Управление внутренними угрозами - Insider threat management

Управление внутренними угрозами это процесс предотвращения, борьбы, обнаружения и мониторинга сотрудников, удаленных поставщиков и подрядчиков, чтобы укрепить данные организации от инсайдерские угрозы такие как кража, мошенничество и повреждение.^[1]

Фон

Инсайдер - это лицо, которое работает в агентстве и имеет доступ к объектам, конфиденциальной информации, организационным данным, информационным системам и другому оборудованию.^[2] У них могут быть учетные записи, дающие им законный доступ к компьютерным системам, причем этот доступ изначально был предоставлен им для выполнения своих обязанностей; эти разрешения могут быть использованы для нанесения вреда организации. Инсайдеры часто знакомы с данными и интеллектуальной собственностью организации, а также с методами их защиты. Это помогает инсайдерам обойти любые меры безопасности, о которых они знают. Физическая близость к данным означает, что инсайдеру не нужно взламывать сеть организации через внешний периметр, преодолевая межсетевые экраны; скорее они уже находятся в здании, часто с прямым доступом к внутренней сети организации. От инсайдерских угроз защититься труднее, чем от атак посторонних, поскольку инсайдер уже имеет законный доступ к информации и активам организации.^[3]

Инсайдеры могут включать постоянных и временных сотрудников, продавцов, подрядчиков, поставщиков или бывших сотрудников.^[4] Чаще всего инсайдеры имеют повышенный уровень доступа и могут использовать конфиденциальную информацию, не вызывая подозрений. Однако любой может представлять инсайдерскую угрозу для организации, если он не размещает, не защищает и не использует конфиденциальную информацию, описанную в правилах агентства. Были случаи, когда люди были скомпрометированы противостоящим агентством и использовались финансовым статусом человека, угрозами его жизни или другими факторами, чтобы заставить человека подчиняться требованиям противостоящих агентств.

Преступная деятельность

Инсайдер может попытаться украсть собственность или информацию для личной выгоды или в интересах другой организации или страны.^[3] Эти атаки могут варьироваться от кражи информационных данных до уничтожения коммерческой собственности. Инсайдеры могут выполнять следующие угрозы своей организации:

Шпионаж, преступная деятельность, мошенничество, кража и несанкционированное раскрытие информации (секретная информация, конфиденциальная информация, интеллектуальная собственность, коммерческая тайна, информация, позволяющая установить личность (PII))
Саботаж информационных технологий
Любое действие, которое приводит к потере или ухудшению ресурсов или возможностей организации и ее способности выполнять свою миссию или бизнес-функцию.
Акты терроризма^[2]

Общие идентификаторы инсайдеров

У инсайдеров есть аналогичные характеристики, которые могут быть скомпилированы, чтобы помочь определить возможные угрозы. Большинство исследователей установили, что инсайдеры в основном демонстрируют антиобщественное поведение, которое может включать, но не ограничиваясь: Макиавеллизм, нарциссизм, и психопатия.^[4]

Со стороны информационной системы приведен список общих поведенческих индикаторов известных инсайдеров:^[5]

Загрузка значительных объемов данных на внешние диски
Доступ к конфиденциальным данным, не имеющим отношения к роли пользователя
Отправка конфиденциальной информации по электронной почте в личный кабинет
Попытки обойти меры безопасности
Запросы на разрешение или доступ на более высокий уровень без необходимости;
Частый доступ к рабочему месту в нерабочее время;
Безответственное поведение в социальных сетях;
Сохранение доступа к конфиденциальным данным после прекращения действия;
Использование неавторизованных внешних запоминающих устройств;
Видимое недовольство работодателем или коллегами;
Хроническое нарушение политики организации;
Снижение производительности труда;
Использование мобильных устройств для фотографирования или иной записи экранов компьютеров, общих рабочих зон или центров обработки данных;
Чрезмерное использование принтеров и сканеров;
Электронные сообщения, содержащие чрезмерное использование негативной лексики;
Установка неутвержденного программного обеспечения;
Общение с нынешними или бывшими сотрудниками группы повышенного риска;
Поездки в страны, известные кражей интеллектуальной собственности (IP), или размещение у конкурентов;
Нарушение корпоративной политики;
Сканирование сети, накопление данных или копирование из внутренних репозиториев;
Аномалии рабочего времени;
Попытки проникнуть в зоны ограниченного доступа;
Признаки жизни не по средствам
Обсуждения увольнения или новых деловых предприятий; и
Жалобы на враждебное, ненормальное, неэтичное или незаконное поведение

Примеры инсайдерских угроз

Последствия инцидентов с инсайдерскими угрозами могут быть очень серьезными, дорогостоящими и разрушительными. Не все инциденты инсайдеров являются злонамеренными. Инсайдеры, не связанные со злоумышленниками, могут быть столь же разрушительными, как и злонамеренные.

По приведенной ниже ссылке перечислены многочисленные инциденты с внутренними угрозами, которые серьезно повлияли на организации.^[6]

Информационная безопасность

Нарушение данных АНБ, Эдвард Сноуден, Июнь 2013^[7]
Военные данные США просочились в WikiLeaks, солдат США Челси Мэннинг, Январь 2010 г.^[8]
Подрядчик АНБ украл 50 терабайт данных за 20 лет, Гарольд Т. Мартин III, 20 октября 2016^[9]

Терроризм

Стрельба из ночного клуба Орландо погибли 50 человек, Омар Матин, 13 июня 2016^[10]
Полицейский DC Metro Transit пытается помочь ИГИЛ, Николас Янг, 3 августа 2016 г.^[11]^[12]

Рекомендации

^[13]

^ https://www.us-cert.gov/sites/default/files/publications/Combating%20the%20Insider%20Threat_0.pdf
^ ^а ^б «Инциденты инсайдерских угроз, утечки данных, новости, примеры - могут ли они произойти с вашей организацией» (PDF). www.NationalInsiderThreatSig.org. Получено 9 декабря 2017.
^ ^а ^б «Контрразведка ФБР: инсайдерская угроза. Введение в обнаружение и сдерживание инсайдерского шпиона». FBI.gov. Архивировано из оригинал 10 февраля 2014 г.. Получено 8 марта 2014.
^ ^а ^б Маасберг, М (2015). «Темная сторона инсайдера: обнаружение инсайдерской угрозы посредством изучения личностных черт Темной триады». 2015 48-я Гавайская международная конференция по системным наукам. С. 3518–3526. Дои:10.1109 / HICSS.2015.423. ISBN 978-1-4799-7367-5.
^ Мораетес, Джордж (11 сентября 2017 г.). «Руководство CISO по управлению внутренними угрозами». Разведка безопасности. Получено 8 декабря 2017.
^ «Инсайдерская угроза».
^ Гринвальд, Гленн; МакАскилл, Юэн; Пойтрас, Лаура (11 июня 2013 г.). «Эдвард Сноуден: информатор, стоящий за разоблачениями слежки АНБ». Получено 10 декабря 2017 - через www.TheGuardian.com.
^ «Солдат США Мэннинг получает 35 лет за передачу документов в WikiLeaks». 21 августа 2013 г.. Получено 10 декабря 2017 - через Reuters.
^ Накашима, Эллен (20 октября 2016 г.). «Правительство утверждает, что бывший подрядчик АНБ украл« поразительное количество »секретных данных за 20 лет». Получено 10 декабря 2017 - через www.WashingtonPost.com.
^ «Проскочил сквозь щели: убийца Орландо работал на DHS, государственный подрядчик». FoxNews.com. 13 июня 2016 г.. Получено 10 декабря 2017.
^ «ФБР арестовало сотрудника правоохранительных органов за материальную поддержку ИГИЛ». ФБР. 3 августа 2016 г.. Получено 2 декабря 2020.
^ «Полицейский в суде за якобы попытку помочь ИГИЛ». ABC News. 3 августа 2016 г.. Получено 10 декабря 2017.
^ «Известные случаи инсайдерской угрозы».

[1] ttps://www.us-cert.gov/sites/default/files/publications/Combating%20the%20Insider%20Threat_0.pdf

[national_insider-2] а ^б «Инциденты инсайдерских угроз, утечки данных, новости, примеры - могут ли они произойти с вашей организацией» (PDF). www.NationalInsiderThreatSig.org. Получено 9 декабря 2017.

[FBI-3] а ^б «Контрразведка ФБР: инсайдерская угроза. Введение в обнаружение и сдерживание инсайдерского шпиона». FBI.gov. Архивировано из оригинал 10 февраля 2014 г.. Получено 8 марта 2014.

[Dark-4] а ^б Маасберг, М (2015). «Темная сторона инсайдера: обнаружение инсайдерской угрозы посредством изучения личностных черт Темной триады». 2015 48-я Гавайская международная конференция по системным наукам. С. 3518–3526. Дои:10.1109 / HICSS.2015.423. ISBN 978-1-4799-7367-5.

[CISO-5] Мораетес, Джордж (11 сентября 2017 г.). «Руководство CISO по управлению внутренними угрозами». Разведка безопасности. Получено 8 декабря 2017.

[6] «Инсайдерская угроза».

[7] Гринвальд, Гленн; МакАскилл, Юэн; Пойтрас, Лаура (11 июня 2013 г.). «Эдвард Сноуден: информатор, стоящий за разоблачениями слежки АНБ». Получено 10 декабря 2017 - через www.TheGuardian.com.

[8] «Солдат США Мэннинг получает 35 лет за передачу документов в WikiLeaks». 21 августа 2013 г.. Получено 10 декабря 2017 - через Reuters.

[9] Накашима, Эллен (20 октября 2016 г.). «Правительство утверждает, что бывший подрядчик АНБ украл« поразительное количество »секретных данных за 20 лет». Получено 10 декабря 2017 - через www.WashingtonPost.com.

[10] «Проскочил сквозь щели: убийца Орландо работал на DHS, государственный подрядчик». FoxNews.com. 13 июня 2016 г.. Получено 10 декабря 2017.

[11] «ФБР арестовало сотрудника правоохранительных органов за материальную поддержку ИГИЛ». ФБР. 3 августа 2016 г.. Получено 2 декабря 2020.

[12] «Полицейский в суде за якобы попытку помочь ИГИЛ». ABC News. 3 августа 2016 г.. Получено 10 декабря 2017.

[13] «Известные случаи инсайдерской угрозы».

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]