Кибер-инсайдерская угроза - Cyber Insider Threat

Кибер-инсайдерская угроза, или же Золушка, это метод цифровой угрозы. В 2010 году DARPA инициировало программу под тем же названием (Cyber ​​Insider Threat (CINDER) Program) для разработки новых подходов к обнаружению действий в сетях военных интересов, которые совместимы с деятельностью кибершпионажа.[1]

Угроза CINDER отличается от других атак на основе уязвимостей тем, что действия, предпринимаемые инициатором, не основаны на несанкционированном доступе со стороны неавторизованных объектов или авторизованных объектов, а основаны на концепции, согласно которой авторизованный доступ авторизованных объектов обычно происходит (вместе с их последующими действия) в пределах границ безопасности. Это действие объекта не будет рассматриваться как атака, а будет рассматриваться как нормальное использование при анализе стандартными системами IDS-IPS, журналированием и экспертными системами. Миссия CINDER будет рассматриваться как несанкционированное разглашение после того, как будет осуществлена ​​кража данных. В это время результирующий CINDER Case изменит все действия объекта, связанные с раскрытием, с «Авторизованное использование авторизованным объектом» на «Несанкционированное использование авторизованным объектом».[2]

Примечание. В первом случае CINDER контролирующий агент[3] будет по-прежнему рассматриваться как авторизованный объект на основании того факта, что система безопасности прошла оценку на предмет достоверности и функциональности.

Угроза Cyber ​​Insider продолжает оставаться известной проблемой с середины 1980-х годов. Следующее NIST Материал «Внутренние угрозы», датированный мартом 1994 г., показывает, как это определялось в младенчестве.

«Системные элементы управления не очень хорошо согласуются с политикой безопасности средней организации. Как прямой результат, обычному пользователю разрешается часто обходить эту политику. Администратор не может применять политику из-за слабого контроля доступа и не может обнаруживать нарушение политики из-за слабых механизмов аудита. Даже если механизмы аудита действуют, огромный объем производимых данных делает маловероятным, что администратор обнаружит нарушения политики. Текущие исследования целостности и обнаружения вторжений обещают заполнить некоторые из этих пробел. Пока эти исследовательские проекты не станут доступными в виде продуктов, системы останутся уязвимыми для внутренних угроз ».[4]

CINDER поведение и методы

CINDER предварительные требования

Есть много предварительных условий для деятельности CINDER, но всегда должно быть соблюдено одно основное измерение. Это одна из системной собственности. Обязательные принципы владения системой и доминирования информации в области действия объекта должны быть частью любой миссии CINDER.

Владение системой CINDER и действие объекта

В действии CINDER каждое измерение миссии и каждая возникающая проблема может быть сведена к одной сущности, одному агенту.[3] и одно действие. В определенное время агент завершает действие, этот объект, агент и действие владеют средой, которую они передают или используют. И если они успешно совершают эту конкретную транзакцию и не прерываются или, по крайней мере, не измеряются или контролируются владельцем, эта организация будет иметь, хотя бы на мгновение, доминирование и владение этим объектом.[2]

Методы обнаружения CINDER

Методы обнаружения прошлых действий CINDER

Чтобы обнаружить прошлую активность CINDER, когда раскрытие было реализовано, необходимо согласовать все действия объекта (любой обмен или транзакцию между двумя агентами, которые могут быть измерены или зарегистрированы) и проанализировать результат.

Методы обнаружения текущих и будущих действий CINDER

Существующие концепции обнаружения текущей или будущей активности CINDER следовали по тому же пути, что и обнаружение прошлой активности CINDER: согласование всех данных от всех действий с объектами, затем применение эвристики, логики экспертной системы и моделей интеллектуального анализа данных к агрегированным данным.[5] Но построение автоматизированных логических и аналитических моделей оказалось трудным, поскольку опять-таки инсайдер не атакует, который он использует (авторизованный доступ авторизованных объектов). Нарушение этого «использования» и «того, как они используют» в системе с низким уровнем надежности и низким процентом согласования, всегда будет приводить к тому, что система будет выдавать слишком много ложных срабатываний, чтобы метод был приемлемым в качестве настоящего решения безопасности CINDER.

Одним из основных принципов обнаружения CINDER стало то, что только система с высокой степенью надежности и высокой степенью согласования может контролироваться (принадлежать) в той степени, в которой текущие и будущие действия CINDER могут быть идентифицированы, отслежены или прекращены.

Текущие проекты по обнаружению действия CINDER

Агентство перспективных оборонных исследовательских проектов DARPA

DARPA имеет постоянный Кибер-инсайдерская угроза или же Золушка программа для обнаружения внутренних угроз компьютерным системам. Он находится в ведении Управления стратегических технологий DARPA (STO).[6][7] Проект был приурочен к началу примерно 2010/2011 гг.[8] По сравнению с традиционными компьютерная безопасность, CINDER предполагает, что злоумышленники уже имеют доступ к внутренней сети; таким образом, он пытается определить «миссию» угрозы посредством анализа поведения, а не пытается предотвратить угрозу. В правительственной документации используется аналог "рассказать "идея из карточной игры покер.[6]

По словам Аккермана в Wired, импульс к программе пришел после WikiLeaks раскрытие информации, например Утечка документов о войне в Афганистане. Роберт Гейтс Философия информации в вооруженных силах заключалась в том, чтобы сделать упор на доступность для фронтовых солдат. Перед лицом массовой утечки ответ типа CINDER позволяет военным продолжать эту философию, а не просто перекрывать доступ к информации в массовом порядке.[7] Проект был запущен Пайтер Затко, бывший член L0pht и CDC который покинул DARPA в 2013 году.[9]

Смотрите также

Рекомендации

  1. ^ «Архивная копия». Архивировано из оригинал на 2012-01-11. Получено 2014-07-14.CS1 maint: заархивированная копия как заголовок (связь)
  2. ^ а б «Миссия и анализ случаев использования методов Cyber ​​Insider (CINDER) в военной и корпоративной среде». CodeCenters International Training Press. Получено 2012-05-09.
  3. ^ а б «Интеллектуальные агенты: теория и практика» (PDF). Обзор инженерии знаний. Архивировано из оригинал (PDF) на 2009-01-07. Получено 2012-05-24.
  4. ^ «Тенденции на будущее - внутренние угрозы». NIST. Получено 2012-05-11.
  5. ^ «Анализ DTIC и обнаружение вредоносных инсайдеров». DTIC Центр оборонной технической информации - Корпорация МИТЕР. Получено 2012-05-11.
  6. ^ а б "Объявление широкого агентства об угрозе кибер-инсайдера (CINDER)". DARPA Управление стратегических технологий. 2010-08-25. Получено 2011-12-06.
  7. ^ а б Акерман, Спенсер (31 августа 2010 г.). "Звездный хакер Darpa смотрит на WikiLeak-Proof Pentagon". Проводной. Получено 2011-12-05.
  8. ^ «DARPA ищет помощи в борьбе с инсайдерскими угрозами». infosecurity-magazine.com. 2010-08-30. Получено 2011-12-06.
  9. ^ "Google Motorola Mobility привлекает кадровое агентство США". Блумберг. 15 апреля 2013 г.