Ameninţări din interior: profilare şi detectare

Battista Cagnoni
Ziarul BURSA #Companii #Securitate Cibernetică / 20 septembrie

Ameninţări din interior: profilare şi detectare

Am putea spune că "totul ţine de încredere". Majoritatea activităţilor umane şi a interacţiunilor umane se bazează pe încredere. Avem încredere în cei care au construit şi implementat sistemul de semafoare. Nu putem verifica dacă, atunci când vedem verde pe drumul nostru conducând cu 80 km/h, toţi ceilalţi au roşu şi nu se mişcă.

Ameninţări din interior: profilare şi detectare

Din nou, avem încredere în bucătarul restaurantului care ne pregăteşte masa folosind ingrediente bune şi fără ceva dăunător pentru sănătate. Nu putem pătrunde în bucătărie şi să inspectăm personal ce se întâmplă acolo. În mod analog, avem încredere în oamenii din organizaţia noastră, avem încredere în cei pe care îi angajăm oferindu-le acces la informaţii confidenţiale şi la proprietatea intelectuală critică pentru afacere. Acest lucru reprezintă un risc de afaceri, iar organizaţiile mature ştiu foarte bine care este problema, dar, în acelaşi timp, aceasta este una dintre cele mai greu de rezolvat.

Operaţiunile de securitate îşi articulează activităţile în jurul oamenilor, proceselor şi tehnologiei, iar dacă un bun echilibru între cele trei componente este adevărat şi necesar pentru ameninţările externe, este şi mai adevărat şi împinge la limită capacităţile de detectare a ameninţărilor.

Dar cine este o ameninţare internă?

Una dintre cele mai bune lucrări pe această temă este cea a lui Eric D. Shaw şi Harley V. Stock1. Prezentăm în cele ce urmează cele mai interesante constatări ale analizei:

Ameninţări din interior: profilare şi detectare

În interiorul organizaţiei, cei care sustrag proprietate intelectuală ocupă cel mai des posturi tehnice

Majoritatea furturilor de proprietate intelectuală sunt comise de angajaţi de sex masculin, cu vârsta medie de aproximativ 37 de ani, care ocupă în principal posturi tehnice, inclusiv ingineri sau oameni de ştiinţă, manageri, vânzători şi programatori. Majoritatea hoţilor de PI au semnat acorduri de proprietate intelectuală, ceea ce indică faptul că doar regulile propriu-zise, fără o corectă înţelegere din partea angajaţilor şi fără o implementare eficientă, se dovedesc ineficiente.

Ameninţări din interior: profilare şi detectare

În interiorul organizaţiei, de obicei, cei care sustrag proprietate intelectuală au găsit deja un nou loc de muncă

Aproximativ 65% dintre angajaţii care au comis furturi de proprietate intelectuală acceptaseră deja un post într-o companie concurentă sau îşi înfiinţaseră propria companie în momentul furtului. Aproximativ 25% au fost recrutaţi de o persoană din exterior care a vizat datele, iar aproximativ 20% dintre furturi au implicat colaborarea cu o altă persoană răuvoitoare din interior.

În interiorul organizaţiei, cei care sustrag proprietate intelectuală fură cel mai adesea date la care au acces autorizat

Subiecţii sustrag datele pe care le cunosc, cu care lucrează şi la care se simt adesea îndreptăţiţi. De fapt, 75% dintre iniţiaţi au furat materiale la care aveau acces autorizat. Acest lucru complică capacitatea unei organizaţii de a-şi proteja proprietatea intelectuală prin controale tehnice şi susţine necesitatea unor discuţii mai directe cu angajaţii despre ce date sunt şi ce date nu sunt transferabile la plecarea lor şi ar trebui să fie o parte evidentă a oricărui acord privind proprietatea intelectuală a angajaţilor.

În interiorul organizaţiei, secretele comerciale sunt cel mai frecvent tip de proprietate intelectuală sustrasă

Secretele comerciale au fost furate în 52% din cazuri. Informaţiile comerciale, cum ar fi informaţiile de facturare, listele de preţuri şi alte date administrative, au fost furate în proporţie de 30%, codul sursă în proporţie de 20%, software-ul brevetat în 14% din cazuri, informaţiile despre clienţi în proporţie de 12% şi strategiile de afaceri în 6% din cazuri.

Ameninţări din interior: profilare şi detectare

În interiorul organizaţiei, cei care sustrag proprietate intelectuală folosesc mijloace tehnice, dar sunt descoperiţi de angajaţii care nu au cunoştinţe tehnice

Majoritatea subiecţilor, 54%, au folosit o adresă de e-mail din reţeaua organizaţiei, un canal de acces la distanţă la reţea sau un transfer de fişiere în reţea pentru a-şi exfiltra datele furate. Cu toate acestea, cele mai multe furturi de PI comise de angajaţi au fost descoperite mai cu seamă de către colegii non-tehnici, în raport cu cele descoperite de cei care lucrau în sectorul IT în cadrul organizaţiei.

Ameninţări din interior: profilare şi detectare

Eşecurile profesionale pot determina iniţiative de furt de PI de la organizaţie

Există o înclinaţie de a trecere la fapte, atunci când angajatul consideră că a reflectat îndeajuns sau îi este solicitat de către alţii să o facă. Această activare are loc adesea ca urmare a unui eveniment perceput ca eşec profesional sau a unor aşteptări nesatisfăcute. Această graniţă între intenţie şi acţiune explică de ce unele furturi din interior par a fi spontane, deşi nu sunt.

După descrierea profilului ameninţării interne tipice, vom examina modul de abordare a acestui risc şi posibilele măsuri de atenuare. O abordare interesantă vine de la CISA. În secţiunea de pe site-ul lor web dedicată securităţii infrastructurilor2putem găsi descrierea conceptului people as sensor.

"Personalul unei organizaţii reprezintă componenta umană pentru detectarea şi identificarea unei ameninţări din interior. Colegii de muncă, prietenii, vecinii, membrii familiei sau observatorii ocazionali sunt frecvent adesea în măsură să înţeleagă şi să conştientizeze predispoziţiile, factorii de stres şi comportamentele unui angajat care ar putea avea în vedere acte răuvoitoare. Atunci când observaţi comportamentul uman, ţineţi cont de două calităţi importante:

Ascultaţi prin prisma cadrului de referinţă al celeilalte persoane, nu al dumneavoastră. Nu porniţi de la premisa că cineva va cere ajutor sau va cere să fie oprit, sau că va vorbi despre intenţiile sale în acelaşi mod în care aţi face-o dumneavoastră.

Ascultaţi-l pe interlocutor ţinând cont de informaţiile vizuale pe care vi le furnizează. Oamenii îşi dezvăluie adesea intenţiile prin mijloace non-verbale. "

Ameninţări din interior: profilare şi detectare

Există, de asemenea, o serie de indicatori care merită să fie menţionaţi, deoarece oferă mai mult context şi detalii despre unde trebuie căutate semnele de ameninţare din interior.

-Indicatorii personali sunt o combinaţie de predispoziţii şi de factori de stres personal care afectează, într-un anumit moment, un angajat care poate astfel deveni o ameninţare sau poate trece la fapte.

-Indicatorii de parcurs profesional sunt evenimente care au loc înainte ca o persoană să fie angajată de o organizaţie sau înainte ca aceasta să obţină acces la reţeaua organizaţiei.

-Indicatorii comportamentali sunt acţiuni direct observabile de către colegi, personalul de resurse umane, supervizori, precum şi cu ajutorul tehnologiei. De-a lungul timpului, comportamentele creează o linie generală a activităţii, faţă de care schimbările pot fi considerate un indicator de ameninţare.

-Indicatorii tehnici implică o activitate a reţelei şi a utilizatorului şi necesită aplicarea directă a sistemelor şi a instrumentelor IT pentru a fi detectaţi.

-Indicatori organizaţionali/de mediu:

-Politicile organizaţionale şi practicile culturale pot juca un rol semnificativ în crearea sau gestionarea unei ameninţări din interior.

-Factorii de mediu pot intensifica sau atenua factorii de stres care pot contribui la schimbări de comportament şi la trecerea unui individ de la statutul de angajat de încredere la cel de ameninţare internă. Aceşti factori sunt adesea legaţi de politicile organizaţionale şi de practicile culturale.

-Indicatorii de violenţă sunt comportamente specifice sau ansambluri de comportamente care pot insufla teamă sau pot genera îngrijorare, fapte ce pot determina o persoană să acţioneze; aceste comportamente includ, dar nu se limitează la, intimidare, hărţuire şi şicanare.

Ameninţări din interior: profilare şi detectare

Ca o consideraţie finală, este important de menţionat că, odată cu evoluţia tehnologiilor de inteligenţă artificială, cum ar fi machine learning, este posibil să se combine abordarea comportamentală cu instrumente tehnice, cum ar fi metadatele reţelei sau ale utilizatorului. Acest lucru permite ca procesul de detectare să devină de câteva ori mai rapid.

Indiferent dacă este vorba de un comportament de tip smash and grab sau de un comportament de tip slow bleeding, inteligenţa artificială va putea genera indicatori utili din analiza ansamblului de date ce caracterizează fluxul reţelei (noise) .

De asemenea, combinarea diferitelor tipuri de indicatori poate adăuga valoare şi poate îmbunătăţi gradul de pregătire împotriva ameninţărilor din interior.

Ameninţări din interior: profilare şi detectare

Un exemplu recent este cel al unui angajat care demisionează şi care, în perioada de preaviz, începe să colecteze şi să exfiltreze date. În acest scenariu specific, combinarea indicatorilor non-tehnici - demisia - cu o abordare de tip vânătoare de ameninţări - căutarea de anomalii în metadatele reţelei - poate fi foarte benefică.

-----------------------

Ameninţări din interior: profilare şi detectare

BIO

Battista Cagnoni, Senior Consultant, Advisory Services, EMEA la Vectra este expert în securitate, cu o vastă experienţă în diferite domenii industriale, unde a ocupat funcţii de Security engineer, Security Analyst sau SOC Lead. Foarte pasionat de cultura Cyber Security, de activităţi de conştientizare în acest domeniu şi de înţelegerea modelelor de urmat pentru a contracara problemele de securitate. Împărtăşeşte în mod constant din cunoştinţele sale, oferind sfaturi şi procese metodologice la cel mai înalt nivel, ajutându-i pe CISO în demersuri de consolidare şi atingere a unui nivel ridicat de maturitate în cadrul operaţiunilor de securitate. Battista deţine certificările de Forensic Analyst şi de Incident Handler acordate de GIAC, precum şi certificatele de expert CISSP, GCFA, GCIH.

Note:

1. Indicatori comportamentali de risc pentru furtul rău intenţionat al proprietăţii intelectuale din interior: Citirea greşită a ceea ce scrie pe perete

2. https://www.cisa.gov/detecting-and-identifying-insider-threats

Opinia Cititorului ( 2 )

  1. BINENTELES CA ROMANIA ESTE AMENINTATA DIN INTERIOR !!!!!!!!!!! ADEVARATII DUSMANI AI TARII , NU SANT RUSII SI NICI POPORUL PITICULUI CARE E ATAT DE DISPRETUITOR FATA DE TOT CE ESTE ROMAN PE FATA PAMANTULUI !!!!!!!!!!!! ADEVARATII DUSMANI SANT CHIAR ROMANII !!!!!!!!!!!! ROMANI , IMPOTRIVA ROMANILOR !!!!!!!!!!!! ADICA : INDIVIDUALISTII !!!!!!!!!!! CEI CARE NU AU FOST NICIODATA PATRIOTI , NU SANT NICI ACUM , SI NU V-OR FI NICIODATA !!!!!!!!!!!!! CEI CARE , LA O ADICA , DACA UN INAMIC AR NAVALII CUMVA PESTE TERITORIUL TARII , IN NICI UN CAZ NU AR RAMANE AICI CA SA LUPTE , CI AR FUGII RAPID PESTE HOTARE , SI I-AR LASA PE PROSTI ( PARDON , PATRIOTI ) , SA MOARA PE AICEA !!!!!!!!!!!!!!! CU ALTE CUVINTE , FIECARE CUM SE DESCURCA !!!!!!!!!!!!!! DAR : LUCRUL ASTA , N-O SA-L FACA OAMENII SARACI !!!!!!!!!!!! OR SA-L FACA CETATENII DE TIP '''''''''''' ALFA '''''''''' !!! SENATORI , DEPUTATI , AFACERISTI DE TOATE FELURILE , CARE S-AU IMBOGATIT , CUM S-AU IMBOGATIT , JUDECATORI , PROCURORI , AVOCATI , GREFIERI , etc , etc , etc .............. EI , IN NICI UN CAZ N-OR SA ACCEPTE CA SA IA O MINA MAGNETICA IN BRATE , SI SA SE ARUNCE CU EA SUB SENILELE UNUI TANC DUSMAN , STRIGAND CU ULTIMELE PUTERI INAINTE SA FIE STRIVIT : '''''''' TRAIASCA ROMANIA !!! NU AM MURIT DEGEABA ''''''''' !!!!!!!!!!!! EI , INDIVIZII ASTIA , MAI BINE SPUS MAJORITATEA LOR , SANT DUSMANII ACESTEI TARI !!!!!!!!!!!!! DE CE ?????????? FIINDCA , NU SE SIMT LEGATI DE EA !!!!!!!!!! SANT LEGATI , NUMAI DE BANI !!!!!!!! DE AUR !!!!!!!!!!!!! DE BIJUTERII !!!!!!!!!! DE OPERE DE ARTA !!!!!!!!!!!!! DE MASINI SCUMPE !!!!!!!!!!!! DE SALUPE SI IAHTURI PERSONALE !!!!!!!!!!! DE AVIOANE PRIVATE !!!!!!!!!!!!!!!! DE ........ DE ....... DE ......... !!! NU DE ROMANIA !!!!!!!!!! ROMANIA , DA-O DRACU '''' !!! CINE A AUZIT DE ROMANIA ?????????? ROMANIA , SANT ''''''' EI '''''''' !!! CARE EI ???????? EI !!! PREA MULTE , VRETI SI VOI SA STITI !!!!!!!!!! CUM CARE EI ????????? VA IMPARTASESC UN SECRET : UNUL MARE DE TOT !!! DAR NUMAI INTRE NOI , SA NU NE AUDA NIMENEA : PSSSST !!!!!!!!! IN TARA ASTA , SANT MAI MULTE ROMANII , INTR-UNA SINGURA !!!!!!!!!!!! PE DE O PARTE SANT COMUNISTII , IN CEALALTA PARTE SANT CEI CARE MAI MUNCESC !!!!!!!!!!!! CUM DRACULUI , SA MAI AVANSEZE , CICA SPRE CAPITALISM , TARA ASTA ????????? PE DE O PARTE , UN OCEAN DE LACUSTE , OMIZI , LIPITORI , PIRANHA , HARCIOGI , POPANDAI , GREIERI ( MAI ALES GREIERI , SANT MAJORITARI !!! ) , RECHINI , LUPI , etc , etc , etc ........... , PE DE ALTA PARTE , ''''''' FRAIERII ''''''''' CARE INCA INCEARCA SA MAI FACA CEVA PENTRU TARA ASTA , NU NUMAI PENTRU EI INSISI !!!!!!!!!!!!! REZULTATUL PANA ACUMA ??????? ROMANIA E APROAPE DE MARGINEA PRAPASTIEI , CE SE V-A INTAMPLA CU EA , MAI VEDEM !!!!!!!!!!!!!! DACA RAMANEM TOT CU ASTIA , CRED CA , NIMIC BUN !!!!!!!!!!!!!!!!!!!!!!

    1. Maine e ziua internationala a Pacii mondiale. Mai bine ne indreptam emotia gandului pacii spre sufletele decidentilor lumii si ai nostri! Doar prin emotii puternice putem crea campurile necesare pacii interuoare care va refelecta pacea exterioara!

Cotaţii Internaţionale

vezi aici mai multe cotaţii

Bursa Construcţiilor

www.constructiibursa.ro

Conferinţa “România - Strategia dezvoltarii”
BTPay
csalb.ro
Electromagnetica
marmomac.com
arsc.ro

Curs valutar BNR

23 Sep. 2022
Euro (EUR)Euro4.9437
Dolar SUA (USD)Dolar SUA5.0679
Franc elveţian (CHF)Franc elveţian5.1569
Liră sterlină (GBP)Liră sterlină5.6284
Gram de aur (XAU)Gram de aur269.8092

convertor valutar

»=
?

mai multe cotaţii valutare

Cotaţii Emitenţi BVB
Bursele din regiune
cnipmmr.ro
Cotaţii fonduri mutuale
Teatrul Național I. L. Caragiale Bucuresti
Carte - Golden calf - the meaning of interest rate
Carte - The crisis solution terminus a quo
www.agerpres.rowww.dreptonline.rowww.hipo.ro