ABD Savunma Bakanlığı (DoD), gizli Pentagon istihbaratının Discord’a sızmasıyla ilgili incelemenin ardından çalışanları izlemek için bir içeriden tehdit ofisi oluşturacak.
A 30 Haziran notu Savunma Bakanı’nın imzası, “kullanıcı etkinliği izlemeyi (UAM) denetlemek” için İçeriden Gelen Tehdit ve Siber Yetenekler için Ortak Yönetim Ofisi’nin kurulması çağrısında bulunuyor.
İçeridekilerin veri sızdırmasını engellemeye yönelik her türlü çaba umut verici olsa da, 2014 yılında Ulusal Güvenlik Sistemleri Direktifi (CNSSD) 504 Komitesi tarafından tanımlandığı üzere, tamamen UAM gereklilikleriyle ilgili olan daha büyük bir sorun var.
Kısaca, mevcut UAM veri gereklilikleri, içerideki risklerin veri kaybı olaylarına dönüşen tehditlere dönüşmesini proaktif bir şekilde durdurmak için yetersizdir (“proaktif olarak” anahtar kelimedir).
Déjà Vu Yeniden Baştan
İçeriden Gelen Tehdit ve Siber Yetenekler için Ortak Yönetim Ofisi’ni duyan pek çok içeriden risk uzmanı muhtemelen iyi bir dejavu yaşadı. Ve mantık dahilinde.
Tarihi özetleyelim:
Gerçekten de, içeriden tehdit fonksiyonunu Savunma Bakanlığı’nın tamamında sağlamlaştırmak için çok fazla çaba sarf edildi. Ancak eğer oyunun sonu, ulusal güvenliğin çıkarları doğrultusunda gizli istihbaratı korumaksa, o zaman ele alınması gereken daha büyük sorunlar var.
Gerçek Sorun: UAM Veri Gereksinimleri Reaktiftir
Savunma Bakanlığı bünyesinde proaktif iç risk azaltmanın önündeki en büyük engel, gerekli UAM veri toplama yeteneklerinin (en iyi ihtimalle) reaktif olmasıdır.
Buna göre CNSSD 504, her yürütme organı departmanı ve kurumu, kullanıcı etkinliği verilerini toplamak için minimum beş teknik yeteneğe sahip olmalıdır. Bunlar:
- Tuş vuruşu izleme
- Tam uygulama içeriği (örn. e-posta, sohbet, veri içe aktarma, veri dışa aktarma)
- Ekran görüntüsü
- Tüm yasal amaçlar için dosya gölgeleme (örn. adlar ve konumlar değiştiğinde belgeleri izleme yeteneği)
- Toplanan tüm UAM verilerini belirli bir kullanıcıya atfetmek
2019 yılı itibarıyla 4,2 milyon kişi gizli bilgilere erişme hakkına sahip oldu. Yukarıda listelenen yeteneklerin birçoğu, gizlilik ve güvenilir iş gücü felsefesi açısından ciddi bir sorun olan çalışan gözetimine dayanmaktadır. Ancak samanlıktaki iğneyi bulmak için birincil mekanizma olarak gözetime güvenmek pek mümkün değil. İşe yarasa bile, içerideki risklerin çoğu, dışarı sızma gerçekleşene ve artık çok geç olana kadar fark edilmeyecektir. Bu reaktif yaklaşım, özellikle ulusal güvenlik bağlamında çıtayı düşük tutuyor.
Ulusal sırların korunması söz konusu olduğunda doğru verilere sahip olmak, proaktif içeriden öğrenilen risk yönetimi ile reaktif hasar kontrolü arasındaki farktır.
Sızıntıların oluşmasını durdurmak için tuş vuruşları ve ekran yakalama kullanılamaz; bu veriler ancak olay gerçekleştikten sonra faydalıdır ve o zaman bile, hasar zaten verilmiş olduğundan kullanımı sınırlıdır.
İçeriden gelen riskleri proaktif olarak azaltmak için erken kullanılabilecek verilere öncelik vererek UAM gereksinimlerini modernleştirmeye önemli bir ihtiyaç vardır. Erken uyarı göstergelerinin bu kadar güçlü olmasının nedeni budur; veri kaybı meydana gelmeden çok önce içerideki riskleri tespit etmek, caydırmak ve ortadan kaldırmak için zaman fırsatı sağlarlar.
Pentagon Sızıntıları: Erken Uyarı Göstergeleri Tarihi Nasıl Değiştirmiş Olabilir?
Amaç içeriden öğrenilenlerin riskini proaktif bir şekilde azaltmaksa, potansiyel bir sızıntıdan önce eyleme geçirilebilir verilere sahip olmak her şeydir. Bir veri kaybı olayının meydana gelmesi sırasında veya sonrasında bir UAM çözümünün verileri yakalaması yeterli değildir.
Erken uyarı göstergeleri, analistlere, veriler kaybolmadan önce içeriden öğrenilen riskleri proaktif olarak artırma, araştırma ve düzeltme fırsatı tanır.
Pentagon sızıntıları durumunda, riski proaktif bir şekilde belirlemek ve veri kaybını önlemek için gerekli bağlamı sağlamak üzere kullanılabilecek çeşitli erken uyarı göstergeleri vardı.
Neye bakılacağını ve doğru verilerden nasıl anlam çıkarılacağını bilmek ihtiyatlı bir davranıştır. İçeriden öğrenilenlerin riski tek başına belirlenemez. İnsan, organizasyon, siber ve fiziksel sensörlerden gelen verilerin zaman içinde ilişkilendirilmesine ve toplanmasına dayanan bütünsel, hesaplanmış bir çaba olmalıdır.
İşte Pentagon sızıntılarından elde edilen beş potansiyel erken uyarı göstergesi:
- Hacim ve frekans: Özellikle bireyin akran grubuyla karşılaştırıldığında, büyük hacimli verilere olağandışı frekanslarda erişme
- Duyarlılık: Bireyin iş fonksiyonuna bağlı olarak alışılmadık olabilecek son derece hassas verileri aramak, bunlara erişmek veya toplamak
- Görev tanımı: Bireyin iş fonksiyonu ve departmanının kapsamı veya kıdemi dışında olduğu düşünülen diğer faaliyetler
- İK bildirimleri: Ne kadar küçük olursa olsun, izinsiz veya antisosyal çalışan faaliyetlerine ilişkin her türlü bildirim (“bir şey gör, bir şey söyle“)
- Aramak: Kurumsal ağları (bu durumda, Ortak Dünya Çapında İstihbarat İletişim Sistemi) alışılmadık şekillerde, zamanlarda ve sıklıkta aramak veya araştırmak
Bunlar sadece bir avuç potansiyel erken uyarı davranış temelli göstergedir. Tek başına zararsız gibi görünseler de, göstergeler özellikle diğer verilerle toplanıp ilişkilendirildiğinde bireyin risk profili yükselir. sanığın tartışmalı çevrimiçi varlığı.
İleriye dönük olarak, erken uyarı göstergelerini anlamak ve bunları hızlı ve sorumlu bir şekilde yakalayıp bunlara göre hareket etmek için bir mekanizmaya sahip olmak, içeriden öğrenilen risklerin proaktif olarak tespit edilmesi ve çözülmesi açısından kritik öneme sahip olacaktır. İçeriden Gelen Tehdit ve Siber Yetenekler Ortak Yönetim Ofisi’nin ulusal sırları koruma misyonunda bunu dikkate almasını umuyoruz.