Ameninţări din interior: profilare şi detectare

Am putea spune că "totul ţine de încredere". Majoritatea activităţilor umane şi a interacţiunilor umane se bazează pe încredere. Avem încredere în cei care au construit şi implementat sistemul de semafoare. Nu putem verifica dacă, atunci când vedem verde pe drumul nostru conducând cu 80 km/h, toţi ceilalţi au roşu şi nu se mişcă.

Din nou, avem încredere în bucătarul restaurantului care ne pregăteşte masa folosind ingrediente bune şi fără ceva dăunător pentru sănătate. Nu putem pătrunde în bucătărie şi să inspectăm personal ce se întâmplă acolo. În mod analog, avem încredere în oamenii din organizaţia noastră, avem încredere în cei pe care îi angajăm oferindu-le acces la informaţii confidenţiale şi la proprietatea intelectuală critică pentru afacere. Acest lucru reprezintă un risc de afaceri, iar organizaţiile mature ştiu foarte bine care este problema, dar, în acelaşi timp, aceasta este una dintre cele mai greu de rezolvat.

Operaţiunile de securitate îşi articulează activităţile în jurul oamenilor, proceselor şi tehnologiei, iar dacă un bun echilibru între cele trei componente este adevărat şi necesar pentru ameninţările externe, este şi mai adevărat şi împinge la limită capacităţile de detectare a ameninţărilor.

• Dar cine este o ameninţare internă?

Una dintre cele mai bune lucrări pe această temă este cea a lui Eric D. Shaw şi Harley V. Stock¹. Prezentăm în cele ce urmează cele mai interesante constatări ale analizei:

• În interiorul organizaţiei, cei care sustrag proprietate intelectuală ocupă cel mai des posturi tehnice

Majoritatea furturilor de proprietate intelectuală sunt comise de angajaţi de sex masculin, cu vârsta medie de aproximativ 37 de ani, care ocupă în principal posturi tehnice, inclusiv ingineri sau oameni de ştiinţă, manageri, vânzători şi programatori. Majoritatea hoţilor de PI au semnat acorduri de proprietate intelectuală, ceea ce indică faptul că doar regulile propriu-zise, fără o corectă înţelegere din partea angajaţilor şi fără o implementare eficientă, se dovedesc ineficiente.

• În interiorul organizaţiei, de obicei, cei care sustrag proprietate intelectuală au găsit deja un nou loc de muncă

Aproximativ 65% dintre angajaţii care au comis furturi de proprietate intelectuală acceptaseră deja un post într-o companie concurentă sau îşi înfiinţaseră propria companie în momentul furtului. Aproximativ 25% au fost recrutaţi de o persoană din exterior care a vizat datele, iar aproximativ 20% dintre furturi au implicat colaborarea cu o altă persoană răuvoitoare din interior.

• În interiorul organizaţiei, cei care sustrag proprietate intelectuală fură cel mai adesea date la care au acces autorizat

Subiecţii sustrag datele pe care le cunosc, cu care lucrează şi la care se simt adesea îndreptăţiţi. De fapt, 75% dintre iniţiaţi au furat materiale la care aveau acces autorizat. Acest lucru complică capacitatea unei organizaţii de a-şi proteja proprietatea intelectuală prin controale tehnice şi susţine necesitatea unor discuţii mai directe cu angajaţii despre ce date sunt şi ce date nu sunt transferabile la plecarea lor şi ar trebui să fie o parte evidentă a oricărui acord privind proprietatea intelectuală a angajaţilor.

• În interiorul organizaţiei, secretele comerciale sunt cel mai frecvent tip de proprietate intelectuală sustrasă

Secretele comerciale au fost furate în 52% din cazuri. Informaţiile comerciale, cum ar fi informaţiile de facturare, listele de preţuri şi alte date administrative, au fost furate în proporţie de 30%, codul sursă în proporţie de 20%, software-ul brevetat în 14% din cazuri, informaţiile despre clienţi în proporţie de 12% şi strategiile de afaceri în 6% din cazuri.

• În interiorul organizaţiei, cei care sustrag proprietate intelectuală folosesc mijloace tehnice, dar sunt descoperiţi de angajaţii care nu au cunoştinţe tehnice

Majoritatea subiecţilor, 54%, au folosit o adresă de e-mail din reţeaua organizaţiei, un canal de acces la distanţă la reţea sau un transfer de fişiere în reţea pentru a-şi exfiltra datele furate. Cu toate acestea, cele mai multe furturi de PI comise de angajaţi au fost descoperite mai cu seamă de către colegii non-tehnici, în raport cu cele descoperite de cei care lucrau în sectorul IT în cadrul organizaţiei.

• Eşecurile profesionale pot determina iniţiative de furt de PI de la organizaţie

Există o înclinaţie de a trecere la fapte, atunci când angajatul consideră că a reflectat îndeajuns sau îi este solicitat de către alţii să o facă. Această activare are loc adesea ca urmare a unui eveniment perceput ca eşec profesional sau a unor aşteptări nesatisfăcute. Această graniţă între intenţie şi acţiune explică de ce unele furturi din interior par a fi spontane, deşi nu sunt.

După descrierea profilului ameninţării interne tipice, vom examina modul de abordare a acestui risc şi posibilele măsuri de atenuare. O abordare interesantă vine de la CISA. În secţiunea de pe site-ul lor web dedicată securităţii infrastructurilor²putem găsi descrierea conceptului people as sensor.

"Personalul unei organizaţii reprezintă componenta umană pentru detectarea şi identificarea unei ameninţări din interior. Colegii de muncă, prietenii, vecinii, membrii familiei sau observatorii ocazionali sunt frecvent adesea în măsură să înţeleagă şi să conştientizeze predispoziţiile, factorii de stres şi comportamentele unui angajat care ar putea avea în vedere acte răuvoitoare. Atunci când observaţi comportamentul uman, ţineţi cont de două calităţi importante:

Ascultaţi prin prisma cadrului de referinţă al celeilalte persoane, nu al dumneavoastră. Nu porniţi de la premisa că cineva va cere ajutor sau va cere să fie oprit, sau că va vorbi despre intenţiile sale în acelaşi mod în care aţi face-o dumneavoastră.

Ascultaţi-l pe interlocutor ţinând cont de informaţiile vizuale pe care vi le furnizează. Oamenii îşi dezvăluie adesea intenţiile prin mijloace non-verbale. "

Există, de asemenea, o serie de indicatori care merită să fie menţionaţi, deoarece oferă mai mult context şi detalii despre unde trebuie căutate semnele de ameninţare din interior.

-Indicatorii personali sunt o combinaţie de predispoziţii şi de factori de stres personal care afectează, într-un anumit moment, un angajat care poate astfel deveni o ameninţare sau poate trece la fapte.

-Indicatorii de parcurs profesional sunt evenimente care au loc înainte ca o persoană să fie angajată de o organizaţie sau înainte ca aceasta să obţină acces la reţeaua organizaţiei.

-Indicatorii comportamentali sunt acţiuni direct observabile de către colegi, personalul de resurse umane, supervizori, precum şi cu ajutorul tehnologiei. De-a lungul timpului, comportamentele creează o linie generală a activităţii, faţă de care schimbările pot fi considerate un indicator de ameninţare.

-Indicatorii tehnici implică o activitate a reţelei şi a utilizatorului şi necesită aplicarea directă a sistemelor şi a instrumentelor IT pentru a fi detectaţi.

-Indicatori organizaţionali/de mediu:

-Politicile organizaţionale şi practicile culturale pot juca un rol semnificativ în crearea sau gestionarea unei ameninţări din interior.

-Factorii de mediu pot intensifica sau atenua factorii de stres care pot contribui la schimbări de comportament şi la trecerea unui individ de la statutul de angajat de încredere la cel de ameninţare internă. Aceşti factori sunt adesea legaţi de politicile organizaţionale şi de practicile culturale.

-Indicatorii de violenţă sunt comportamente specifice sau ansambluri de comportamente care pot insufla teamă sau pot genera îngrijorare, fapte ce pot determina o persoană să acţioneze; aceste comportamente includ, dar nu se limitează la, intimidare, hărţuire şi şicanare.

Ca o consideraţie finală, este important de menţionat că, odată cu evoluţia tehnologiilor de inteligenţă artificială, cum ar fi machine learning, este posibil să se combine abordarea comportamentală cu instrumente tehnice, cum ar fi metadatele reţelei sau ale utilizatorului. Acest lucru permite ca procesul de detectare să devină de câteva ori mai rapid.

Indiferent dacă este vorba de un comportament de tip smash and grab sau de un comportament de tip slow bleeding, inteligenţa artificială va putea genera indicatori utili din analiza ansamblului de date ce caracterizează fluxul reţelei (noise) .

De asemenea, combinarea diferitelor tipuri de indicatori poate adăuga valoare şi poate îmbunătăţi gradul de pregătire împotriva ameninţărilor din interior.

Un exemplu recent este cel al unui angajat care demisionează şi care, în perioada de preaviz, începe să colecteze şi să exfiltreze date. În acest scenariu specific, combinarea indicatorilor non-tehnici - demisia - cu o abordare de tip vânătoare de ameninţări - căutarea de anomalii în metadatele reţelei - poate fi foarte benefică.

-----------------------

BIO

Battista Cagnoni, Senior Consultant, Advisory Services, EMEA la Vectra este expert în securitate, cu o vastă experienţă în diferite domenii industriale, unde a ocupat funcţii de Security engineer, Security Analyst sau SOC Lead. Foarte pasionat de cultura Cyber Security, de activităţi de conştientizare în acest domeniu şi de înţelegerea modelelor de urmat pentru a contracara problemele de securitate. Împărtăşeşte în mod constant din cunoştinţele sale, oferind sfaturi şi procese metodologice la cel mai înalt nivel, ajutându-i pe CISO în demersuri de consolidare şi atingere a unui nivel ridicat de maturitate în cadrul operaţiunilor de securitate. Battista deţine certificările de Forensic Analyst şi de Incident Handler acordate de GIAC, precum şi certificatele de expert CISSP, GCFA, GCIH.