Недавно ознакомился с документом CERTManagement and Education of the Risk of Insider Threat: System Dynamics Modeling of Computer System Sabotage,
разработанном в рамках CERT Insider Threat Study (см. Лучшие практики защиты от инсайдеров от CERT)
В рамках данной работы CERT проанализировали случаи ИТ-саботажа из своей базы инцидентов, выделили типичные зависимости и разработали "эталонный" пример ИТ-саботажа.
Данный эталонный пример был смоделирован с помощью системной динамики Форрестера.
Полученную модель предлагается использовать для обучения сотрудников организации обнаружению. и противодействию ИТ-саботажу, а также для анализа конкретной ситуации ИТ-саботажа.
В работе рассмотрены основные технические и психологические аспекты ИТ-саботажа.
Немного статистики.
Был проведен анализ 49 случаев ИТ-саботажа. Из них в 81 процентах случаев организация понесла финансовые потери, в 75 процентах пострадали бизнес-операции, в 21 процентах случаев пострадала репутация организации.
Как правило, причиной инцидента являлось недовольство сотрудника (57%), причем из них 84% были исполнены чувством мести, а 92% инсайдеров атаковали после негативного события на работе (увольнение, ссора, понижение, перевод по службе).
80% инсайдеров вели себя подозрительно перед атакой. 86% занимали должность технического характера. 90% из них - привилегированные пользователи системы.
59% инсайдеров атаковали после увольнения.
Для анализа крайне важны именно моменты, связанные с понижением и увольнением. ИТ-саботаж не характерен для периода времени после найма сотрудника.
Необходимо представлять себе пути доступа (access paths) инсайдера к критическим ресурсам.
Существует 2 типовых шаблона ИТ-саботажа:
1. Инсайдер предполагает, что имеет определенные возможности в системе, но организация дает ему выговор и урезают полномочия.
2. Инсайдер предполагает какое-либо продвижение по службе, но его не происходит.
Причем моделируется только первый шаблон.
Основным индикатором атаки является недовольство сотрудника.
В зависимости от доступных ему путей доступа и уровня аудита в организации у инсайдера различные возможности по проведению атаки.
Санкции зачастую лишь увеличивают недовольство сотрудника и делают лишь хуже.
Альтернатива - вмешательство в ситуацию и попытка помочь.
Существуют технические и социальные индикаторы надвигающегося ИТ-саботажа.
Социальные, как правило, проявляются раньше.
Существуют инсайдеры, которые стремятся замести следы саботажа, а существуют такие, которые об этом не заботятся.
Модель красива, показательна, но, на мой взгляд, не практична.
Многие элементы модели сложно вычислить. Например, склонность инсайдера к раздражению или предрасположенность к ИТ-саботажу.
Поэтому модель хороша для анализа конкретной ситуации и обучения.
Вероятно, в рамках конкретной организации с хорошей статистикой, возможно рассчитать все коэффициенты, предлагаемые CERT.
Но сами CERT явно каким-то образом получили коэффициенты и даже рисуют красивые полученные графики.
Но как модель откалибровать, как выставить верные коэффициенты и какие использовать метрики - они умалчивают.
Полученную модель можно использовать как четкую систематизацию знаний об ИТ-саботаже или как основу для процессов управления инцидентами и рисками, но до этого ее необходимо существенно проработать и адаптировать.
Еще на тему защиты от инсайдеров читайте:
Лучшие практики защиты от инсайдеров от CERT
Архитектура борьбы с инсайдом от CERT
Шпионаж и ИТ-саботаж: сходства и различия
Комментариев нет:
Отправить комментарий