Cyber Insider Threat , o CINDER , es un método de amenaza digital. En 2010, DARPA inició un programa con el mismo nombre (Programa Cyber Insider Threat (CINDER)) para desarrollar enfoques novedosos para la detección de actividades dentro de redes de interés militar que sean consistentes con las actividades de ciberespionaje. [1]
La amenaza CINDER se diferencia de otros ataques basados en vulnerabilidades en que la acción tomada por el iniciador no se basa en el acceso no autorizado por parte de objetos no autorizados u objetos autorizados, sino que se basa en el concepto de que el acceso autorizado por parte de objetos autorizados normalmente ocurrirá (junto con sus posteriores acciones) dentro de los límites de seguridad. Esta acción del objeto no se verá como un ataque, sino como un uso normal cuando se analice mediante sistemas expertos, de registro y IDS-IPS estándar. La Misión CINDER será vista como una divulgación no autorizada una vez que se haya realizado la filtración de datos. En ese momento, el Caso CINDER resultante cambiaría todas las acciones de objeto relacionadas con la divulgación de "Uso autorizado por un objeto autorizado" a "Uso no autorizado por un objeto autorizado". [2]
Nota: Para el caso inicial de CINDER, el agente de control [3] seguirá siendo visto como un Objeto autorizado en función del hecho de que el sistema de seguridad ha pasado una evaluación de Garantía y Funcionalidad.
La amenaza cibernética interna ha seguido siendo un problema conocido desde mediados de los años 1980. El siguiente material del NIST , fechado en marzo de 1994, "Amenazas internas", muestra cómo se definió en sus inicios.
"Los controles del sistema no coinciden bien con la política de seguridad de una organización promedio. Como resultado directo, al usuario típico se le permite eludir esa política con frecuencia. El administrador no puede hacer cumplir la política debido a los controles de acceso débiles y no puede detectar la violación de la política debido a mecanismos de auditoría débiles Incluso si los mecanismos de auditoría están implementados, el enorme volumen de datos producidos hace que sea poco probable que el administrador detecte violaciones de la política. Las investigaciones en curso sobre integridad y detección de intrusiones prometen cubrir parte de esto. "Hasta que estos proyectos de investigación estén disponibles como productos, los sistemas seguirán siendo vulnerables a las amenazas internas". [4]
Hay muchas dimensiones previas a la actividad de CINDER, pero siempre se debe cumplir una dimensión principal. Ése es uno de propiedad del sistema. Los principios previos de propiedad del sistema y dominio de la información dentro del área de acción del objeto deben ser parte de cualquier misión de CINDER.
En la acción de CINDER, cada dimensión de la misión y cada caso resultante se pueden resumir en una entidad, un agente. [3] y una acción. En el momento específico en que un agente completa una acción, esa entidad, agente y acción son dueños del entorno por el que transitan o utilizan. Y si tienen éxito en realizar esa transacción específica y no son interrumpidos o al menos medidos o monitoreados por el propietario, esa entidad tendrá, aunque sea por un momento, dominio y propiedad sobre ese objeto. [2]
Para detectar actividad pasada de CINDER cuando se ha realizado una exposición, se deben conciliar todas las acciones del objeto (cualquier intercambio o transacción entre dos agentes que pueda medirse o registrarse) y analizar el resultado.
Los conceptos actuales sobre cómo detectar la actividad CINDER actual o futura han seguido el mismo camino que la detección de la actividad CINDER pasada: una conciliación de todos los datos de todas las acciones de los objetos, luego la aplicación de heurísticas, lógica de sistemas expertos y modelos de minería a los datos agregados. [5] Pero la construcción de modelos de análisis y lógica automatizados ha resultado difícil ya que, una vez más, el ataque interno no utiliza (acceso autorizado por objetos autorizados). Desglosar este "uso" y "cómo se usan" en un sistema que tiene baja seguridad y un bajo porcentaje de conciliación siempre hará que el sistema produzca demasiados falsos positivos para que el método sea aceptable como una verdadera solución de seguridad de CINDER.
Uno de los principios principales de la detección de CINDER es que sólo un sistema que tenga un alto nivel de seguridad y conciliación puede ser controlado (propiedad) en la medida en que las acciones actuales y futuras de CINDER puedan identificarse, monitorearse o finalizarse.
DARPA tiene en marcha un programa Cyber Insider Threat o CINDER para detectar amenazas internas a los sistemas informáticos. Está bajo la Oficina de Tecnología Estratégica (STO) de DARPA. [6] [7] El proyecto estaba programado para comenzar alrededor de 2010/2011. [8] En comparación con la seguridad informática tradicional , CINDER supone que personas internas maliciosas ya tienen acceso a la red interna; por lo tanto, intenta detectar la "misión" de una amenaza a través del análisis del comportamiento en lugar de tratar de mantenerla alejada. La documentación gubernamental utiliza una analogía con la idea " decir " del juego de cartas del póquer . [6]
Según Ackerman en Wired, el impulso para el programa se produjo después de las revelaciones de WikiLeaks , como la filtración de documentos de la guerra de Afganistán . La filosofía de la información de Robert Gates en el ejército era enfatizar el acceso de los soldados de primera línea. Ante las filtraciones masivas, el tipo de respuesta de CINDER permite a los militares continuar con esa filosofía, en lugar de simplemente cortar el acceso a la información en masa. [7] El proyecto fue iniciado por Peiter Zatko , un ex miembro de L0pht y cDc que dejó DARPA en 2013. [9]