Les mesures de cybersécurité sont fréquemment axées sur les menaces provenant de l’extérieur d’une organisation plutôt que sur les menaces posées par des individus indignes de confiance à l’intérieur d’une organisation. Cependant, les menaces de l’intérieur sont la source de nombreuses pertes dans les industries d’infrastructures critiques. En outre, des initiés très médiatisés ont causé des dommages irréparables aux intérêts de la sécurité nationale. Une menace d’initié est définie comme la menace qu’un employé ou un entrepreneur utilise son accès autorisé, volontairement ou non, pour nuire à la sécurité des États-Unis. Bien que les violations de politique puissent être le résultat d’une négligence ou d’un accident, l’objectif principal de ce projet est de prévenir les actions délibérées et intentionnelles telles que l’exploitation malveillante, le vol ou la destruction de données ou la compromission de réseaux, de communications ou d’autres ressources informatiques. Le projet de menace d’initié de la Direction des sciences et de la technologie (S&T) du Département de la sécurité intérieure (DHS) élabore un programme de recherche visant à réduire de manière agressive les éléments de ce problème.

Motivation

De plus en plus, les cas de menace d’initié et les fuites de données très médiatisées illustrent la nécessité de programmes solides de lutte contre la menace d’initié au sein des organisations. Le nombre d’attaques infâmes et dommageables contre le gouvernement illustre que la menace posée par les initiés de confiance est importante. Cette menace continuera de croître à mesure que l’augmentation du partage de l’information entraîne un accès et une distribution accrus d’informations sensibles.

Approche

Pour répondre à la préoccupation croissante des menaces d’initiés, ce projet recherche des solutions R&D plus avancées pour fournir les capacités nécessaires dans six domaines.

  1. Collecter et analyser (surveillance)
  2. Détecter (fournir des incitations et des données)
  3. Dissuader (prévention)
  4. Protéger (maintenir les opérations et l’économie)
  5. Prévoir (anticiper les menaces et les attaques)
  6. Réagir (réduire les opportunités, capacité et la motivation et le moral de l’initié)

Les bénéficiaires de cette recherche vont des organismes de sécurité nationale exploitant les systèmes les plus sensibles ou classifiés aux responsables de la sécurité intérieure qui doivent partager des informations sensibles mais non classifiées/contrôlées non classifiées, en passant par les secteurs de la santé, de la finance et bien d’autres secteurs où des informations sensibles et précieuses sont gérées. Dans de nombreux systèmes tels que ceux qui exploitent des infrastructures critiques, l’intégrité, la disponibilité et la survivabilité totale du système sont de la plus haute priorité et peuvent être compromises par des initiés.

Participant

Université du Texas San Antonio : Lightweight Media Forensics for Insider Threat Detection
Cet effort développe de nouvelles méthodes pour détecter les menaces d’initiés à travers le comportement de stockage au niveau du disque et la façon dont le comportement d’un individu diverge du comportement antérieur et/ou de celui de ses pairs organisationnels. Les approches actuelles reposent sur des règles/signatures et recherchent des modèles correspondant à des attaques précédentes. L’analyse du comportement de stockage au niveau du disque à l’aide d’un agent léger de criminalistique des médias permettra d’examiner de manière plus approfondie le comportement des utilisateurs pour trouver des indicateurs et identifier de manière proactive les menaces potentielles.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *