内部欺诈者后得知真正发生了窃取敏感数据和信息的事情。你应该已经看到了他们以前行为迹象，如果你没有，那么很有可能你的内部可见度非常低，你可能不会在这阶段抓住他们，这已经为时已晚。

这阶段用户肯定要将数据带离组织的。意味着，最重要的是不光要关注文件传输的数量和大小。更应该关注大量文件被移动到一个外部驱动器或上传到外部网络，这才是他们的目的。

早期预警是关键

这些步骤不是非常精确的，你可能会看到变化。但在一般情况下，这是内部攻击通常遵循的模式。一旦你知道这一活动的一般流程，为了早​​日制止这些内奸你就知道要寻找什么。理想情况下，你应该早在侦察阶段就阻止潜在的违规行为。试图禁止一切可能将数据带出该组织的方法是一件傻事。随着用户行为和适当的内部可见性积累，你会有一个更高的成功率。

原文链接

The Insider Threat Kill Chain: 5 Steps to Watch Out For by Dtex Systems Group of Companies