Cyber Insider amenaza
Insider ciberataque, o ceniza, es un programa DARPA para desarrollar nuevos enfoques para la detección de actividades dentro de las redes de intereses militares que sean coherentes con las actividades de espionaje cibernético, ver.[1]
La amenaza de ceniza es a diferencia de otros ataques de vulnerabilidad basado en que las medidas adoptadas por el iniciador no se basa en el acceso no autorizado por objetos no autorizados o autorizadas, se basa en el concepto que se autorizado acceso autorizado objetos normalmente ocurrirá (junto con sus acciones posteriores) dentro de los límites de seguridad. Esta acción de objeto a no considerarse como un ataque, pero uso normal cuando es analizado por el estándar IDS-IPS, registro y sistemas expertos. La misión de ceniza se verá como una divulgación no autorizada, una vez que se ha realizado la extracción de datos. En ese momento, el caso de ceniza resultante cambiaría todas las acciones de objetos relacionadas con la divulgación de "Autorizado uso por un autorizado objeto" a "No autorizado uso por un autorizado objeto".[2]
Nota: para el caso inicial de ceniza, el agente de control ".[3] todavía se verá como un objeto de autorización basado en el hecho de que el sistema de seguridad ha pasado una evaluación de seguridad y funcionalidad.
El ciberataque Insider ha continuado siendo un problema conocido desde mediados de la década de 1980. Los siguientes NIST material con fecha de marzo de 1994 - amenazas internas, muestra cómo se definió en su infancia.
"Los controles de sistema no se bien corresponden a la política de seguridad de la organización de la media. Como consecuencia directa, el usuario típico es permitido eludir esa política sobre una base frecuente. El administrador es incapaz de hacer cumplir la política debido a los controles de acceso débil y no puede detectar la violación de la política debido a los mecanismos de auditoría débil. Aunque los mecanismos de auditoría estén en su lugar, el volumen intimidante de datos producidos hace improbable que el administrador detectará violaciones de la política. Investigaciones en curso en integridad e intrusión detection promesa para llenar algunas de esta brecha. Disponga de estos proyectos de investigación como productos, sistemas serán siendo vulnerables a amenazas internas".[4]
Contenido
- 1 CENIZA comportamientos y métodos
- 1.1 Prerrequisitos de ceniza
- 1.2 Bloques de hormigón sistema propiedad y el objeto acción
- 2 Métodos de detección de ceniza
- 2.1 Métodos para la detección de ceniza acciones pasadas
- 2.2 Métodos para detectar las acciones actuales y futuras de la ceniza
- 3 Proyectos en curso para detectar la acción de ceniza
- 3.1 Defense Advanced Research Projects Agency DARPA
- 4 Véase también
- 5 Referencias
CENIZA comportamientos y métodos
Prerrequisitos de ceniza
Hay muchas dimensiones requisitos previos a la actividad de ceniza, pero siempre debe cumplirse una dimensión primaria. Es de propiedad del sistema. Principios prerrequisitos de la dominación de propiedad e información de sistema dentro del área de acción de objeto deben ser parte de cualquier misión de ceniza.
Bloques de hormigón sistema propiedad y el objeto acción
En acción, la dimensión de cada misión y cada caso resultante puede ser destilada tema a una entidad, un agente.[3] y una acción. En el momento específico que agente completa una acción, que acción, agente y entidad posee el medio ambiente están transitando o usando. Y si son exitosos en cometer esa transacción específica y no están interrumpidos o por lo menos medidos o supervisados por el propietario, que tendrá la entidad, aunque sea por un momento en el tiempo, la dominación y propiedad sobre ese objeto.[2]
Métodos de detección de ceniza
Métodos para la detección de ceniza acciones pasadas
Para detectar las cenizas actividad cuando se ha realizado una exposición, se deben conciliar todas las acciones del objeto (cualquier intercambio o transacción entre dos agentes que pueden ser medidos o registrado) y analizar el resultado.
Métodos para detectar las acciones actuales y futuras de la ceniza
Presentar conceptos de cómo uno detecta actual o futura actividad de ceniza ha seguido el mismo camino que detecta las cenizas actividad: una reconciliación de todos los datos de toda acción de objeto, entonces la aplicación de heurísticas, sistema experto lógica y modelos de minería de los datos agregados.[5] Pero edificio modelos automatizados de lógica y análisis han demostrado que es difíciles puesto que una vez más, no ataca el insider usan (acceso autorizado por objetos autorizados). Resuelva el "uso" y "Cómo usan" hacia fuera en un sistema que tiene bajo control y un bajo porcentaje de voluntad de reconciliación siempre causa el sistema producir demasiados falsos positivos para el método que sea aceptado como una verdadera solución de seguridad de ceniza.
Un principio principal de la detección de ceniza ha convertido en sólo un sistema que tiene alta garantía y reconciliación alta puede ser controlada (propiedad) en la medida que actuales y futuras acciones de ceniza pueden ser identificadas, monitoreadas o terminadas.
Proyectos en curso para detectar la acción de ceniza
Defense Advanced Research Projects Agency DARPA
DARPA tiene un curso Cyber Insider amenaza o BLOQUES DE HORMIGÓN programa para detectar amenazas internas en los sistemas informáticos. Es bajo oficina de tecnología estratégica de DARPA (STO).[6][7] El proyecto estaba programado para comenzar a 2010/2011.[8] En comparación con el tradicional seguridad informática, Ceniza asume que malicioso iniciados ya tienen acceso a la red interna; por lo tanto intenta detectar a "misión" de una amenaza a través del análisis de comportamiento en lugar de buscar evitar una amenaza. La documentación del gobierno utiliza una analogía de la "Dile"la idea del juego de cartas de Poker.[6]
Según Ackerman en Wired, el ímpetu para el programa surgió después de Wikileaks divulgaciones tales como la Documentos de la guerra afgana de fugas. Robert Gates"filosofía de la información en las fuerzas armadas era hacer hincapié en el acceso para los soldados de primera línea. Frente a la masa-que se escapa, el tipo de ceniza de respuesta permite al ejército a continuar con esa filosofía, en lugar de simplemente cortando el acceso a la información en masa.[7] El proyecto fue iniciado por Peiter Zatko, un ex miembro de la L0pht y cDc ¿Quién dejó DARPA en 2013.[9]
Véase también
- ECHELON, Thinthread, Trailblazer, Turbulencia, Prisma (programa de vigilancia) (NSA programas)
- Einstein (programa de US-CERT)
- Centro de fusión, Almacén de datos de investigación (FBI)
- PRÓDIGO, ADAMS (DARPA)
Referencias
- ^ https://www.DARPA.mil/Our_Work/I2O/Programs/Cyber-Insider_Threat _ (ceniza) .aspx
- ^ a b "Misión y análisis de los métodos de Cyber Insider (ceniza) dentro de los entornos empresariales y militares del caso". Prensa internacional de formación de CodeCenters. 2012-05-09.
- ^ a b "Agentes inteligentes: teoría y práctica". Revisión de ingeniería del conocimiento. 24 / 05 / 2012.
- ^ "Tendencias para el futuro - amenazas internas". NIST. 2012-05-11.
- ^ "DTIC análisis y detección de Insiders maliciosos". DTIC Defensa Technical Information Center - MITRE Corporation. 2012-05-11.
- ^ a b "Amplia Agencia anuncio Cyber Insider amenaza (ceniza)". DARPA Oficina estratégica de tecnología. 2010-08-25. 2011-12-06.
- ^ a b Ackerman, Spencer (2010-08-31). "Hacker estrellas de Darpa busca Pentágono prueba de Wikileaks". Atado con alambre. 2011-12-05.
- ^ "DARPA busca ayuda con amenazas internas". Infosecurity-magazine.com. 2010-08-30. 2011-12-06.
- ^ https://www.Bloomberg.com/news/2013-04-15/Google-s-Motorola-Mobility-taps-u-s-Defense-Agency-for-Talent.html