Cyber Insider-hot
Cyber Insider Threat , eller CINDER , är en digital hotmetod. Under 2010 initierade DARPA ett program under samma namn (Cyber Insider Threat (CINDER) Program) för att utveckla nya metoder för att upptäcka aktiviteter inom nätverk av militära intressen som är förenliga med cyberspionage.
CINDER-hotet skiljer sig från andra sårbarhetsbaserade attacker genom att åtgärden som vidtas av initiativtagaren inte är baserad på obehörig åtkomst av obehöriga objekt eller auktoriserade objekt, det är baserat på konceptet att auktoriserad åtkomst av auktoriserade objekt normalt kommer att inträffa (tillsammans med deras efterföljande åtgärder) inom säkerhetsgränsen. Denna objektåtgärd kommer inte att ses som en attack, utan normal användning när den analyseras av standard IDS-IPS, loggning och expertsystem. CINDER-uppdraget kommer att ses som ett obehörigt avslöjande när dataexfiltrering har realiserats. Vid den tidpunkten skulle det resulterande CINDER-fallet ändra alla objektåtgärder relaterade till avslöjandet från "Auktoriserad användning av ett auktoriserat objekt" till "otillåten användning av ett auktoriserat objekt".
Obs: För det initiala CINDER-fallet kommer den kontrollerande agenten fortfarande att ses som ett auktoriserat objekt baserat på det faktum att säkerhetssystemet har klarat en utvärdering för säkerhet och funktionalitet.
Cyber Insider-hotet har fortsatt att vara ett känt problem sedan mitten av 1980-talet. Följande NIST- material daterat mars 1994, "Internal Threats", visar hur det definierades i sin linda.
"Systemkontroller är inte väl anpassade till den genomsnittliga organisationens säkerhetspolicy. Som ett direkt resultat tillåts den typiska användaren att kringgå den policyn ofta. Administratören kan inte tillämpa policyn på grund av de svaga åtkomstkontrollerna och kan inte upptäcka policyöverträdelser på grund av svaga granskningsmekanismer. Även om granskningsmekanismerna finns på plats gör den skrämmande mängden data som produceras det osannolikt att administratören kommer att upptäcka policyöverträdelser. Pågående forskning om integritet och intrångsdetektering lovar att fylla en del av detta Tills dessa forskningsprojekt blir tillgängliga som produkter kommer systemen att förbli sårbara för interna hot."
CINDER beteenden och metoder
CINDER-förutsättningar
Det finns många förutsättningsdimensioner för CINDER-aktivitet, men en primär dimension måste alltid uppfyllas. Det är ett systemägande. Förutsättningsprinciper för systemägande och informationsdominans inom området objektåtgärder måste ingå i varje CINDER-uppdrag.
CINDER systemägande och objektåtgärd
I CINDER action kan varje uppdragsdimension och varje resulterande ärendeproblem destilleras till en enhet, en agent. och en åtgärd. Vid den specifika tidpunkt som en agent slutför en åtgärd, äger den entiteten, agenten och åtgärden miljön som de transiterar eller använder. Och om de lyckas genomföra den specifika transaktionen och inte avbryts eller åtminstone mäts eller övervakas av ägaren, kommer den enheten att ha, om än bara för ett ögonblick, dominans och äganderätt över det objektet.
CINDER-detektionsmetoder
Metoder för att upptäcka tidigare CINDER-åtgärder
För att upptäcka tidigare CINDER-aktivitet när en exponering har realiserats måste man stämma av alla objektåtgärder (alla utbyte eller transaktioner mellan två agenter som kan mätas eller loggas) och analysera resultatet.
Metoder för att upptäcka nuvarande och framtida CINDER-åtgärder
Nuvarande koncept för hur man upptäcker nuvarande eller framtida CINDER-aktivitet har följt samma väg som att detektera tidigare CINDER-aktivitet: En avstämning av all data från all objektåtgärd, sedan applicering av heuristik, expertsystemlogik och gruvmodeller på den aggregerade datan. Men att bygga automatiserade logik- och analysmodeller har visat sig vara svårt eftersom insidern ännu en gång inte attackerar de använder (behörig åtkomst av auktoriserade objekt). Att bryta ut denna "användning" och "hur de använder" i ett system som har låg säkerhet och låg procentandel av avstämning kommer alltid att göra att systemet producerar alldeles för många falska positiva resultat för att metoden ska vara acceptabel som en sann CINDER säkerhetslösning.
En huvudprincip för CINDER-detektering har blivit att endast ett system som har hög säkerhet och hög avstämning kan kontrolleras (ägas) i den utsträckning som nuvarande och framtida CINDER-åtgärder kan identifieras, övervakas eller avslutas.
Pågående projekt för att upptäcka CINDER-verkan
Defense Advanced Research Projects Agency DARPA
DARPA har ett pågående Cyber Insider Threat eller CINDER -program för att upptäcka insiderhot mot datorsystem. Det är under DARPA:s strategiska teknologikontor (STO). Projektet var planerat att starta runt 2010/2011. I jämförelse med traditionell datorsäkerhet antar CINDER att illvilliga insiders redan har tillgång till det interna nätverket; sålunda försöker den upptäcka ett hots "uppdrag" genom analys av beteende snarare än att försöka hålla ett hot utanför. Regeringsdokumentationen använder en analogi av " säg "-idén från kortspelet poker .
Enligt Ackerman i Wired kom drivkraften för programmet efter att WikiLeaks avslöjanden som läcker ut dokument från det afghanska kriget . Robert Gates informationsfilosofi inom militären var att betona tillgången för frontsoldater. Inför massläckage tillåter CINDER-typen av svar militären att fortsätta med den filosofin, snarare än att bara skära av tillgången till information i massor. Projektet startades av Peiter Zatko , en tidigare medlem av L0pht och cDc som lämnade DARPA 2013.
Se även
- ECHELON , Thinthread , Trailblazer , Turbulence , PRISM (övervakningsprogram) ( NSA -program)
- Einstein (US-CERT-program)
- Fusion center , Investigative Data Warehouse ( FBI )
- PRODIGAL , ADAMS ( DARPA )