Die Maßnahmen zur Cybersecurity konzentrieren sich häufig auf Bedrohungen von außen und weniger auf Bedrohungen durch nicht vertrauenswürdige Personen innerhalb einer Organisation. Insider-Bedrohungen sind jedoch die Ursache für viele Verluste in Branchen mit kritischer Infrastruktur. Darüber hinaus haben Insider, die in der Öffentlichkeit gut bekannt sind, den nationalen Sicherheitsinteressen irreparablen Schaden zugefügt. Eine Insider-Bedrohung ist definiert als die Gefahr, dass ein Angestellter oder ein Auftragnehmer seinen autorisierten Zugang wissentlich oder unwissentlich dazu nutzt, der Sicherheit der Vereinigten Staaten zu schaden. Obwohl Verstöße gegen die Richtlinien das Ergebnis von Unachtsamkeit oder Versehen sein können, liegt der Hauptfokus dieses Projekts auf der Verhinderung von vorsätzlichen und beabsichtigten Handlungen wie böswilliger Ausnutzung, Diebstahl oder Zerstörung von Daten oder der Kompromittierung von Netzwerken, Kommunikation oder anderen informationstechnischen Ressourcen. Das Projekt „Insider Threat“ des Department of Homeland Security (DHS) Science and Technology Directorate (S&T) entwickelt eine Forschungsagenda, um Elemente dieses Problems aggressiv einzudämmen.

Motivation

In zunehmendem Maße verdeutlichen Fälle von Insider-Bedrohungen und öffentlichkeitswirksame Datenlecks die Notwendigkeit von starken Insider-Bedrohungsprogrammen in Organisationen. Die Zahl der berüchtigten und schädlichen Angriffe auf die Regierung zeigt, dass die Bedrohung durch vertrauenswürdige Insider erheblich ist. Diese Bedrohung wird weiter zunehmen, da der zunehmende Informationsaustausch zu einem größeren Zugang zu und einer größeren Verbreitung von sensiblen Informationen führt.

Ansatz

Um der wachsenden Besorgnis über Insider-Bedrohungen zu begegnen, sucht dieses Projekt nach fortschrittlicheren R&D-Lösungen, um die benötigten Fähigkeiten in sechs Bereichen bereitzustellen.

1. Erfassen und Analysieren (Überwachung)
2. Erkennen (Anreize und Daten bereitstellen)
3. Abschrecken (Vorbeugung)
4. Schützen (Betrieb und Wirtschaftlichkeit aufrechterhalten)
5. Vorhersagen (Bedrohungen und Angriffe antizipieren)
6. Reagieren (Möglichkeiten reduzieren, Fähigkeiten und die Motivation und Moral des Insiders)

Die Nutznießer dieser Forschung reichen von den nationalen Sicherheitsbehörden, die die sensibelsten oder klassifizierten Systeme betreiben, bis hin zu Beamten des Heimatschutzes, die sensible, aber nicht klassifizierte/kontrollierte nicht klassifizierte Informationen weitergeben müssen, sowie dem Gesundheitswesen, dem Finanzwesen und vielen anderen Bereichen, in denen sensible und wertvolle Informationen verwaltet werden. In vielen Systemen, wie z.B. solchen, die kritische Infrastrukturen betreiben, haben die Integrität, Verfügbarkeit und Überlebensfähigkeit des Gesamtsystems höchste Priorität und können durch Insider kompromittiert werden.

Aussteller

University of Texas San Antonio: Lightweight Media Forensics for Insider Threat Detection
Dieses Projekt entwickelt neuartige Methoden zur Erkennung von Insider-Bedrohungen anhand des Speicherverhaltens auf Festplattenebene und der Frage, wie das Verhalten einer Person von früherem Verhalten und/oder dem ihrer Organisationskollegen abweicht. Aktuelle Ansätze beruhen auf Regeln/Signaturen und suchen nach Mustern, die mit früheren Angriffen übereinstimmen. Die Analyse des Speicherverhaltens auf Festplattenebene mit einem leichtgewichtigen Medienforensik-Agenten ermöglicht einen tieferen Einblick in das Benutzerverhalten, um Indikatoren zu finden und potenzielle Bedrohungen proaktiv zu identifizieren.