Phương pháp phát hiện và phòng chống tấn công nội gián lên hệ thống thông tin

18 • Nội gián tiềm năng là bất cứ người nào có quyền truy cập, đặc quyền • Nội gián tiềm năng có thể là bất cứ cá nhân nào có được một mức độ tin tưởng nhất định trong hệ thống thông tin

BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI

LUẬN VĂN THẠC SĨ

CHUYÊN NGHÀNH CÔNG NGHỆ THÔNG TIN

PHƯƠNG PHÁP PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG NỘI GIÁN LÊN HỆ THỐNG THÔNG TIN

TÁC GIÁ : PHẠM THỊ MINH HIỀN

LỜI CAM ĐOAN

Tôi cam đoan đây là công trình nghiên cứu của riêng tôi

Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công

bố trong bất kỳ công trình nào khác

Tác giả luận văn

Phạm Thị Minh Hiền

Xin chân thành cảm ơn các thầy cô giáo, các nhà khoa học đã trực tiếp giảng dạy, truyền đạt kiến thức và kinh nghiệm khoa học chuyên ngành công nghệ thông tin cho bản thân tác giả trong suốt thời gian học tập và nghiên cứu

Sau những ngày tháng miệt mài nghiên cứu với tất cả sự nỗ lực của bản thân cùng với sự giúp đỡ và đóng góp của các thầy, các cô, tác giả đã xây dựng

và hoàn thiện luận văn, tuy nhiên khó tránh khỏi những thiếu sót Tác giả rất mong nhận được sự đóng góp, phê bình của quý thầy cô, các nhà khoa học và các bạn công tác trong lĩnh vực này để đề tài dần được hoàn thiện hơn nữa

Xin chân thành cảm ơn !

Hà Nội, ngày 11/05/2017

Phạm Thị Minh Hiền

MỤC LỤC

LỜI CAM ĐOAN 3

LỜI CẢM ƠN 4

DANH MỤC CÁC THUẬT NGỮ, CÁC CHỮ VIẾT TẮT 9

DANH SÁCH HÌNH VẼ 10

DANH SÁCH BẢNG 11

CHƯƠNG 1: MẠNG DOANH NGHIỆP VÀ TẤN CÔNG NỘI GIÁN 12

1.1 Mạng doanh nghiệp 12

1.1.1 Định nghĩa mạng doanh nghiệp 12

1.1.2 Thành phần mạng doanh nghiệp 12

1.2 Một số định nghĩa 14

1.2.1 Bảo mật thông tin 14

1.2.2 Nội gián tiềm năng 17

1.2.3 Mối đe dọa nội gián 20

6

1.3 Phân loại người tấn công nội gián 21

1.3.1 Phân loại theo động cơ và mục đích 22

1.3.2 Phân loại theo hành động gây hại 24

1.4 Mô tả mối đe dọa nội gián 26

1.4.1 Cố ý lạm dụng quyền truy cập vật lý 27

1.4.2 Vô ý lạm dụng quyền truy cập vật lý 28

1.4.3 Cố ý lạm dụng quyền truy cập mạng 28

1.4.4 Vô ý lạm dụng quyền truy cập mạng 30

1.5 Nguy cơ từ các mối đe dọa nội gián 31

1.5.1 Tác động của các mối đe dọa nội gián 31

1.5.2 Chiến lược hạn chế rủi ro 32

1.6 Các tấn công nội gián trong thực tế 32

CHƯƠNG 2: CÁC PHƯƠNG PHÁP PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG NỘI GIÁN 36

2.1 Các phương pháp phát hiện tấn công nội gián 36

2.1.1 Quan sát hành vi 37

2.1.2 Quan sát động cơ 39

2.1.3 Đặc điểm cá nhân 41

2.1.4 Các yếu tố kỹ thuật 43

2.1.5 Sử dụng Honeypots 44

2.1.6 Kết hợp các thành phần an ninh 45

2.2 Các phương pháp phòng chống tấn công nội gián 46

2.2.1 Sử dụng các phương pháp kỹ thuật 46

2.2.1.1 Biện pháp bảo vệ kỹ thuật 46

2.2.1.2 Sử dụng các công cụ giám sát và kiểm toán 47

2.2.1.3 Giám sát, quản lý truy cập từ xa và thiết bị di động 51

2.2.1.4 Ngăn chặn rò rỉ dữ liệu 56

2.2.1.5 Sandboxing 58

2.2.1.6 Lưu giữ bằng chứng tấn công nội gián 58

2.2.1.7 Biện pháp Honey pots 59

2.2.1.8 Sao lưu và phục hồi 60

2.2.2 Nghiên cứu phát triển chính sách 62

2.2.2.1 Quản lý mật khẩu và tài khoản 63

2.2.2.2 Thủ tục kết thúc 66

2.2.2.3 Đánh giá rủi ro 66

2.2.2.4 Chính sách tuyển dụng 67

2.2.3 Đào tạo con người 67

2.2.3.1 Phản ứng với các hành vi đáng ngờ 67

2.2.3.2 Đào tạo nâng cao nhận thức an ninh 68

2.2.3.3 Nguyên tắc phân chia nhiệm vụ và đặc quyền tối thiểu 69

2.2.3.4 Người quản trị hệ thống và nhân viên đặc quyền 71

2.2.3.5 Khéo léo trong việc phản ứng 71

CHƯƠNG 3: MÔ PHỎNG TẤN CÔNG VÀ PHÁT HIỆN 74

TẤN CÔNG NỘI GIÁN 74

3.1 Giới thiệu về các công cụ thực hiện mô phỏng 74

3.1.1 GNS3 74

3.1.2 Mdaemon Server 75

3.1.3 Cain & Abel 76

3.1.4 Wireshark 77

8

3.2 Mô phỏng 77

3.2.1 Mô hình mạng 78

3.2.2 Các bước mô phỏng 78

KẾT LUẬN LUẬN VĂN 92

Tài liệu tham khảo 95

DANH MỤC CÁC THUẬT NGỮ, CÁC CHỮ VIẾT TẮT

Từ viết

ERP

Enterprise Resource

10

DANH SÁCH HÌNH VẼ

Hình 3.7: Giao diện bảng ARP Poison Routing 64

DANH SÁCH BẢNG

Bảng 1.5: Các mối đe dọa gây ra bởi sự cố ý lạm dụng quyền truy cập mạng 15-16

12

CHƯƠNG 1: MẠNG DOANH NGHIỆP VÀ TẤN CÔNG NỘI GIÁN

1.1 Mạng doanh nghiệp

1.1.1 Định nghĩa mạng doanh nghiệp

Mạng doanh nghiệp là xương sống (backbone) truyền thông của doanh nghiệp, giúp kết nối máy tính cùng các thiết bị liên quan thuộc các bộ phận và workgroup khác nhau, tạo điều kiện để tiếp cận và truy cập dữ liệu Mạng doanh nghiệp làm giảm số lượng giao thức truyền thông, làm tăng khả năng tương tác giữa hệ thống và thiết bị, đồng thời cải thiện khả năng quản lý dữ liệu trong và ngoài doanh nghiệp

Mục đích chính của mạng doanh nghiệp là loại bỏ người dùng và workgroup đơn lẻ Tất cả hệ thống phải có khả năng giao tiếp, cung cấp và lấy thông tin Ngoài ra, hệ thống vật lý cùng các thiết bị phải được duy trì, đảm bảo hiệu suất, độ tin cậy và tính an toàn

Về phạm vi, mạng doanh nghiệp bao gồm mạng cục bộ và mạng diện rộng (LAN/WAN), phụ thuộc vào yêu cầu hoạt động của từng bộ phận, phòng ban Một mạng doanh nghiệp có thể tích hợp nhiều hệ thống, trong đó có máy tính chạy Windows, Mac OS, hệ thống Unix, các mainframe và thiết bị khác như điện thoại thông minh và máy tính bảng Mạng doanh nghiệp được tích hợp chặt chẽ cho phép kết hợp và sử dụng nhiều thiết bị và giao thức giao tiếp một cách hiệu quả

1.1.2 Thành phần mạng doanh nghiệp

• Máy chủ (Server): Là một máy tính được nối mạng, có nhiệm vụ quản lý tài nguyên của mạng, có IP tĩnh, năng lực xử lý cao và trên máy đó được cài đặt các phần mềm để phục vụ cho các máy tính khác (máy trạm) truy cập để yêu cầu cung cấp các dịch vụ và tài nguyên Máy chủ đôi khi còn được gọi là hệ thống cuối

• Máy trạm (Client):Là một máy tính dành cho cá nhân sử dụng nhưng có cấu hình mạnh hơn, chạy nhanh hơn, và có nhiều khả năng hơn một máy tính

cá nhân thông dụng Máy trạm chủ yếu dành cho nhu cầu sử dụng doanh nghiệp hay chuyên nghiệp (hơn là dùng cho nhu cầu gia đình hay giải trí) Nó được thiết kế và cấu hình cho các ứng dụng kỹ thuật (CAD/CAM), phát triển phần mềm, các kiến trúc sư, nhà thiết kế đồ họa,… hay bất cứ ai có nhu cầu sức mạnh điện toán vừa phải, dung lượng bộ nhớ RAM lớn, và các khả năng đồ họa tương đối cao cấp Hai hệ điều hành thường được dùng cho máy trạm là Unix

và Windows NT

• Hệ thống CSDL: Cơ sở dữ liệu (CSDL) của các tổ chức, doanh nghiệp luôn là mục tiêu của nhiều cuộc tấn công Bởi đây là nơi lưu trữ các thông tin về khách hàng và nhiều dữ liệu bí mật khác Một trong những nguyên nhân khiến cho các CSDL dễ bị tổn thương bởi các tấn công là do các tổ chức, doanh nghiệp chưa có biện pháp bảo vệ đầy đủ cho tài nguyên này Khi truy nhập vào dữ liệu nhạy cảm, kẻ xấu có thể thực hiện tất cả các công việc để gây mất mát về tài chính hoặc phá hoại danh tiếng của tổ chức, doanh nghiệp

• Vùng LAN: Là một hệ thống mạng dùng để kết nối các máy tính trong một phạm vi nhỏ (phòng ban…) Các máy tính trong mạng LAN có thể chia sẻ tài nguyên với nhau, điển hình là chia sẻ tập tin, máy in, máy quét… và một số thiết bị khác

• Vùng WAN (Wide Area Networks): là mạng được thiết lập để liên kết các máy tính của hai hay nhiều khu vực khác nhau, ở khoảng cách xa về mặt địa lý, như giữa các quận trong một thành phố, hay giữa các thành phố hay các miền trong nước WAN có thể kết nối thành mạng riêng của một tổ chức, hay có thể kết nối qua nhiều hạ tầng mạng công cộng và của các công ty viễn thông khác nhau

• Vùng ứng dụng: Nó còn được gọi là APPSERVER Là một chương trình

mà điều khiển tất cả các hoạt động ứng dụng giữa những người sử dụng và các ứng dụng tầng cuối của một tổ chức doanh nghiệp hoặc là các cơ sở dữ liệu

• Phần mềm hệ thống: Là phần mềm máy tính thiết kế cho việc vận hành

và điều khiển phần cứng máy tính và cung cấp một kiến trúc cho việc chạy phần

14

mềm ứng dụng Phần mềm hệ thống có thể được chia thành hai loại, hệ điều hành và phần mềm tiện ích

1.2 Một số định nghĩa

1.2.1 Bảo mật thông tin

Ngày nay, các doanh nghiệp thường sử dụng hệ thống thông tin để lưu trữ, xử lý và phân phối những tài nguyên thông tin có giá trị Thông tin có thể được định nghĩa là dữ liệu có nghĩa và có ích đối với người nhận Việc xác định chính xác thông tin nào là thông tin có giá trị phụ thuộc vào từng doanh nghiệp, nhưng thường là những thông tin chiến lược và tài sản sở hữu trí tuệ, cho phép một doanh nghiệp có lợi thế trong quá trình cạnh tranh với các doanh nghiệp khác

Vì lý do đó, các hệ thốnglưu trữ thông tin có giá trị luôn phải đối mặt với hàng loạt mối đe dọa từ cả bên trong và bên ngoài Các tác nhân đe dọa luôn cố gắng khai thác lỗ hổng trong hệ thống thông tin cũng như lỗ hổng trong cơ chế bảo mật thông tin Cơ chế bảo mật thông tin là các biện pháp được áp dụng bởi mỗi doanh nghiệp để bảo vệ tài nguyên thông tin, giảm thiểu và chống lại các mối đe dọa có thể xảy ra Ngữ cảnh chung của bảo mật thông tin có thể được

mô tả như hình 1.1

khai thác

xác định giá trị

muốn giảm thiểu giảm nhẹ

áp dụng

có thể giảm

nhẹ bởi nhận thấy

có thể kiểm soát

Nguy cơ

Tài nguyên

Lỗ hổng

làm gia

gây

làm gia tăng đối với

đối với

Hình 1.1: Ngữ cảnh bảo mật chung (ISO/IEC 15408, 1999)

Cơ chế bảo mật không thích hợp có thể dẫn đến các tác động xấu như làm lộ thông tin, làm thông tin bị sửa đổi hay gián đoạn, hay nói cách khác là vi phạm ba tính chất bảo mật của thông tin Ba tính chất đó là bí mật, toàn vẹn và sẵn sàng (ISO/IEC 15408, 1999):

• Bí mật

Bí mật là thuật ngữ được sử dụng để tránh lộ thông tin đến những đối tượng không được xác thực hoặc để lọt vào các hệ thống khác Ví dụ: một giao dịch tín dụng qua Internet, số thẻ tín dụng được gửi từ người mua hàng đến người bán, và từ người bán đến nhà cung cấp dịch vụ thẻ tín dụng Hệ thống sẽ

cố gắng thực hiện tính bí mật bằng cách mã hóa số thẻ trong suốt quá trình truyền tin, giới hạn nơi nó có thể xuất hiện (cơ sở dữ liệu, log file, sao lưu (backup), in hóa đơn…) và bằng việc giới hạn truy cập những nơi mà nó được lưu lại Nếu một bên không được xác thực (ví dụ người dùng không có trong

16

giao dịch, hacker…) lấy số thẻ này bằng bất kì cách nào, thì tính bí mật không còn nữa.Tính bí mật rất cần thiết (nhưng chưa đủ) để duy trì sự riêng tư của người có thông tin được hệ thống lưu giữ

• Toàn vẹn

Trong an toàn thông tin, toàn vẹn có nghĩa rằng dữ liệu không thể bị chỉnh sửa hoặc làm gián đoạn dù cố tình hay vô ý Nó khác với tính toàn vẹn trong tham chiếu của cơ sở dữ liệu, mặc dù nó có thể được xem như là một trường hợp đặc biệt của tính nhất quán trong mô hình cổ điển ACID (tính nguyên tử (atomicity), tính nhất quán (consistency), tính tính cách ly (isolation), tính lâu bền (durability) – là một tập các thuộc tính đảm bảo rằng

cơ sở dữ liệu đáng tin cậy) Tính toàn vẹn bị xâm phạm khi một thông điệp bị chỉnh sửa Hệ thống thông tin an toàn luôn cung cấp các thông điệp toàn vẹn và

cả về phần cứng, phần mềm như: sự cố mất điện, hỏng phần cứng, cập nhật, nâng cấp hệ thống… đảm bảo tính sẵn sàng cũng có nghĩa là tránh được tấn công từ chối dịch vụ

Đảm bảo sự cân bằng giữa ba yếu tố bảo mật là một việc khó khăn Ví dụ, các tổ chức y tế luôn lưu trữ và xử lý một lượng dữ liệu lớn về bệnh nhân Mặc

dù giữ bí mật các dữ liệu này việc quan trọng nhưng đảm bảo tính sẵn sàng của

nó còn quan trọng hơn Nếu thông tin không sẵn sàng thì nó có thể gây ra

sẵn dùng của thông tin phụ thuộc vào từng tổ chức, doanh nghiệp và có thể xem

đây là nhiệm vụ cũng như mục tiêu hàng đầu Hình 1.2 là một ví dụ về sự cân bằng giữa các yếu tố an ninh trong lĩnh vực y tế Có thể thấy rằng các tổ chức y

tế tập trung nhiều vào tính sẵn sàng và bí mật hơn là tính toàn vẹn

Chú thích:

Các tổ chức y tế

Hình 1.2: Ví dụ về sự cân bằng giữa các yếu tố an ninh

Có thể kết luận rằng bên cạnh việc đánh giá tài nguyên thông tin, các doanh nghiệp cũng phải bảo vệ thông tin khỏi các tác nhân đe dọa Để thực hiện việc này, các doanh nghiệp cần xác định các mối đe dọa và rủi ro có thể xảy ra

để đưa ra các biện pháp đối phó hoặc giảm nhẹ thích hợp

1.2.2 Nội gián tiềm năng

Tiêu chí để xác định nội gián tiềm năng là khác nhau đối với mỗi doanh nghiệp, dựa vào đặc trưng của hệ thống và chính sách của tổ chức, doanh nghiệp Những đối tượng sau đây có thể bị xem là người tấn công nội gián:

Bí mật

18

• Nội gián tiềm năng là bất cứ người nào có quyền truy cập, đặc quyền

• Nội gián tiềm năng có thể là bất cứ cá nhân nào có được một mức độ tin tưởng nhất định trong hệ thống thông tin Điều quan trọng là một khi người dùng được cấp quyền hợp pháp trên hệ thống thông tin thì họ đã bị xem xét là

• Quyền truy cập

Nội gián tiềm năng có quyền truy cập hợp pháp Quyền truy cập hợp pháp khác với ủy quyền truy cập: một kĩ thuật viên hay một nhân viên bảo vệ

có quyền hợp pháp để đi vào văn phòng, nhưng không được quyền để xem những tài liệu trên bàn làm việc Quyền truy cập hợp pháp có thể là truy cập vật

lý (nhân viên bảo vệ, khách viếng thăm), truy cập mạng (truy cập từ xa) hoặc cả hai (nhân viên đang làm việc trong một hệ thống thông tin tại nơi làm việc)

• Sự hiểu biết và kỹ năng:

Nội gián tiềm năng có một sự hiểu biết về thông tin, hệ thống thông tin

và các dịch vụ trên đó Sự hiểu biết này không chỉ giới hạn ở hệ thống thông tin

mà còn bao gồm cả hiểu biết về các thông tin có giá trị được lưu trữ trong hệ thống cùng với các thủ tục và biện pháp bảo mật được áp dụng để bảo vệ thông tin Nhờ biết được các biện pháp bảo mật và chính sách, người tấn công nội gián hoàn toàn có khả năng xâm phạm chúng Điều này cũng làm cho người tấn công nội gián khó bị phát hiện hơn

Có thể phân loại nội gián tiềm năng dựa vào vai trò trong hệ thống Tiêu chí cơ bản để phân loại là kiểu người dùng và mức độ hiểu biết về hệ thống của người đó Mức độ hiểu biết này khác nhau giữa người chủ hệ thống, người dùng cao cấp và người dùng ứng dụng Chủ hệ thống có đầy đủ quyền quản trị, người dùng cao cấp không có đặc quyền như chủ hệ thống nhưng có hiểu biết đáng kể

và có một vài quyền trong hệ thống, người dùng ứng dụng có khả năng lợi dụng các thông tin liên quan tới ứng dụng mà họ sử dụng

Nội gián tiềm năng cũng có các kĩ năng cần thiết để thực hiện hành vi tấn công Do đó, nội gián không chỉ có kiến thức về thông tin, hệ thống thông tin và dịch vụ được sử dụng trong doanh nghiệp mà còn có nhiều cơ hội để lạm dụng chúng hơn so với người tấn công từ bên ngoài

Có thể kết luận rằng sự khác nhau chính giữa nội gián tiềm năng và người tấn công từ bên ngoài là sự tin tưởng Những đối tượng được tin tưởng bao gồm nhân viên, nhà thầu và nhà tư vấn cùng với các đối tác kinh doanh của bên thứ ba Nội gián có quyền truy cập hợp pháp tới hệ thống thông tin của

1.2.3 Mối đe dọa nội gián

Những thông tin có giá trị phải đối mặt với nhiềumối đe doạ đến từ cả bên trong và bên ngoài Các tấn công từ bên ngoài như xâm nhập (hack) hay virus đã được biết đến rộng rãi, còn các mối đe dọa từ bên trong tuy chỉ mới được quan tâm trong thời gian gần đây, nhưng nó có thể gây ra các nguy cơ lớn hơn rất nhiều

Các tài liệu hiện có sử dụng hai thuật ngữ “mối đe dọa nội gián” và “tấn công nội gián” với cùng một ý nghĩa Dưới đây là một vài định nghĩa được sử dụng để mô tả “tấn công nội gián” cũng như “mối đe dọa nội gián”:

• Bất kỳ người dùng được ủy quyền nào thực hiện các hành động không

• Hành động cố ý (hoặc vô ý) truy cập vào thông tin nhạy cảm hoặc hệ

• Điều kiện để một người hoặc một đối tượng khai thác các lỗ hổng cụ thể

• Hành động làm cho doanh nghiệp hoặc tài nguyên của doanh nghiệp gặp

• Tấn công nội gián có thể coi là hành động cố ý lạm dụng, được thực hiện

Người tấn công nội gián là người có khả năng sử dụng hệ thống máy tính với mức quyền mà họ được cấp, hoặc là người đang có hành động vi phạm tính

Tấn công nội gián có thể được định nghĩa là hành động cố ý lạm dụng hệ thống máy tính, được thực hiện bởi người dùng có quyền truy cập hợp pháp tới

• Hành động cố ý sử dụng vượt quá quyền hạn cho phép hoặc cố ý sử dụng quyền truy cập để gây ảnh hưởng xấu đến tính bảo mật, toàn vẹn, sẵn sàng của

hệ thống thông tin trong doanh nghiệp, được thực hiện bởi người có quyền

Tuy nhiên, hai thuật ngữ tấn công nội gián và mối đe dọa nội gián có một điểm khác nhau Bản thân tấn công nội gián là hành động lạm dụng được thực hiện bởi người tấn công nội gián và nó có thể thành công hoặc thất bại Trên thực tế, tấn công là một chuỗi các sự kiện hoặc hành động dẫn đến việc sử dụng thông tin trái với chính sách bảo mật của doanh nghiệp Mối đe dọa nội gián là tiềm năng để một người tấn công nội gián thực hiện việc tấn công Người tấn công nội gián có thể khai thác các lỗ hổng một cách vô tình hoặc cố ý Lỗ hổng

có thể được định nghĩa là những sai sót hoặc điểm yếu trong quy trình bảo mật, thiết kế và triển khai hệ thống dẫn đến việc vi phạm an ninh hoặc vi phạm

Cuối cùng, có thể định nghĩa mối đe dọa nội bộ như sau: là tiềm năng để người có quyền truy cập hợp pháp và được tin tưởng như nhân viên, nhà thầu, nhà tư vấn,…, thực hiện hành vi khai thác lỗ hổng Đây cũng là điều kiện cho những người đang có hành động vi phạm chính sách bảo mật của doanh nghiệp

1.3 Phân loại người tấn công nội gián

Phần này mô tả cốt lõi của tấn công nội gián Đầu tiên là phân loại người tấn công nội gián dựa vào động cơ và mục đích, nhằm chỉ ra rằng tấn công nội

22

gián có thể do vô tình hoặc cố ý, dẫn đến kết quả là thông tin bị lộ, thay đổi hoặc làm gián đoạn Sau đó, phần trọng tâm mô tả các hành động mà người tấn công

có thể thực hiện để gây ra các mối đe dọa

1.3.1 Phân loại theo động cơ và mục đích

Phần lớn nhân viên, nhà thầu và nhà tư vấn là những người được tin tưởng và cần được quan tâm như nhau trong việc bảo vệ thông tin có giá trị của doanh nghiệp Cũng không thể loại trừ các trường hợp lạm dụng hệ thống thông tin và thông tin được lưu trữ trong đó Trong nhiều nghiên cứu, hành vi

không phải trường hợp lạm dụng nào cũng xuất phát từ ý đồ gây hại

Tấn công nội gián cũng có thể gây ra do sự tình cờ, ngẫu nhiên Giống với những hành vi cố ý, hành vi vô ý này cũng dẫn tới việc vi phạm chính sách bảo

gián dựa vào động cơ tấn công:

Bảng 1.1: Bảng tham chiếu phân loại người tấn công nội gián theo động cơ

Cổ động việc thay đổi

Là người kích động để thay đổi một vài yếu tổ của doanh nghiệp (chẳng hạn như thay đổi chính sách)

Động cơ cá nhân

Là người thực hiện hành

Là người phá hoại nhiệm

vụ của doanh nghiệp

(Gián điệp)

Là người sử dụng kĩ năng công nghệ thông tin để đánh cắp sở hữu trí tuệ hay thông tin độc quyền của doanh nghiệp

Lợi nhuận

Là người phá hủy hoặc làm lộ thông tin do được thuê

Người không cố ý

1.3.2 Phân loại theo hành động gây hại

Để đạt được mục đích của mình, người tấn công nội gián luôn sẵn sàng chấp nhận mọi rủi ro và thường tấn công theo một quy trình nhất định với nhiều hành động khác nhau Rủi ro lớn nhất là bị phát hiện trước khi tấn công thành công, do đó những người này thường hành động một mình và chỉ cần đến sự giúp đỡ của người khác khi thật sự cần thiết Để tiến hành một cuộc tấn

• Xuất hiện động cơ tấn công;

Bảng 1.2: Các đối tượng gây ra tấn công nội gián và hành động

Người giả danh: Là người có toàn

quyền truy cập vào hệ thống máy tính

trên danh nghĩa một người dùng hợp

pháp (ví dụ: một người có được tài

khoản và mật khẩu của người dùng

hợp pháp và dùng tài khoản đó để

đăng nhập vào hệ thống máy tính)

Người lạm quyền: Sự vi phạm liên

quan đến việc lạm dụng quyền truy

cập tới dữ liệu và hệ thống

Giấu giếm/Bí mật: Người tấn công có

thể chiếm được quyền giám sát và

dùng đặc quyền để xóa các bản ghi log

Sửa đổi: Hành động sửa đổi xảy ra khi người tấn công nội gián làm thay đổi quyền của người dùng hoặc đối tượng một cách trái phép

Leo thang: Hành động leo thang xảy

ra khi người dùng có được quyền trái phép trong hệ thống, ví dụ trong trường hợp một người nào đó cố gắng chiếm quyền quản trị Có nhiều cách

để người tấn công thực hiện việc này như tấn công tự động hoặc tấn công social engineering

Phân phối: Khi một quyền hoặc một thực thực thể được chuyển cho một người hoặc một vật không mong muốn thì đây được gọi là phân phối

Phân phối bắt (capture) quá trình truyền thông tin được bảo vệ rồi chuyển đến một thực thể trái phép Phân phối xảy ra khi một người dùng

có quyền thích hợp trên hệ thống, ví

dụ như quyền truy cập một tập tin Thăm dò: Thăm dò nhằm mục đích thu thập các thông tin không được phép

Thăm dò xảy ra khi một người dùng

26

được cấp quyền bởi hệ thống kiểm soát truy cập nhưng hành động của người đó là trái phép do vi phạm chính sách của doanh nghiệp

Bảng 1.2 cho thấy người tấn công nội gián có thể thực hiện các hành động được phép và trái phép, kết quả là dẫn tới truy cập trái phép

• Lạm dụng các hành động được phép

Người tấn công nội gián có thể lạm dụng các hành động mà mình được phép thực hiện (ví dụ như quyền truy cập vật lý tại nơi làm việc hoặc quyền truy cập hợp pháp vào hệ thống thông tin)

• Thực hiện các hành động trái phép

Hành động trái phép có thể là chiếm quyền truy cập hợp pháp từ người dùng được ủy quyền bằng cách đánh cắp thông tin người dùng

1.4 Mô tả mối đe dọa nội gián

Theo định nghĩa, bất cứ người tấn công nội gián nào cũng có quyền truy cập hợp pháp Quyền truy cập hợp pháp có thể là truy cập vật lý (nhân viên bảo

vệ, khách viếng thăm), truy cập mạng (truy cập từ xa) hoặc cả hai (nhân viên đang làm việc trong một hệ thống thông tin tại nơi làm việc) Do có quyền truy cập, những người này có thể gây ra mối đe dọa nội gián theo cách vô tình hoặc

cố ý Phân biệt hành động nào là vô tình, hành động nào cố ý là một việc quan trọng, bởi vì không phải tất cả mối đe dọa đều nhằm mục đích gây hại cho doanh nghiệp Cả hai trường hợp có thể được gây ra khi một người lạm dụng các hành động hợp pháp, dẫn tới kết quả là làm lộ thông tin (liên quan tới tính

bí mật), thông tin bị sửa đổi (liên quan tới tính toàn vẹn) hoặc bị gián đoạn hay phá hủy (liên quan tới tính sẵn sàng)

Người tấn công nội gián

Hình 1.3: Các mối đe dọa nội gián

1.4.1 Cố ý lạm dụng quyền truy cập vật lý

Phần này mô tả mối đe dọa gây ra do một người cố ý lạm dụng quyền truy cập vật lý vào thông tin hoặc hệ thống thông tin Động cơ của hành động

trường hợp có thể xảy ra:

Bảng 1.3: Các mối đe dọa gây ra bởi sự cố ý lạm dụng quyền truy cập vật lý

Lạm dụng quyền truy cập vật lý

để truyền và phân phối thông

tin

• Mang thông tin có giá trị (bản cứng, thiết

bị lưu trữ di động) ra khỏi phạm vi doanh nghiệp

28

1.4.2 Vô ý lạm dụng quyền truy cập vật lý

Phần này mô tả mối đe dọa gây ra do một người vô tình lạm dụng quyền truy cập vật lý vào thông tin hoặc hệ thống thông tin Bảng 1.4 liệt kê các trường hợp có thể xảy ra:

Bảng 1.4: Các mối đe dọa gây ra bởi sự vô ý lạm dụng quyền truy cập vật lý

Làm lộ thông tin có giá trị do

đánh mất thiết bị lưu trữ

• Thông tin bị đưa ra ngoàido người dùng hợp pháp làm mất thiết bị lưu trữ (bản cứng, thiết bị lưu trữ di động, máy tính cá nhân)

• Làm lộ những thông tin đã bị hủy bỏ

Vô tình phá hủy thông tin có

trường hợp có thể xảy ra:

Bảng 1.5: Các mối đe dọa gây ra bởi sự cố ý lạm dụng quyền truy cập mạng

doanh nghiệp

• Sử dụng truy cập từ xa (vốn được sử dụng cho teleworking) để in một lượng lớn thông tin về bí mật kinh doanh ở nhà, khách sạn hoặc nơi công cộng

• Vi phạm nguyên tắc phân chia nhiệm vụ Lạm dụng quyền truy cập

mạng để sửa đổi thông tin

• Lạm dụng quyền để thay số tài khoản ngân hàng trong hệ thống ERP nhằm chiếm được lợi ích tài chính

• Sửa đổi tập tin log để xóa dấu vết của các hành động trái phép

• Tạo tài khoản backdoor để sử dụng trong tương lai

• Nâng quyền truy cập cho một nhân viên thân quen

• Lợi dụng máy tính chưa khóa để mạo danh người khác

Lạm dụng quyền truy cập

mạng chưa bị thu hồi

• Cố ý khai thác sự thiếu sót trong quản lý tài khoản (trong quá trình chuyển đổi công

30

việc)

• Cố ý khai thác tài khoản chưa bị thu hồi sau khi người dùng thôi việc

1.4.4 Vô ý lạm dụng quyền truy cập mạng

Phần này mô tả mối đe dọa gây ra do một người vô tình lạm dụng quyền truy cập mạng vào thông tin hoặc hệ thống thông tin Bảng 1.6 liệt kê các trường hợp có thể xảy ra:

Bảng 1.6: Các mối đe dọa gây ra bởi sự vô ý lạm dụng quyền truy cập mạng

Vô tình truyền hoặc phân phối

1.5 Nguy cơ từ các mối đe dọa nội gián

Nguy cơ (nhìn theo góc độ của doanh nghiệp) là khả năng để người tấn công nội gián khai thác một lỗ hổng cụ thể, gây ra những bất lợi cho doanh

1.5.1 Tác động của các mối đe dọa nội gián

Một phần trong việc tính toán rủi ro là tính toán tác động thực tế của các mối đe dọa nội gián Để đánh giá tác động, có thể dựa vào thống kê tổn thất

• Tổn hại về danh tiếng, có thể gây tác động lớn đến giá cổ phiếu và thị trường cổ phiếu;

• Ảnh hưởng đến tính liên tục trong kinh doanh khi kẻ tấn công phá hoại

hệ thống hoặc phá hoại tính sẵn sàng của hệ thống;

• Có thể đánh mất lợi thế cạnh tranh do mất tài sản sở hữu trí tuệ;

• Đánh mất lòng tin từ khách hàng và đối tác kinh doanh

Hình 1.4 cho thấy các vi phạm an ninh xuất phát từ bên trong có tỉ lệ phần trăm thấp hơn so với các vi phạm xuất phát từ bên ngoài, nhưng tác động của nó lại lớn hơn rất nhiều Có thể kết luận rằng tấn công nội gián nguy hiểm

30,000

375,000

187,500

0 50,000 100,000 150,000 200,000 250,000 300,000 350,000 400,000

32

Hình 1.4: Tỉ lệ vi phạm và số bản ghi bị xâm hại [15]

Hình 1.4: Các vi phạm an ninh xuất phát từ bên trong 1.5.2 Chiến lược hạn chế rủi ro

Sau khi xác định và đánh giá rủi ro, các doanh nghiệp có thể lựa chọn

• Tránh rủi ro:dùng “đường đi khác” để né tránh rủi ro, đường đi mới có thể không có rủi ro, có rủi ro nhẹ hơn, hoặc chi phí đối phó rủi ro thấp hơn;

• Giảm thiểu rủi ro: giảm thiểu rủi ro lên tài nguyên bằng cách áp dụng các công nghệ hoặc công cụ thích hợp (tường lửa, hệ thống diệt virus) hoặc áp dụng chính sách bảo mật thích hợp (mật khẩu, quản lý truy cập, chặn cổng) Đây là chiến lược quản lý rui ro chính;

• Chuyển giao rủi ro: chuyển một phần rủi ro cho công ty outsourcing có nhiệm vụ cung cấp dịch vụ bảo mật hoặc cho công ty bảo hiểm;

• Chấp nhận rủi ro: đây là chiến lược hợp lý khi chi phí loại bỏ, phòng tránh, làm nhẹ rủi ro quá lớn (lớn hơn chi phí khắc phục tác hại), hoặc tác hại của rủi ro nếu xảy ra là nhỏ hay cực kỳ thấp

Có thể hạn chế rủi ro bằng cách cân bằng cả bốn hoặc sử dụng kết hợp hai chiến lược Trong một vài trường hợp, không một chiến lược nào là lý

lược giảm thiểu rủi ro

1.6 Các tấn công nội gián trong thực tế

Edward Snowden là một nhân viên làm việc tại văn phòng NSA ở Oahu Trong quá trình làm việc tại NSA, Snowden nhận thấy chính phủ đang thực hiện các chương trình gián điệp lên điện thoại và internet của công dân Mỹ Tháng 5 năm 2013, Snowden bắt đầu sao chép các tài liệu tuyệt mật của NSA trong khi

làm việc, xây dựng một hồ sơ về những hành động xâm hại và đáng lo ngại Các tài liệu chứa rất nhiều thông tin và chỉ trích hành động giám sát của NSA, bao gồm chương trình gián điệp hàng triệu công dân Mỹ dưới sự bảo trợ của các chương trình như PRISM Ngày 5 tháng 6 năm 2013, tờ Guardian của Anh công

bố các tài liệu bí mật thu được từ Snowden, trong đó nói rằng một cơ quan tình báo của Mỹ yêu cầu nhà mạng Verizon phải cung cấp thông tin chọn lọc về các hoạt động hàng ngày của khách hàng Mỹ Một ngày sau đó, tờ Guardian và Washington Times công bố thông tin rò rỉ về PRISM, một chương trình thu thập thông tin theo thời gian thực của NSA Theo sau đó là hàng tấn thông tin, làm cho người dân Mỹ, cộng đồng quốc tể và chính phủ Mỹ trở nên xáo trộn

Tháng 7 năm 2006, JoyaWilliams, 41 tuổi ở Norcross, Georgia cùng với Ibrahim Dimson, 30 tuổi ở Bronx, New York và Edmund Duhaney, 43 tuổi ở Decatur, Georgia bị bắt giữ về tội lừa đảo, ăn cắp và bán bí mật thương mại của hãng Coca-Cola cho hãng Pepsi với giá 1,5 triệu đô la Trong đó, Joya Williams

là một trợ lý giám đốc điều hành của Coke bị buộc tội đánh cắp hồ sơ, giấu tài liệu và mẫu sản phẩm mới của Coca-Cola vào túi cá nhân

Tháng 8 năm 2003, Daniel J Baas ở Milford, bang Ohio bị buộc tội sử dụng tài sản trái phép và đánh cắp dữ liệu của công ty Acxiom Corp ở Little Rock, bang Arkansas từ cuối năm 2003 Dữ liệu bị đánh cắp của công ty Acxion

có giá trị trên 5,8 triệu đô la, bao gồm thời gian và chi phí đi lại của nhân viên, các tài liệu kiểm toán an ninh và phần mềm mã hóa Tháng 3 năm 2005, nhân viên hợp đồng Daniel J Baas bị kết án 45 tháng tù vì tội ăn cắp các tập tin chứa mật khẩu

Tháng 10 năm 2015, Christopher T Wood, 41 tuổi ở Winchester, bang Virginia đã thừa nhận hành vi cố ý truy cập và vượt quyền truy cập vào máy tính của một công ty ở Winchester Anh ta phải đối mặt với án phạt 1 năm tù giam và khoản tiền phạt lên đến 100.000 đô la và bồi thường 61.710 đô la cho

Galen Marsh, cố vấn tài chính của ngân hàng đầu tư Morgan Stanley, Mỹ,

bị sa thải khỏi công ty vì đã ăn cắp dữ liệu của khoảng 730.000 khách hàng Tháng 9 năm 2015, Galen Marsh bị buộc tội truy cập trái phép vào hệ thống máy tính Anh ta thực hiện hành vi đánh cắp dữ liệu trong khoảng thời gian từ tháng 6 năm 2011 đến tháng 12 năm 2014 để sử dụng cho mục đích cá nhân

Dự kiến, Marsh sẽ bị xét xử vào ngày 7 tháng 12 năm 2015 và phải đối mặt với mức án tối đa 5 năm tù giam và 3 năm tù treo

Tại Việt Nam, vào tháng 10 năm 2014, công ty Vccorp bị tấn công vào trung tâm dữ liệu (data center) khiến cho toàn bộ các sản phẩm của VCcorp và các báo điện tử mà công ty này đang vận hành kỹ thuật như Dân Trí, Người Lao Động, Gia đình và Xã hội…đã không thể truy cập được; tổng thiệt hại tới nay ước tính khoảng 20 – 30 tỷ đồng Theo các nguồn tin chính thức, VCcorp bị nhóm Sinh Tử Lệnh tấn công từ bên ngoài Tuy nhiên, cùng thời điểm đó, một blog tên là “VCcorp tự truyện” đã đăng những bức ảnh chụp bảng lương của nhân viên tại bộ phận VCcloud và cho thấy sự bất công trong vấn đề lương thưởng Vì thế, không loại trừ khả năng VCcorp bị nội gián tấn công do gặp phải vấn đề nội bộ

KẾT LUẬN CHƯƠNG 1

Các kết quả nghiên cứu cơ bản của chương 1:

thông tin trên hạ tầng CNTT trong mạng doanh nghiệp Nghiên cứu chỉ ra rằng:

có rất nhiều thách thức và các nguy cơ mất ATTT trong mạng doanh nghiệp, tuy

nhiên hình thức tấn công nội gián là hình thức tấn công cực kỳ nguy hiểm khó lường, để lại rủi ro nghiêm trọng Chính vì vậy doanh nghiệp phải bảo vệ tài sản của mình khỏi các mối đe dọa đến từ bên trong và bên ngoài

doanh nghiệp bao gồm: các kiểu tấn công, các hình thức và các kỹ thuật tấn công Kết quả nghiên cứu cho thấy: Tấn công nội gián do vô tình hay cố ý phụ thuộc vào động cơ của người tấn công, có thể là động cơ cá nhân hoặc bị xúi giục bởi người ngoài, Tấn công nội gián có thể gây ra nhiều thiệt hại hơn vì người tấn công có được sự tin tưởng, có quyền truy cập hợp pháp và hiểu rõ về các cơ chế bảo mật của doanh nghiệp

Trình bày một số cuộc tấn công nội gián điển hình trong thục tế Thực tế chỉ

ra rằng: Để giảm thiểu rủi ro gây ra bởi tấn công nội gián, doanh nghiệp phải lựa chọn và áp dụng nhiều chiến lược hạn chế rủi ro

36

CHƯƠNG 2: CÁC PHƯƠNG PHÁP PHÁT HIỆN VÀ PHÒNG

CHỐNG TẤN CÔNG NỘI GIÁN

Cấu trúc phức tạp và không cố định của doanh nghiệp khiến việc mô tả các mối đe doạ nội gián trở nên khó khăn Ví dụ, doanh nghiệp bao gồm các nhân viên làm việc toàn thời gian và bán thời gian, họ có thể là nhà thầu, nhân viên tạm thời, các nhà tư vấn và đối tác cùng với các cựu nhân viên, là những người vẫn còn quyền truy cập đến thông tin tài nguyên và hệ thống Điều này

có hai ý nghĩa lớn với việc mô tả các mối đe doạ nội bộ Thứ nhất, lòng trung thành của những nhóm người này là khác nhau Thứ hai, quá trình tuyển dụng nhân viên từ các nhóm này có thể thay đổi đáng kể Do đó, có thể nói rằng những nhóm người này có rất nhiều động lực khác nhau để gây ra các cuộc tấn

Người tấn công nội gián có thể thuộc nhiều độ tuổi và sắc tộc khác nhau Mặc dù không có mô tả nào mô tả chính xác một người tấn công nội gián, nhưng có một vài đặc điểm nổi bật để xác định họ Ví dụ, những người này thường là nam giới Tại thời điểm tiến hành cuộc tấn công thì phần lớn trong số

Khoảng một nửa trong số đó là nhân viên khi cuộc tấn công xảy ra và nửa còn lại là nhân viên cũ Đa số người tấn công nội gián đã từng làm việc ở bộ phận kĩ thuật, phần lớn trong số họ chưa từng có tiền án tiền sự

2.1 Các phương pháp phát hiện tấn công nội gián

Có ba loại tấn công nội gián chính là gian lận, phá hoại và ăn cắp thông

tiểu sử của những cá nhân thực hiện lại khác nhau với mỗi loại tấn công Ví dụ, những vụ gian lận thường gặp ở cả nam lẫn nữ với tỉ lệ tương đương, phần lớn

là những người sử dụng tài khoản và mật khẩu của mình để thực hiện hành vi

vi phạm Thông thường nhất, hệ thống bất thường sẽ đưa ra cảnh báo cho

doanh nghiệp khi có vấn đề và các bản ghi log được dùng để truy vết người phạm tội

Trong trường hợp thông tin bí mật hoặc thông tin độc quyền bị đánh cắp, đa số người tấn công vẫn là nhân viên trong công ty Tuy nhiên, một phần

ba số người trong nhóm này là nhân viên cũ nhưng vẫn có quyền truy cập vào mạng nội bộ Quan trọng hơn, trên 50% trong số này từng giữ vị trí kĩ thuật

nhân viên từng làm ở bộ phận kĩ thuật Họ có trình độ kĩ thuật cao, chỉ có thể bị phát hiện khi hệ thống bị hỏng hóc hoặc có những bất thường trong hệ thống

Các chuyên gia công nghệ thông tin là đối tượng cần được chú ý đặc biệt

Họ là những người có trình độ chuyên môn cao, thường là người có quyền quản trị hệ thống hoặc có đặc quyền truy cập, có nhiều kiến thức và nền tảng kĩ năng,

và vì thế, họ cần được giám sát chặt chẽ

2.1.1 Quan sát hành vi

Hành động tấn công nội gián xảy ra sau khi được xem xét và chuẩn bị cẩn thận, đa số người tấn công đều lên kế hoạch từ trước Trong phần lớn trường hợp, hành vi của con người có thể là báo hiệu cho thấy một cuộc tấn công có thể xảy ra

Những hành vi đáng chú ý bao gồm vắng mặt, tranh cãi với đồng nghiệp

và năng suất làm việc kém Trong 70% trường hợp, các cá nhân bị khiển trách

cần xem xét quyền truy cập của những người có hành vi đe doạ đến an ninh của doanh nghiệp nhằm ngăn chặn sự thành công của cuộc tấn công

Các hoạt động này bao gồm phá hoại các bản sao lưu, tạo tài khoản khách hàng giả và tải về các đoạn mã độc Trong số đó, rất nhiều hoạt động có thể được

38

phát hiện bởi các chương trình an ninh tự động hay qua ghi log, giám sát, kiểm toán hành vi trực tuyến của nhân viên Thách thức ở đây là quá nửa trong số người tấn công sở hữu trình độ kĩ thuật cao khiến họ rất khó bị phát hiện Tuy nhiên, sự phổ biến của các hành vi này làm tăng tính quan trọng của việc tăng cường giám sát, đặc biệt là đối với các cá nhân có trình độ kĩ thuật cao và đối với người có quyền quản trị hay đặc quyền truy cập

Một phân tích về thời gian và địa điểm xảy ra sự cố nội gián chỉ ra rằng 43% số trường hợp được gây ra bởi truy cập từ xa, từ bên ngoài nơi làm

88% trong số họ là nhân viên cũ, có nghĩa là doanh nghiệp đã không vô hiệu hoá quyền truy cập của nhân viên sau khi họ thôi việc Do đó, cần phải có một thủ tục chi tiết và thích hợp để vô hiệu hoá tất cả các điểm truy cập, nhằm giảm

Trong hầu hết các trường hợp, tấn công chỉ bị phát hiện khi có lỗi hay bất thường trong hệ thống Thực tế cho thấy 74% trường hợp không được phát hiện bởi nhân viên an ninh mà bởi các nhân viên khác, giám sát viên hay thậm chí là khách hàng Sau khi phát hiện một cuộc tấn công, các bản ghi hệ thống

ra rằng trong 46% trường hợp, một vài cá nhân biết trước một số thông tin về

quen, các thành viên gia đình và bạn bè Thông thường, họ không nhận thức được tính nghiêm trọng của những ý định hay mối đe doạ đó Nói cách khác, những dấu hiệu cảnh báo là có thể nhận thấy được, nhưng không có hành động nào để phản ứng lại các dấu hiệu đó Đây là lí do tại sao cần phải có chương trình giáo dục phù hợp và chi tiết Khi nhân viên được dạy những kiến thức và thông tin về cách phản ứng khi nhận thấy các đặc điểm như trên, họ sẽ biết xử lí một cách thích hợp

Không có khả năng phản ứng với các hành vi nguy hiểm: một nghiên cứu tập trung đặc biệt vào những nhân viên IT xác định rằng mặc dù quan sát được nhiều nguy cơ gây ra hành động phá hoại, nhưng doanh nghiệp vẫn không có phản ứng gì với các nguy cơ đó Thực tế trong 97% trường hợp, người quản trị hoàn toàn ý thức được rằng nhân viên đang thể hiện những hành vi nghiêm

trước khi cuộc tấn công xảy ra

Tình trạng stress cũng có mối quan hệ với nguy cơ gây ra tấn công Các

tổ chức, doanh nghiệp cần lưu ý những nhân viên bất mãn và có sự can thiệp kịp thời, ngay khi nhận thấy các biểu hiện bất bình của nhân viên

2.1.2 Quan sát động cơ

Cần phải tìm hiểu lí do tại sao các cá nhân thực hiện tấn công nội gián Một số nghiên cứu đã chỉ ra động cơ gây ra những hành vi bất hợp pháp này

Nghiên cứu được tiến hành bởi Kowalski đã điều tra động cơ của những

(56%) Một vài động cơ khác bao gồm lợi ích tài chính, bất mãn với chính sách của công ty và ý đồ khai thác thông tin để chiếm được một vị trí công việc mới Mục tiêu chính khi tấn công nội gián là phá hoại (47%), theo sau đó là lợi ích tài chính và ăn cắp thông tin, tài sản (42%) Một vài người tiến hành đánh cắp thông tin bí mật hay thông tin độc quyền cũng do sự bất mãn và ý muốn trả

này đặc biệt thấy rõ ở những nhân viên thay đổi công việc hoặc tự bắt đầu công việc kinh doanh mới

Nhóm tấn công nội gián phức tạp nhất là những người thực hiện hành vi

hay gặp phải vấn đề liên quan đến ma tuý, nhưng phần lớn những người này không có nhu cầu tài chính, cũng không bất mãn hay không hài lòng với cấp

nhân viên nảy ra ý định trả thù sau một sự kiện tiêu cực nào đó, chẳng hạn bị đuổi việc hay tranh chấp với nhà tuyển dụng Môi trường và hoàn cảnh cá nhân cũng có sự thúc đẩy mạnh mẽ Trong nhiều trường hợp, sự căng thẳng như bị

xử phạt một cách áp đặt sẽ góp phần gây ra hành động phá hoại Thực tế, phần lớn các trường hợp phá hoại xảy ra là kết quả trực tiếp của việc bị đình chỉ hay đuổi việc

Hẩu hết những nhân viên gây ra tấn công nội gián không ý thức được mức độ nghiêm trọng trong hành động của mình và không lường trước được hậu quả 90% trường hợp sẽ bị sa thải, các loại hình phạt khác bao gồm ngồi tù, hưởng án treo và bồi thường thiệt hại Các hậu quả kéo theo gồm có bị buộc thôi việc, có tiền án tiền sự trong hồ sơ cá nhân, bị hạn chế đi lại và hạn chế sử

Các tài liệu cho thấy có rất nhiều điểm tương đồng giữa người thực hiện hành vi gián điệp với người thực hiện tấn công nội gián Cá nhân đó có thể là người tình nguyện hoặc được thuê để gây ra hành vi phạm tội Nhiều người tình nguyện có động cơ tài chính Với các cá nhân được thuê, đặc biệt là được thuê bởi gia đình hay bạn bè, nguồn động cơ chính là để thoả mãn hoặc làm vừa lòng người thuê Nguồn động lực khác bao gồm hệ tư tưởng (bao gồm cả ý thức chính trị), bị ép buộc, âm mưu và cũng có thể là ý muốn trả thù Những động cơ này có thể so sánh với động cơ tấn công nội gián