Киберинсайдерская угроза

Cyber Insider Threat , или CINDER , — это метод цифровой угрозы. В 2010 году DARPA инициировало одноименную программу (Cyber Insider Threat (CINDER) Program) для разработки новых подходов к обнаружению действий в сетях военного интереса, которые согласуются с деятельностью кибершпионажа. ^[1]

Угроза CINDER отличается от других атак, основанных на уязвимостях, тем, что действие, предпринимаемое инициатором, не основано на несанкционированном доступе неавторизованных объектов или авторизованных объектов, а основано на концепции, согласно которой санкционированный доступ авторизованных объектов обычно происходит (вместе с его последующим действия) в пределах границы безопасности. Данное действие объекта будет рассматриваться не как атака, а как обычное использование при анализе стандартными IDS-IPS, логгирующими и экспертными системами. Миссия CINDER будет рассматриваться как несанкционированное раскрытие информации, как только будет осуществлена утечка данных. В этот момент в результате дела CINDER все действия объекта, связанные с раскрытием, будут изменены с «Разрешенного использования авторизованным объектом» на «Несанкционированное использование авторизованным объектом». ^[2]

Примечание. В исходном случае CINDER контролирующий агент ^[3] по-прежнему будет рассматриваться как Авторизованный объект на основании того факта, что система безопасности прошла оценку на надежность и функциональность.

Киберинсайдерская угроза продолжает оставаться известной проблемой с середины 1980-х годов. Следующий материал NIST , датированный мартом 1994 года, «Внутренние угрозы», показывает, как оно определялось в зачаточном состоянии.

«Системные меры контроля не очень хорошо соответствуют политике безопасности средней организации. В результате обычному пользователю разрешено часто обходить эту политику. Администратор не может обеспечить соблюдение политики из-за слабых средств контроля доступа и не может обнаружить нарушение политики из-за слабых механизмов аудита. Даже если механизмы аудита имеются, огромный объем получаемых данных делает маловероятным, что администратор обнаружит нарушения политики. Продолжающиеся исследования в области целостности и обнаружения вторжений обещают частично восполнить эту проблему. До тех пор, пока эти исследовательские проекты не станут доступны в виде продуктов, системы останутся уязвимыми для внутренних угроз». ^[4]

Поведение и методы CINDER

Предварительные условия CINDER

Существует множество предварительных условий деятельности CINDER, но всегда необходимо соблюдать одно основное измерение. Это одно из владения системой. Обязательные принципы владения системой и информационного доминирования в зоне действия объекта должны быть частью любой миссии CINDER.

Владение системой CINDER и действие объекта

В действии CINDER каждое измерение миссии и каждый возникающий в результате кейс могут быть сведены к одному субъекту, одному агенту. ^[3] и одно действие. В определенный момент времени, когда агент выполняет действие, этот объект, агент и действие владеют средой, которую они проходят или используют. И если им удастся совершить эту конкретную транзакцию и они не будут прерваны или, по крайней мере, измерены или проконтролированы владельцем, эта сущность будет, хотя бы на мгновение, доминировать и владеть этим объектом. ^[2]

Методы обнаружения CINDER

Методы обнаружения прошлых действий CINDER

Чтобы обнаружить прошлую активность CINDER, когда риск был реализован, необходимо согласовать все действия объекта (любой обмен или транзакцию между двумя агентами, которые можно измерить или зарегистрировать) и проанализировать результат.

Методы обнаружения текущих и будущих действий CINDER

Современные концепции обнаружения текущей или будущей активности CINDER идут по тому же пути, что и обнаружение прошлой активности CINDER: сверка всех данных всех действий объекта, затем применение эвристики, логики экспертной системы и моделей интеллектуального анализа к агрегированным данным. ^[5] Но построение моделей автоматизированной логики и анализа оказалось трудным, поскольку, опять же, инсайдеры не атакуют их (санкционированный доступ авторизованных объектов). Нарушение этого «использования» и «как они используют» в системе с низкой надежностью и низким процентом согласования всегда будет приводить к тому, что система будет выдавать слишком много ложных срабатываний, чтобы этот метод мог быть принят в качестве настоящего решения безопасности CINDER.

Одним из основных принципов обнаружения CINDER стало то, что только система, которая имеет высокую надежность и высокую степень согласованности, может контролироваться (принадлежать) в той степени, в которой текущие и будущие действия CINDER могут быть идентифицированы, проверены или прекращены.

Текущие проекты по обнаружению действия CINDER

Агентство перспективных оборонных исследовательских проектов DARPA

У DARPA есть действующая программа Cyber Insider Threat или CINDER для обнаружения инсайдерских угроз компьютерным системам. Он находится в ведении Управления стратегических технологий (STO) DARPA. ^[6]^[7] Начало реализации проекта было запланировано примерно на 2010/2011 год. ^[8] По сравнению с традиционной компьютерной безопасностью , CINDER предполагает, что злоумышленники уже имеют доступ к внутренней сети; таким образом, он пытается обнаружить «миссию» угрозы посредством анализа поведения, а не пытается предотвратить угрозу. В правительственной документации используется аналогия идеи « телл » из карточной игры в покер . ^[6]

По словам Акермана в журнале Wired, толчок к созданию программы появился после таких разоблачений WikiLeaks, как утечка документов об афганской войне . Философия Роберта Гейтса в отношении информации в армии заключалась в том, чтобы подчеркнуть доступность информации для солдат на передовой. В условиях массовой утечки ответ типа CINDER позволяет военным продолжать эту философию, а не просто массово перекрывать доступ к информации. ^[7] Проект был начат Пейтером Затко , бывшим членом L0pht и cDc, покинувшим DARPA в 2013 году. ^[9]

См. также

Ссылки

^ «Кибер-инсайдерская угроза (CINDER)» . Архивировано из оригинала 11 января 2012 г. Проверено 14 июля 2014 г.
^ Jump up to: ^а ^б «Анализ задач и примеров применения методов Cyber Insider (CINDER) в военной и корпоративной среде» . Международная учебная пресса CodeCenters. Архивировано из оригинала 23 мая 2013 г. Проверено 9 мая 2012 г.
^ Jump up to: ^а ^б «Интеллектуальные агенты: теория и практика» (PDF) . Обзор инженерии знаний. Архивировано из оригинала (PDF) 7 января 2009 г. Проверено 24 мая 2012 г.
^ Бэшем, Лоуренс; Полк, В. (1992). «Тенденции будущего – Внутренние угрозы» . НИСТ. doi : 10.6028/NIST.IR.4939 . Архивировано из оригинала 12 августа 2012 г. Проверено 11 мая 2012 г.
^ «Анализ DTIC и обнаружение злонамеренных инсайдеров» . Центр оборонной технической информации DTIC - Корпорация MITRE. Архивировано из оригинала 8 апреля 2013 года . Проверено 11 мая 2012 г.
^ Jump up to: ^а ^б «Широкое объявление агентства о киберинсайдерской угрозе (CINDER)» . DARPA Управление стратегических технологий . 25 августа 2010 г. Архивировано из оригинала 04 сентября 2018 г. Проверено 6 декабря 2011 г.
^ Jump up to: ^а ^б Акерман, Спенсер (31 августа 2010 г.). «Звездный хакер DARPA надеется на защищенный от WikiLeak Пентагон» . Проводной . Архивировано из оригинала 1 декабря 2013 г. Проверено 5 декабря 2011 г.
^ «DARPA обращается за помощью в борьбе с инсайдерскими угрозами» . infosecurity-magazine.com. 30 августа 2010 г. Архивировано из оригинала 21 апреля 2012 г. Проверено 6 декабря 2011 г.
^ «Google Motorola Mobility привлекает таланты Агентства обороны США» . Блумберг. 15 апреля 2013 г. Архивировано из оригинала 27 мая 2024 г. Проверено 6 марта 2017 г.

[1] «Кибер-инсайдерская угроза (CINDER)» . Архивировано из оригинала 11 января 2012 г. Проверено 14 июля 2014 г.

[Cod1-2] Jump up to: ^а ^б «Анализ задач и примеров применения методов Cyber Insider (CINDER) в военной и корпоративной среде» . Международная учебная пресса CodeCenters. Архивировано из оригинала 23 мая 2013 г. Проверено 9 мая 2012 г.

[UNSW-3] Jump up to: ^а ^б «Интеллектуальные агенты: теория и практика» (PDF) . Обзор инженерии знаний. Архивировано из оригинала (PDF) 7 января 2009 г. Проверено 24 мая 2012 г.

[4] Бэшем, Лоуренс; Полк, В. (1992). «Тенденции будущего – Внутренние угрозы» . НИСТ. doi : 10.6028/NIST.IR.4939 . Архивировано из оригинала 12 августа 2012 г. Проверено 11 мая 2012 г.

[5] «Анализ DTIC и обнаружение злонамеренных инсайдеров» . Центр оборонной технической информации DTIC - Корпорация MITRE. Архивировано из оригинала 8 апреля 2013 года . Проверено 11 мая 2012 г.

[fbo1-6] Jump up to: ^а ^б «Широкое объявление агентства о киберинсайдерской угрозе (CINDER)» . DARPA Управление стратегических технологий . 25 августа 2010 г. Архивировано из оригинала 04 сентября 2018 г. Проверено 6 декабря 2011 г.

[ackerman1-7] Jump up to: ^а ^б Акерман, Спенсер (31 августа 2010 г.). «Звездный хакер DARPA надеется на защищенный от WikiLeak Пентагон» . Проводной . Архивировано из оригинала 1 декабря 2013 г. Проверено 5 декабря 2011 г.

[infosec1-8] «DARPA обращается за помощью в борьбе с инсайдерскими угрозами» . infosecurity-magazine.com. 30 августа 2010 г. Архивировано из оригинала 21 апреля 2012 г. Проверено 6 декабря 2011 г.

[9] «Google Motorola Mobility привлекает таланты Агентства обороны США» . Блумберг. 15 апреля 2013 г. Архивировано из оригинала 27 мая 2024 г. Проверено 6 марта 2017 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]