MITRE настаивает на запуске новой системы защиты от инсайдерских угроз

Инсайдерские угрозы — проблема старая, как мир. Так почему же мы до сих пор не так хорошо с ними справляемся?

Или, более того, почему индустрия безопасности, похоже, не настолько развита в своей методологии, когда дело доходит до идентификации этих инсайдеров? По крайней мере, в отношении того, как создавались рамки для других областей безопасности.

Итак, когда главный научный сотрудник MITRE по возможностям инсайдерских угроз доктор Дина Капуто рассказала о запуске новой системы борьбы с инсайдерскими угрозами на недавнее интервью подняло немало вопросов о том, куда мы идем.

О внутренних угрозах известно недостаточно

В разговоре с доктором Капуто первое, что бросилось в глаза, это то, что новая концепция не заменяет предыдущую. Это был первый случай такого рода, призванный решить растущую проблему.

Инсайдерские угрозы уже некоторое время растут. В 2023 году отчет Verizon Data Breach Investigations Report (DBIR) показал, что инсайдеры ответственны за 19 % инцидентов.

Но задолго до этого отчета, в 2018 году, команда MITRE получила запрос от крупной финансовой организации начать сбор данных об инсайдерских угрозах, чтобы создать систему, которая поможет защитникам лучше их ловить.

Доктор Капуто отмечает, что существует множество исследований инсайдерских угроз, сосредоточенных в первую очередь на технических или психологических компонентах проблемы. Однако большая часть того, что мы знаем об инцидентах, основана на отдельных случаях и на самом деле не основана на данных.

«У нас отличные сенсоры, а это значит, что мы можем видеть все, что вы делаете на своем компьютере», — говорит она, отмечая расширение доступных сейчас инструментов для обнаружения факторов риска, которые принимают на вооружение команды безопасности. «Но это не значит, что мы знаем, как выглядит риск или даже угроза. Итак, мы находим их, но спотыкаемся о них, когда становится слишком поздно. Вместо этого мы хотим найти их до того, как будет нанесен большой вред. И данные есть».

К сожалению, эти данные не были собраны и проанализированы в рамках единого проекта, где их можно было бы использовать. Именно здесь доктор Капуто и ее команда поняли, что они могут сыграть роль в создании системы, которая будет учитывать весь спектр факторов риска и действий, чтобы предоставить командам безопасности лучший подход к решению проблемы.

После некоторых задержек со стороны Covid, в конце прошлого года команда доктора Капуто возобновила работу с отраслью, чтобы заставить их конфиденциально отправлять подтвержденные инциденты с инсайдерскими угрозами для изучения. Сюда вошли как случаи злоумышленников, так и те непреднамеренные действия, которые можно было классифицировать как ошибки со стороны инсайдеров.

Удовлетворение спроса на платформу со стороны специалистов по инсайдерским угрозам

Хотя сбор данных для решения проблем в целом является полезным делом, вопрос о том, кому именно предназначена эта платформа, немного озадачивает.

В конце концов, у нас уже есть платформы ATT&CK и D3FEND от MITRE. Так почему же они делают еще один?

Доктор Капуто отвечает, что по мере развития сферы инсайдерских угроз возникает потребность в системе, которую организации смогут использовать в качестве ориентира для того, как они справляются с проблемами.

"Руководители ожидают, что они что-то увидят, но проблема в том, что признаки недостаточно очевидны", - говорит она.

Также существует значительная потребность в указаниях, касающихся определения приоритетности показателей при оценке инсайдерских угроз.

В качестве положительного развития она указывает на тот факт, что во многих организациях теперь есть специальный человек, роль которого заключается именно в борьбе с внутренними угрозами. Это важно, потому что это не просто люди из информационной безопасности, SOC или HR, говорит она, отмечая, однако, что это командный вид спорта.

Вместо этого идея состоит в том, чтобы найти кого-то, кто видит всю картину по каждому компоненту картины угроз и действительно может соединить точки.

А это требует применения подхода, который учитывает все факторы и ставит под сомнение некоторые из наших старых предположений о том, как выглядит инсайдерская угроза.

Целостный подход к внутренним угрозам

По словам доктора Капуто, помимо попытки стать центральным хранилищем данных об инсайдерских угрозах, ее команда стремится сделать это исследование необычным, собирая как технические киберданные, так и многие из более человеческих психологических факторов.

Выявить инсайдерские угрозы — довольно сложная задача. Она подчеркивает, что выявление риска не обязательно связано с каким-то одним действием или даже нарушением правил.

Более того, в отличие от атак программ-вымогателей или терроризма, здесь не бывает момента «бума», когда мы узнаем, что атака произошла.

Умный злоумышленник будет держать голову опущенной и делать все, что ему нужно, чтобы украсть информацию в долгосрочной перспективе и не быть пойманным. Если мы будем смотреть на конкретные действия только через призму собственной прозрачности, то, скорее всего, упустим важные сигналы.

Часть работы предполагает переоценку заблуждений.

«Мы тратим слишком много времени на плохие события, происходящие в жизни людей, и не учитываем риск, который вызывают хорошие события», — говорит доктор Капуто. «Люди никогда не бывают идеальными, и наше суждение ухудшается из-за множества вещей, таких как недостаток сна, усталость, стресс, но стресс бывает хорош и плох. Таким образом, стресс от свадьбы, стресс от покупки дома, стресс от рождения маленьких детей — все они оказывают одинаковое влияние на принятие вами решений. Хотя это очень радостные вещи».

«Я думаю, что программы постепенно начинают понимать, что мы не просто ждем плохих вещей, которые происходят с нашими сотрудниками», — говорит она, объясняя, что «нам нужно просто учитывать все их существо, а это может означать, что хорошие вещи случаются с нашими сотрудниками». подавляя их. И это звучит так странно. Но это правда. Дело не в том, что случилось что-то совсем плохое и они решили сделать что-то плохое. Это не так просто».

Существует также вопрос перспективы. Доктор Капуто приводит пример финансовых факторов в деятельности, связанной с инсайдерскими угрозами.

«Дело не в долгах», — говорит она. «Количество инсайдеров, получающих небольшие суммы денег, больше зависит от того, насколько эти деньги значат для них. Он больше сосредоточен на том, насколько важен для вас ваш долг и сколько, по вашему мнению, вам нужно иметь. При оценке того, кого можно нанять, подумайте о финансовых трудностях и стрессе».

Проблема здесь, однако, заключается в том, как определить вероятных новобранцев и связанные с ними показатели. «Мы найдем больше информации о том, как его идентифицировать в рамках», — говорит она.

Где организации делают все правильно

Хорошая новость, по мнению доктора Капуто, заключается в том, что организации становятся лучше в некоторых аспектах борьбы с внутренними угрозами.

Финансирование инвестиций как в людей, так и в инструменты, по-видимому, улучшается, говорит доктор Капуто. Хотя есть возможности для улучшения в борьбе с такими проблемами, как ложные срабатывания и знание того, какие индикаторы являются правильными, она говорит, что организации гораздо лучше справляются с наличием большего количества датчиков для наглядности и сбора соответствующей информации.

3 совета по улучшению программы борьбы с внутренними угрозами

Наряду с хорошим движением, которое мы наблюдаем, всегда есть возможность стать лучше.

Доктор Капуто придерживается человекоориентированного подхода и предлагает несколько советов, которые стоит принять во внимание.

Не относитесь ко всем как к небрежным

«Существует ошибочное мнение, что если сотрудник допускает ошибку, это халатность, но это неправильно», — говорит доктор Капуто. «Если мы продолжим говорить о их небрежности, все наши человеческие сенсоры перестанут заботиться или пытаться».

Если мы хотим, чтобы наши сотрудники были частью «человеческого брандмауэра», который помогает выявлять проблемы и прилагать усилия, чтобы все делать правильно, не относитесь к ним как к чему-то меньшему, чем к взрослым людям, которые то тут, то там совершают ошибки.

«Нужно ожидать ошибок и ошибок, настоящих человеческих ошибок», — говорит она.

Злоумышленники меняют поведение, так что не позорьтесь

«Нас часто перехитрили, и наши противники постоянно меняют свою человеческую социальную инженерию», — говорит доктор Капуто, которая начала называть новые методы обмана людей социальной инженерией нулевого дня, потому что это нашло отклик у ее технических специалистов.

Точно так же, как не стыдно техническому специалисту за то, что он не обнаружил классическую уязвимость нулевого дня, нам нужно немного расслабиться, когда умный злоумышленник использует инновационную и новую идею, чтобы обойти нашу защиту.

Люди — не самое слабое звено, они недостающее звено

Перевернув ошибочное представление с ног на голову, доктор Капуто твердо уверен, что ваши люди — ваша самая сильная защита.

Технологии позволят нам далеко не двигаться. В качестве яркого примера подумайте о фишинговых письмах, которые прошли фильтр. Когда это произойдет, как мы предоставим нашим людям возможность идентифицировать его и отправить в службу безопасности?

Та же концепция справедлива и для внутренних угроз. Технологии помогут нам уловить множество ценных сигналов, таких как кража или доступ к конфиденциальным данным, но часто именно человеческие сообщения о подозрительной деятельности помогают нам заполнить всю картину и выявить угрозу.

Как принять участие в системе внутренних угроз

На данный момент дата выпуска платформы не установлена. Доктор Капуто надеется, что он станет доступен в конце 2024 года, но говорит, что это медленный процесс.

На данный момент основное внимание уделяется сбору качественных данных, полагаясь на то, что первые пользователи помогут им прийти к некоторым выводам. Потребуется время, чтобы улучшиться, поскольку к ним присоединяются все больше организаций и делятся своими данными.

Доктор Капуто надеется, что в этом проекте примут участие больше организаций. «Никаких объемов данных не будет слишком мало для участия в этом», — говорит она, добавляя, что «это невозможно сделать без помощи сообщества».

Преимущество для тех, кто делится данными, заключается в том, что они смогут быстрее увидеть больше результатов, раньше узнать больше о себе, что повлияет на то, как формируется структура.

Лидеры инсайдерских угроз могут выступать за предоставление доступа к своим данным в MITRE, отмечая, как объединение усилий может помочь поставщикам и клиентам объединить усилия для развития сообщества и улучшения понимания проблем инсайдерских угроз.

«Это дает возможность принимать больше решений на основе данных», — говорит она. "Не стоит недооценивать готовность к участию различных отделов, поскольку они тоже увидят выгоду".