As medidas de Segurança Cibernética são frequentemente centradas em ameaças vindas de fora de uma organização em vez de ameaças colocadas por indivíduos não confiáveis dentro de uma organização. Contudo, as ameaças internas são a fonte de muitas perdas em indústrias de infra-estruturas críticas. Além disso, pessoas com informação privilegiada bem divulgada têm causado danos irreparáveis aos interesses de segurança nacional. Uma ameaça privilegiada é definida como a ameaça de que um funcionário ou um empreiteiro utilize o seu acesso autorizado, com ou sem intenção, para causar danos à segurança dos Estados Unidos. Embora as violações de políticas possam ser o resultado de descuido ou acidente, o foco principal deste projecto é impedir acções deliberadas e intencionais, tais como exploração maliciosa, roubo ou destruição de dados ou o comprometimento de redes, comunicações ou outros recursos das tecnologias de informação. O projecto Insider Threat do Departamento de Segurança Interna (DHS) da Direcção de Ciência e Tecnologia (S&T) está a desenvolver uma agenda de investigação para reduzir agressivamente elementos deste problema.
Motivação
Casos de ameaças internas e fugas de dados de grande visibilidade ilustram cada vez mais a necessidade de programas de ameaças internas fortes dentro das organizações. O número de ataques infames e prejudiciais contra o governo ilustra que a ameaça representada por infiltrados de confiança é significativa. Esta ameaça continuará a crescer à medida que o aumento da partilha de informação resulta num maior acesso e distribuição de informação sensível.
Aproximação
Para abordar a crescente preocupação com as ameaças internas, este projecto procura soluções mais avançadas R&D para fornecer as capacidades necessárias para abordar seis áreas.
- Colher e analisar (monitorização)
- Detectar (fornecer incentivos e dados)
- Deter (prevenção)
- Proteger (manter operações e economia)
- Prever (antecipar ameaças e ataques)
- Reagir (reduzir oportunidades, capacidade e motivação e moral do iniciado)
/ol>
Os beneficiários desta investigação vão desde os organismos de segurança nacional que operam os sistemas mais sensíveis ou classificados até aos funcionários da segurança nacional que precisam de partilhar informação sensível, mas não classificada/controlada, e aos cuidados de saúde, finanças e muitos outros sectores onde é gerida informação sensível e valiosa. Em muitos sistemas, tais como os que operam infra-estruturas críticas, a integridade, disponibilidade e capacidade total de sobrevivência do sistema são da mais alta prioridade e podem ser comprometidos por iniciados.
Performer
Universidade de San Antonio do Texas: Forense de Meios Ligeiros para Detecção de Ameaças Internas
Este esforço está a desenvolver novos métodos para detectar ameaças internas através do comportamento de armazenamento a nível de disco e como o comportamento de um indivíduo diverge do comportamento anterior e/ou o dos seus pares organizacionais. As abordagens actuais baseiam-se em regras/assinaturas e procuram padrões que correspondam a ataques anteriores. A análise do comportamento de armazenamento a nível de disco com um agente forense de meios leves proporcionará uma análise mais aprofundada do comportamento do utilizador para indicadores e identificará proactivamente potenciais ameaças.