Внутренняя угроза

Воспринимаемый риск, возникающий внутри организации

Внутренняя угроза — это предполагаемая угроза для организации, исходящая от людей внутри организации, таких как сотрудники, бывшие сотрудники, подрядчики или деловые партнеры, которые обладают внутренней информацией, касающейся методов обеспечения безопасности организации, данных и компьютерных систем. Угроза может включать мошенничество, кражу конфиденциальной или коммерчески ценной информации, кражу интеллектуальной собственности или саботаж компьютерных систем.

Обзор

У инсайдеров могут быть учетные записи, дающие им законный доступ к компьютерным системам, причем этот доступ изначально был предоставлен им для выполнения своих обязанностей; эти разрешения могут быть использованы во вред организации. Инсайдеры часто знакомы с данными и интеллектуальной собственностью организации, а также с методами, которые используются для их защиты. Это облегчает инсайдеру обход любых известных ему средств контроля безопасности. Физическая близость к данным означает, что инсайдеру не нужно взламывать организационную сеть через внешний периметр, преодолевая брандмауэры; скорее, они уже находятся в здании, часто имея прямой доступ к внутренней сети организации. От внутренних угроз сложнее защититься, чем от атак со стороны посторонних, поскольку инсайдер уже имеет законный доступ к информации и активам организации. ^[1]

Инсайдер может попытаться украсть имущество или информацию для личной выгоды или для выгоды другой организации или страны. ^[1] Угроза для организации может также исходить от вредоносного программного обеспечения, оставленного на ее компьютерных системах бывшими сотрудниками, так называемой логической бомбы .

Исследовать

Инсайдерская угроза является активной областью исследований в академических кругах и правительстве.

Координационный центр CERT в Университете Карнеги-Меллона поддерживает Центр внутренних угроз CERT, который включает базу данных о более чем 850 случаях внутренних угроз, включая случаи мошенничества, кражи и саботажа; база данных используется для исследований и анализа. ^[2] Команда CERT по внутренним угрозам также ведет информационный блог, чтобы помочь организациям и предприятиям защитить себя от внутренних преступлений. ^[3]

Лаборатория угроз и Центр исследований кадров и безопасности Министерства обороны (DOD PERSEREC) также недавно стали национальными ресурсами в Соединенных Штатах Америки. Лаборатория угроз проводит ежегодную конференцию SBS Summit. ^[4] Они также поддерживают веб-сайт, содержащий ресурсы с этой конференции. В дополнение к этим усилиям был создан сопутствующий подкаст Voices from the SBS Summit. ^[5] В 2022 году Лаборатория угроз создала междисциплинарный журнал Counter Insider Threat Research and Practice (CITRAP), в котором публикуются исследования по обнаружению инсайдерских угроз. ^{[ требуется ссылка ]}

Выводы

В отчете о расследовании утечек данных за 2022 год (DBIR) компания Verizon обнаружила, что 82% утечек связаны с человеческим фактором, отметив, что сотрудники продолжают играть ведущую роль в инцидентах и ​​нарушениях кибербезопасности. ^[6]

По данным Управления комиссаров по информации Великобритании, 90% всех нарушений, о которых им сообщили в 2019 году, были результатом ошибок конечных пользователей. Это больше, чем 61% и 87% за предыдущие два года. ^[7]

В документе за 2018 год ^[8] сообщается, что 53% опрошенных компаний подтвердили факты внутренних атак на их организации за последние 12 месяцев, а 27% заявили, что внутренние атаки стали более частыми. ^[9]

В опубликованном в июле 2012 года отчете об инсайдерской угрозе в финансовом секторе США ^[10] приводится некоторая статистика по инцидентам с инсайдерской угрозой: 80% злонамеренных действий были совершены на работе в рабочее время; 81% преступников планировали свои действия заранее; 33% преступников были описаны как «трудные», а 17% как «недовольные». Инсайдер был идентифицирован в 74% случаев. Финансовая выгода была мотивом в 81% случаев, месть в 23% случаев, и 27% людей, совершавших злонамеренные действия, в то время испытывали финансовые трудности.

Исследовательский центр по безопасности персонала Министерства обороны США опубликовал отчет ^[11] , в котором описаны подходы к обнаружению внутренних угроз. Ранее он опубликовал десять тематических исследований внутренних атак, проведенных специалистами по информационным технологиям . ^[12]

Эксперты по кибербезопасности полагают, что 38% нерадивых инсайдеров становятся жертвами фишинговой атаки, когда они получают электронное письмо, которое выглядит как письмо от законного источника, например, компании. Такие письма обычно содержат вредоносное ПО в виде гиперссылок . ^[13]

Типологии и онтологии

Для классификации внутренних угроз было предложено множество систем классификации и онтологий. ^[14]

Традиционные модели инсайдерской угрозы выделяют три основные категории:

• Злонамеренные инсайдеры, то есть люди, которые используют свой доступ, чтобы причинить вред организации;
• Нерадивые инсайдеры, то есть люди, которые совершают ошибки и игнорируют политику, подвергая свои организации риску; а также
• Злоумышленники, то есть внешние субъекты, которые получают законные учетные данные доступа без разрешения.

Критика

Исследования инсайдерских угроз подверглись критике. ^[15]

• Критики утверждают, что внутренняя угроза — это плохо определенное понятие. ^[16]
• Криминалистическое расследование кражи инсайдерских данных — чрезвычайно сложная задача, требующая применения новых методов, таких как стохастическая криминалистика .
• Данные, подтверждающие инсайдерскую угрозу, как правило, являются конфиденциальными (т. е. зашифрованными ).
• Теоретические/концептуальные модели внутренней угрозы часто основываются на вольной интерпретации исследований в области поведенческих и социальных наук, использующих «дедуктивные принципы и интуицию экспертов в данной области».

Принимая социотехнические подходы, исследователи также утверждали о необходимости рассматривать внутреннюю угрозу с точки зрения социальных систем. Джордан Шенхерр ^[17] сказал, что «наблюдение требует понимания того, как формируются системы санкций, как сотрудники будут реагировать на наблюдение, какие нормы на рабочем месте считаются значимыми и что означает «отклонение», например, отклонение от обоснованной организационной нормы или несоблюдение организационной нормы, которая противоречит общим социальным ценностям». Рассматривая всех сотрудников как потенциальные внутренние угрозы, организации могут создавать условия, которые приводят к внутренним угрозам.

Смотрите также

• Компьютерная безопасность
• Крот (шпионаж)
• Служба уголовных расследований ВМС США
• Угроза (компьютер)
• Уловка уверенности
• Взяточничество (политика)
• Усадка (бухгалтерский учет)

Ссылки

1. "Контрразведка ФБР: Внутренняя угроза. Введение в обнаружение и сдерживание внутреннего шпиона". Fbi.gov. Архивировано из оригинала 10 февраля 2014 года . Получено 8 марта 2014 года .
2. "Центр внутренних угроз CERT". Cert.org . Получено 8 марта 2014 г.
3. "Insider Threat Blog". CERT . Получено 10 августа 2012 г.
4. "Insider Threat Blog". ThreatLab . Получено 17 июля 2022 г.
5. "Голоса с саммита SBS". ThreatLab . Получено 17 июля 2022 г.
6. "Отчет о расследовании утечки данных Verizon 2022 (DBIR)" (PDF) . Получено 23 мая 2024 г.
7. "Борьба за ваши данные: борьба с программами-вымогателями и внутренними угрозами". Information Age . 10 мая 2021 г. Получено 20 июня 2021 г.
8. "Insider Threat 2018 Report". Cybersecurity Insiders . Получено 13 декабря 2018 г. .
9. "2018 INSIDER THREAT REPORT" (PDF) . Crowd Research Partners . 4 сентября 2017 г. . Получено 14 июня 2024 г. .
10. Каммингс, Адам; Льюэллен, Тодд; Макинтайр, Дэвид; Мур, Эндрю; Тржечак, Рэндалл (2012), Исследование внутренних угроз: незаконная кибердеятельность, включающая мошенничество в секторе финансовых услуг США, Институт программной инженерии, Университет Карнеги-Меллона, (CMU/SEI-2012-SR-004)
11. Шоу, Эрик; Фишер, Линн; Роуз, Андре (2009), Оценка и аудит инсайдерских рисков (PDF) , Исследовательский центр по безопасности персонала Министерства обороны, TR 09-02
12. Шоу, Эрик; Фишер, Линн (2005), Десять историй о предательстве: угроза корпоративным инфраструктурам по анализу и наблюдениям инсайдеров информационных технологий (PDF) , заархивировано из оригинала (PDF) 14 октября 2012 г. , извлечено 18 марта 2013 г.
13. Отчет об инсайдерской угрозе fortinet.com
14. Шенхерр, Джордан Ричард; Лилья-Лолакс, Кристоффер; Джое, Дэвид (2022), «Множественные пути подхода к внутренней угрозе (MAP-IT): преднамеренные, амбивалентные и непреднамеренные пути к внутренним угрозам», Исследования и практика противодействия внутренним угрозам
15. Шенхерр, Джордан; Томмсон; Роберт (2020), «Обнаружение внутренних угроз: решение в поисках проблемы», Международная конференция по кибербезопасности и защите цифровых услуг (кибербезопасность) 2020 г. , Международная конференция по кибербезопасности и защите цифровых услуг (кибербезопасность) 2020 г., стр. 1–7, doi : 10.1109/CyberSecurity49315.2020.9138862, ISBN 978-1-7281-6428-1, S2CID  220606121
16. Coles-Kemp, Lizzie; Theoharidou, Marianthi (2010), Insider threat and information security management. В Insider threats in cyber security (стр. 45-71) , Springer, Boston
17. Шенхерр, Джордан (2020), Понимание обществ наблюдения: социальное познание и принятие технологий наблюдения, IEEE ISTAS 2020

Внешние ссылки

• Технология мониторинга, обнаружения и устранения внутренних угроз [ShadowSight
• Военно-морской шпионаж — предотвращение опасной внутренней угрозы ФБР
• Институт Ponemon Стоимость отчета об инсайдерской угрозе
• Отчет об инсайдерских угрозах за 2020 год - Gurucul