⬇️ Insider threat matrix

Когда речь заходит об инсайдерской активности, killchain таких атак значительно отличается от классических моделей, таких как MITRE ATT&CK и Lockhead Martin Killchain. Инсайдерские угрозы не всегда связаны с техническими методами взлома, а включают также психологические и организационные аспекты, важен также мотив – причина, побуждающая работника совершить противоправные действия

Исследователи James Weston (Forscie) и Joshua Beaman (Security Blue Team) запустили новый проект: Insider threat matrix, цель которого – структурировать мотивы, средства и методы, используемые инсайдерами, систематизировать методы смягчения и обнаружения таких атак, дать инструмент визуализации

Матричная структура проекта напоминает проект MITRE ATT&CK и разработчики явно им вдохновлялись:
🔹 Используются понятия «Sections» и «Sub-sections» (как техники и подтехники, только section более широкое понятие, и может включать как действия, так например и каналы утечки). Сами фазы атаки пока никак не названы
🔹 Для Sections приведены методы по их смягчению (Prevention), а также детектирования (Detection). Все как в ATT&CK
🔹 Страница описания Sections содержит мета информацию, всем сущностям присвоены ID, структура таблиц повторяет аналогичные в ATT&CK

Проект разбивает инсайдерскую атаку на следующие фазы:
1️⃣ Мотив - причина, побуждающая субъекта к нарушению прав
2️⃣ Намерения - механизмы или обстоятельства, необходимые для возникновения нарушения
3️⃣ Подготовка - действия, осуществляемые субъектом с целью обеспечения возможности нарушения
4️⃣ Нарушение - действие, которое наносит вред
5️⃣ Заметание следов, антифорензика - действия, предпринятые с целью сорвать любое последующее расследование

Приведенные фазы очень похожи на Insider Kill Chain от Агентства национальной безопасности (NSA): Переломный момент, Исследование и разведка, Сбор данных, Эксфильтрация/реализация, Сокрытие следов

Сами Section на мой взгляд проработаны хорошо, набор мотивов злоумышленника исчерпывающий, каналы утечки, способы «слива» описаны достаточно полно. Не нашел в матрице методов повышения привилегий, строя сценарий атаки с использованием данной матрицы видимо нужно учитывать это допущение. В целом ребята из проекта Insider Threat TTP Knowledge Base v2.0.0 тоже считают, что инсайдеры редко используют техники повышения привилегий, существующих прав хватает для достижения целей

Проект официально стал доступен сегодня в формате MVP и навигация хромает, как минимум:
🔹 Нет глоссария чтобы понять как соотносятся другом объекты матрицы
🔹 С главной страницы вы не сможете попасть в Preventions или в Detections
🔹 Часть разделов еще не заполнены (например)

Мне понравилась матрица, напомнила одноименный проект с github, который давно не обновлялся и имеет схожую структуру.
Пожелаем развития проекту!
#insider