Еще несколько лет назад считалось, что в большинстве случаев CISO подчиняется CIO, а ИБ рассматривается как функция ИТ. Но вот свежее исследование показывает, что все немного не так 🤷

CISO подчиняется ИТ уже не в 3/4 случаев, а всего в одной четверти. В каждом пятом случае подчинение идет сразу под генерального директора 🧐 Еще в 16% главный ИБшник рапортует техническому директору. Но в почти 40% случаев CISO находится по финансовым директоров, главным юристом и даже CPO, а также иными топ-менеджерами 😕

Какие данные CISO включают в свои отчеты 📈 для руководства компании? Я про это делал целую серию заметок в блоге (первая, вторая, третья, четвертая, пятая, шестая). А тут вот новые данные подогнали. В отчеты включают следующие данные (по убыванию популярности):
1️⃣ Результаты оценки рисков (ох уж эта приверженность CISO рискам...)
2️⃣ Анализ ландшафта угроз
3️⃣ Статус соответствия требованиям законодательства
4️⃣ Результаты реагирования на инциденты
5️⃣ Результаты оценки уязвимостей и пентестов
6️⃣ Политики ИБ и средства защиты
7️⃣ Возврат инвестиций
8️⃣ Анализ воздействия на бизнес (BIA).

Как по мне, так последние два пункта, ненабравшие даже 20% каждый, являются основными при общении с топ-менеджерами. А все остальное - это сопутствующие данные, которые только помогают отвечать на второстепенные вопросы. А тут они в основе отчетности CISO для топ-менеджеров 📊 Отсюда и результат - CISO не находится на одном уровне иерархии с другими людьми уровня CxO, а подчиняется кому-то из них 😭

⬇️ Insider threat matrix

Когда речь заходит об инсайдерской активности, killchain таких атак значительно отличается от классических моделей, таких как MITRE ATT&CK и Lockhead Martin Killchain. Инсайдерские угрозы не всегда связаны с техническими методами взлома, а включают также психологические и организационные аспекты, важен также мотив – причина, побуждающая работника совершить противоправные действия

Исследователи James Weston (Forscie) и Joshua Beaman (Security Blue Team) запустили новый проект: Insider threat matrix, цель которого – структурировать мотивы, средства и методы, используемые инсайдерами, систематизировать методы смягчения и обнаружения таких атак, дать инструмент визуализации

Матричная структура проекта напоминает проект MITRE ATT&CK и разработчики явно им вдохновлялись:
🔹 Используются понятия «Sections» и «Sub-sections» (как техники и подтехники, только section более широкое понятие, и может включать как действия, так например и каналы утечки). Сами фазы атаки пока никак не названы
🔹 Для Sections приведены методы по их смягчению (Prevention), а также детектирования (Detection). Все как в ATT&CK
🔹 Страница описания Sections содержит мета информацию, всем сущностям присвоены ID, структура таблиц повторяет аналогичные в ATT&CK

Проект разбивает инсайдерскую атаку на следующие фазы:
1️⃣ Мотив - причина, побуждающая субъекта к нарушению прав
2️⃣ Намерения - механизмы или обстоятельства, необходимые для возникновения нарушения
3️⃣ Подготовка - действия, осуществляемые субъектом с целью обеспечения возможности нарушения
4️⃣ Нарушение - действие, которое наносит вред
5️⃣ Заметание следов, антифорензика - действия, предпринятые с целью сорвать любое последующее расследование

Приведенные фазы очень похожи на Insider Kill Chain от Агентства национальной безопасности (NSA): Переломный момент, Исследование и разведка, Сбор данных, Эксфильтрация/реализация, Сокрытие следов

Сами Section на мой взгляд проработаны хорошо, набор мотивов злоумышленника исчерпывающий, каналы утечки, способы «слива» описаны достаточно полно. Не нашел в матрице методов повышения привилегий, строя сценарий атаки с использованием данной матрицы видимо нужно учитывать это допущение. В целом ребята из проекта Insider Threat TTP Knowledge Base v2.0.0 тоже считают, что инсайдеры редко используют техники повышения привилегий, существующих прав хватает для достижения целей

Проект официально стал доступен сегодня в формате MVP и навигация хромает, как минимум:
🔹 Нет глоссария чтобы понять как соотносятся другом объекты матрицы
🔹 С главной страницы вы не сможете попасть в Preventions или в Detections
🔹 Часть разделов еще не заполнены (например)

Мне понравилась матрица, напомнила одноименный проект с github, который давно не обновлялся и имеет схожую структуру.
Пожелаем развития проекту!
#insider