Cybersecuritymaatregelen zijn vaak gericht op bedreigingen van buiten een organisatie in plaats van bedreigingen die uitgaan van onbetrouwbare personen binnen een organisatie. Bedreigingen van binnenuit zijn echter de bron van veel verliezen in kritieke infrastructuursectoren. Bovendien hebben welbekende insiders onherstelbare schade toegebracht aan nationale veiligheidsbelangen. Een insider threat wordt gedefinieerd als de dreiging dat een werknemer of een contractant zijn of haar geautoriseerde toegang zal gebruiken, bewust of onbewust, om de veiligheid van de Verenigde Staten schade toe te brengen. Hoewel schendingen van het beleid het gevolg kunnen zijn van onachtzaamheid of ongelukken, is dit project in de eerste plaats gericht op het voorkomen van opzettelijke en bedoelde handelingen zoals kwaadwillige exploitatie, diefstal of vernietiging van gegevens of het in gevaar brengen van netwerken, communicatiemiddelen of andere informatietechnologiebronnen. Het Science and Technology Directorate’s (S&T) Insider Threat-project van het Department of Homeland Security (DHS) ontwikkelt een onderzoeksagenda om elementen van dit probleem agressief in te perken.
Motivatie
In toenemende mate illustreren gevallen van insider threat en high-profile datalekken de noodzaak van sterke insider threat-programma’s binnen organisaties. Het aantal beruchte en schadelijke aanvallen op de overheid illustreert dat de dreiging die uitgaat van vertrouwde insiders aanzienlijk is. Deze dreiging zal blijven toenemen naarmate meer informatie wordt gedeeld, waardoor meer toegang tot gevoelige informatie wordt verkregen en verspreid.
Aanpak
Om de groeiende bezorgdheid over insider bedreigingen aan te pakken, zoekt dit project naar meer geavanceerde R&D oplossingen om de nodige mogelijkheden te bieden om zes gebieden aan te pakken.
- Verzamelen en Analyseren (monitoring)
- Opsporen (bieden van prikkels en gegevens)
- Afschrikken (preventie)
- Beschermen (in stand houden van operaties en economie)
- Voorspellen (anticiperen op dreigingen en aanvallen)
- Reageren (verkleinen van kans, vermogen en motivatie en moreel voor de insider)
De begunstigden van dit onderzoek lopen uiteen van de nationale veiligheidsinstanties die de meest gevoelige of gerubriceerde systemen exploiteren tot binnenlandse veiligheidsfunctionarissen die gevoelige maar niet-gerubriceerde/gecontroleerde niet-gerubriceerde informatie moeten delen en tot de gezondheidszorg, de financiële wereld en vele andere sectoren waar gevoelige en waardevolle informatie wordt beheerd. In veel systemen, zoals die voor kritieke infrastructuren, hebben integriteit, beschikbaarheid en totale overlevingskansen van het systeem de hoogste prioriteit en kunnen door insiders in gevaar worden gebracht.
Uitvoerder
Universiteit van Texas San Antonio: Lightweight Media Forensics for Insider Threat Detection
Deze inspanning ontwikkelt nieuwe methoden om insider bedreigingen te detecteren door middel van disk-level storage gedrag en hoe het gedrag van een individu afwijkt van eerder gedrag en/of dat van hun organisatorische collega’s. Huidige benaderingen vertrouwen op regels/signaturen en zoeken naar patronen die overeenkomen met eerdere aanvallen. Het analyseren van het opslaggedrag op schijfniveau met een lichtgewicht media forensische agent zal een meer diepgaande blik werpen op gebruikersgedrag voor indicatoren en pro-actief potentiële bedreigingen identificeren.