Le misure di cybersecurity sono spesso concentrate sulle minacce provenienti dall’esterno di un’organizzazione piuttosto che sulle minacce poste da individui inaffidabili all’interno di un’organizzazione. Tuttavia, le minacce interne sono la fonte di molte perdite nei settori delle infrastrutture critiche. Inoltre, insider ben pubblicizzati hanno causato danni irreparabili agli interessi della sicurezza nazionale. Una minaccia insider è definita come la minaccia che un dipendente o un appaltatore userà il suo accesso autorizzato, in modo consapevole o inconsapevole, per fare del male alla sicurezza degli Stati Uniti. Anche se le violazioni delle politiche possono essere il risultato di una disattenzione o di un incidente, l’obiettivo primario di questo progetto è prevenire azioni deliberate e intenzionali come lo sfruttamento malevolo, il furto o la distruzione di dati o la compromissione di reti, comunicazioni o altre risorse informatiche. Il progetto Insider Threat del Department of Homeland Security (DHS) Science and Technology Directorate (S&T) sta sviluppando un programma di ricerca per limitare in modo aggressivo gli elementi di questo problema. Il numero di infami e dannosi attacchi contro il governo illustra che la minaccia rappresentata da insider fidati è significativa. Questa minaccia continuerà a crescere con l’aumento della condivisione delle informazioni che si traduce in un maggiore accesso e distribuzione di informazioni sensibili.
Approccio
Per affrontare la crescente preoccupazione delle minacce interne, questo progetto cerca soluzioni R&D più avanzate per fornire le capacità necessarie per affrontare sei aree.
- Collect and Analyze (monitoraggio)
- Detect (fornire incentivi e dati)
- Deter (prevenzione)
- Protect (mantenere operazioni ed economia)
- Predict (anticipare minacce e attacchi)
- React (ridurre le opportunità, la capacità e la motivazione e il morale dell’insider)
I beneficiari di questa ricerca vanno dagli organismi di sicurezza nazionale che gestiscono i sistemi più sensibili o classificati ai funzionari della sicurezza interna che hanno bisogno di condividere informazioni sensibili ma non classificate/controllate non classificate e al settore sanitario, finanziario e molti altri settori in cui vengono gestite informazioni sensibili e preziose. In molti sistemi, come quelli che gestiscono infrastrutture critiche, l’integrità, la disponibilità e la sopravvivenza totale del sistema sono della massima priorità e possono essere compromessi da insider.
Performatore
Università del Texas San Antonio: Lightweight Media Forensics for Insider Threat Detection
Questo sforzo sta sviluppando nuovi metodi per rilevare le minacce interne attraverso il comportamento di archiviazione a livello di disco e come il comportamento di un individuo diverge dal comportamento precedente e/o da quello dei suoi pari organizzativi. Gli approcci attuali si basano su regole/signature e cercano modelli corrispondenti agli attacchi precedenti. L’analisi del comportamento di archiviazione a livello di disco con un agente leggero di media forensics fornirà uno sguardo più approfondito al comportamento dell’utente per gli indicatori e identificherà proattivamente le potenziali minacce.