Amenaza cibernética interna

Vigilancia informática

Cyber ​​Insider Threat , o CINDER , es un método de amenaza digital. En 2010, DARPA inició un programa con el mismo nombre (Programa Cyber ​​Insider Threat (CINDER)) para desarrollar enfoques novedosos para la detección de actividades dentro de redes de interés militar que sean consistentes con las actividades de ciberespionaje. ^[1]

La amenaza CINDER se diferencia de otros ataques basados ​​en vulnerabilidades en que la acción tomada por el iniciador no se basa en el acceso no autorizado por parte de objetos no autorizados u objetos autorizados, sino que se basa en el concepto de que el acceso autorizado por parte de objetos autorizados normalmente ocurrirá (junto con sus posteriores acciones) dentro de los límites de seguridad. Esta acción del objeto no se verá como un ataque, sino como un uso normal cuando se analice mediante sistemas expertos, de registro y IDS-IPS estándar. La Misión CINDER será vista como una divulgación no autorizada una vez que se haya realizado la filtración de datos. En ese momento, el Caso CINDER resultante cambiaría todas las acciones de objeto relacionadas con la divulgación de "Uso autorizado por un objeto autorizado" a "Uso no autorizado por un objeto autorizado". ^[2]

Nota: Para el caso inicial de CINDER, el agente de control ^[3] seguirá siendo visto como un Objeto autorizado en función del hecho de que el sistema de seguridad ha pasado una evaluación de Garantía y Funcionalidad.

La amenaza cibernética interna ha seguido siendo un problema conocido desde mediados de los años 1980. El siguiente material del NIST , fechado en marzo de 1994, "Amenazas internas", muestra cómo se definió en sus inicios.

"Los controles del sistema no coinciden bien con la política de seguridad de una organización promedio. Como resultado directo, al usuario típico se le permite eludir esa política con frecuencia. El administrador no puede hacer cumplir la política debido a los controles de acceso débiles y no puede detectar la violación de la política debido a mecanismos de auditoría débiles Incluso si los mecanismos de auditoría están implementados, el enorme volumen de datos producidos hace que sea poco probable que el administrador detecte violaciones de la política. Las investigaciones en curso sobre integridad y detección de intrusiones prometen cubrir parte de esto. "Hasta que estos proyectos de investigación estén disponibles como productos, los sistemas seguirán siendo vulnerables a las amenazas internas". ^[4]

Comportamientos y métodos de CINDER.

Requisitos previos de CINDER

Hay muchas dimensiones previas a la actividad de CINDER, pero siempre se debe cumplir una dimensión principal. Ése es uno de propiedad del sistema. Los principios previos de propiedad del sistema y dominio de la información dentro del área de acción del objeto deben ser parte de cualquier misión de CINDER.

Propiedad del sistema CINDER y acción del objeto.

En la acción de CINDER, cada dimensión de la misión y cada caso resultante se pueden resumir en una entidad, un agente. ^[3] y una acción. En el momento específico en que un agente completa una acción, esa entidad, agente y acción son dueños del entorno por el que transitan o utilizan. Y si tienen éxito en realizar esa transacción específica y no son interrumpidos o al menos medidos o monitoreados por el propietario, esa entidad tendrá, aunque sea por un momento, dominio y propiedad sobre ese objeto. ^[2]

Métodos de detección de CINDER

Métodos para detectar acciones pasadas de CINDER

Para detectar actividad pasada de CINDER cuando se ha realizado una exposición, se deben conciliar todas las acciones del objeto (cualquier intercambio o transacción entre dos agentes que pueda medirse o registrarse) y analizar el resultado.

Métodos para detectar acciones actuales y futuras de CINDER

Los conceptos actuales sobre cómo detectar la actividad CINDER actual o futura han seguido el mismo camino que la detección de la actividad CINDER pasada: una conciliación de todos los datos de todas las acciones de los objetos, luego la aplicación de heurísticas, lógica de sistemas expertos y modelos de minería a los datos agregados. ^[5] Pero la construcción de modelos de análisis y lógica automatizados ha resultado difícil ya que, una vez más, el ataque interno no utiliza (acceso autorizado por objetos autorizados). Desglosar este "uso" y "cómo se usan" en un sistema que tiene baja seguridad y un bajo porcentaje de conciliación siempre hará que el sistema produzca demasiados falsos positivos para que el método sea aceptable como una verdadera solución de seguridad de CINDER.

Uno de los principios principales de la detección de CINDER es que sólo un sistema que tenga un alto nivel de seguridad y conciliación puede ser controlado (propiedad) en la medida en que las acciones actuales y futuras de CINDER puedan identificarse, monitorearse o finalizarse.

Proyectos en marcha para detectar la acción de CINDER

Agencia de Proyectos de Investigación Avanzada de Defensa DARPA

DARPA tiene en marcha un programa Cyber ​​Insider Threat o CINDER para detectar amenazas internas a los sistemas informáticos. Está bajo la Oficina de Tecnología Estratégica (STO) de DARPA. ^{[6] [7]} El proyecto estaba programado para comenzar alrededor de 2010/2011. ^{[8] En comparación con} la seguridad informática tradicional , CINDER supone que personas internas maliciosas ya tienen acceso a la red interna; por lo tanto, intenta detectar la "misión" de una amenaza a través del análisis del comportamiento en lugar de tratar de mantenerla alejada. La documentación gubernamental utiliza una analogía con la idea " decir " del juego de cartas del póquer . ^[6]

Según Ackerman en Wired, el impulso para el programa se produjo después de las revelaciones de WikiLeaks , como la filtración de documentos de la guerra de Afganistán . La filosofía de la información de Robert Gates en el ejército era enfatizar el acceso de los soldados de primera línea. Ante las filtraciones masivas, el tipo de respuesta de CINDER permite a los militares continuar con esa filosofía, en lugar de simplemente cortar el acceso a la información en masa. ^[7] El proyecto fue iniciado por Peiter Zatko , un ex miembro de L0pht y cDc que dejó DARPA en 2013. ^[9]

Ver también

• ECHELON , Thinthread , Trailblazer , Turbulence , PRISM (programa de vigilancia) ( programas de la NSA )
• Einstein (programa US-CERT)
• Centro de fusión , almacén de datos de investigación ( FBI )
• Pródigo , Adams ( DARPA )

Referencias

1. "Amenaza cibernética interna (CINDER)". Archivado desde el original el 11 de enero de 2012 . Consultado el 14 de julio de 2014 .
2. "Análisis de misión y casos de métodos Cyber ​​Insider (CINDER) en entornos militares y corporativos". Prensa internacional de formación de CodeCenters. Archivado desde el original el 23 de mayo de 2013 . Consultado el 9 de mayo de 2012 .
3. "Agentes inteligentes: teoría y práctica" (PDF) . Revisión de ingeniería del conocimiento. Archivado desde el original (PDF) el 7 de enero de 2009 . Consultado el 24 de mayo de 2012 .
4. Bassham, Lorenzo; Polk, W. (1992). "Tendencias para el futuro - Amenazas internas". NIST. doi : 10.6028/NIST.IR.4939 . Archivado desde el original el 12 de agosto de 2012 . Consultado el 11 de mayo de 2012 .
5. "Análisis DTIC y detección de información privilegiada maliciosa". Centro de Información Técnica de Defensa DTIC - Corporación MITRE. Archivado desde el original el 8 de abril de 2013 . Consultado el 11 de mayo de 2012 .
6. "Anuncio amplio de agencia sobre ciberamenaza interna (CINDER)". Oficina de Tecnología Estratégica de DARPA . 25 de agosto de 2010. Archivado desde el original el 4 de septiembre de 2018 . Consultado el 6 de diciembre de 2011 .
7. Ackerman, Spencer (31 de agosto de 2010). "El hacker estrella de Darpa mira al Pentágono a prueba de WikiLeaks". Cableado . Archivado desde el original el 1 de diciembre de 2013 . Consultado el 5 de diciembre de 2011 .
8. "DARPA busca ayuda con amenazas internas". infosecurity-magazine.com. 2010-08-30. Archivado desde el original el 21 de abril de 2012 . Consultado el 6 de diciembre de 2011 .
9. "Motorola Mobility de Google recurre a la Agencia de Defensa de EE. UU. en busca de talento". Bloomberg. 15 de abril de 2013. Archivado desde el original el 27 de mayo de 2024 . Consultado el 6 de marzo de 2017 .