⬇️ Insider threat matrix

Когда речь заходит об инсайдерской активности, killchain таких атак значительно отличается от классических моделей, таких как MITRE ATT&CK и Lockhead Martin Killchain. Инсайдерские угрозы не всегда связаны с техническими методами взлома, а включают также психологические и организационные аспекты, важен также мотив – причина, побуждающая работника совершить противоправные действия

Исследователи James Weston (Forscie) и Joshua Beaman (Security Blue Team) запустили новый проект: Insider threat matrix, цель которого – структурировать мотивы, средства и методы, используемые инсайдерами, систематизировать методы смягчения и обнаружения таких атак, дать инструмент визуализации

Матричная структура проекта напоминает проект MITRE ATT&CK и разработчики явно им вдохновлялись:
🔹 Используются понятия «Sections» и «Sub-sections» (как техники и подтехники, только section более широкое понятие, и может включать как действия, так например и каналы утечки). Сами фазы атаки пока никак не названы
🔹 Для Sections приведены методы по их смягчению (Prevention), а также детектирования (Detection). Все как в ATT&CK
🔹 Страница описания Sections содержит мета информацию, всем сущностям присвоены ID, структура таблиц повторяет аналогичные в ATT&CK

Проект разбивает инсайдерскую атаку на следующие фазы:
1️⃣ Мотив - причина, побуждающая субъекта к нарушению прав
2️⃣ Намерения - механизмы или обстоятельства, необходимые для возникновения нарушения
3️⃣ Подготовка - действия, осуществляемые субъектом с целью обеспечения возможности нарушения
4️⃣ Нарушение - действие, которое наносит вред
5️⃣ Заметание следов, антифорензика - действия, предпринятые с целью сорвать любое последующее расследование

Приведенные фазы очень похожи на Insider Kill Chain от Агентства национальной безопасности (NSA): Переломный момент, Исследование и разведка, Сбор данных, Эксфильтрация/реализация, Сокрытие следов

Сами Section на мой взгляд проработаны хорошо, набор мотивов злоумышленника исчерпывающий, каналы утечки, способы «слива» описаны достаточно полно. Не нашел в матрице методов повышения привилегий, строя сценарий атаки с использованием данной матрицы видимо нужно учитывать это допущение. В целом ребята из проекта Insider Threat TTP Knowledge Base v2.0.0 тоже считают, что инсайдеры редко используют техники повышения привилегий, существующих прав хватает для достижения целей

Проект официально стал доступен сегодня в формате MVP и навигация хромает, как минимум:
🔹 Нет глоссария чтобы понять как соотносятся другом объекты матрицы
🔹 С главной страницы вы не сможете попасть в Preventions или в Detections
🔹 Часть разделов еще не заполнены (например)

Мне понравилась матрица, напомнила одноименный проект с github, который давно не обновлялся и имеет схожую структуру.
Пожелаем развития проекту!
#insider

Американская администрация выпустила меморандум, в котором зафиксировала приоритеты при бюджетировании ИБ на 2026-й финансовый год:
1️⃣ Модернизация ИБ федеральных государственных информационных систем за счет внедрения Zero Trust, MFA, аутсорсинга ИБ, измерения ИБ и т.п.
2️⃣ Масштабирование государственно-частного партнерства за счет автоматизации обмена данными и т.п.
3️⃣ Реализация минимального набора требований по ИБ.
4️⃣ Улучшение безопасности open source за счет мониторинга изменений в коде, анализа взаимозависимостей, оценки контрибьюторов кода, поиска ошибок в коде и т.п.
5️⃣ Борьба с киберпреступностью за счет нейтрализации инфраструктуры APT и группировок щифровальщиков.
6️⃣ Безопасная разработка и использование грантов для обеспечения конструктивной ИБ.
7️⃣ Гибкий найм персонала и рост компенсаций для специалистов по ИБ.
8️⃣ Переход на постквантовую криптографию
9️⃣ Защита фундамента Интернет за счет усиления BGP-маршрутизации, использования языков программирования и железа с защитой доступа к памяти и т.п.

Вот не знаю, но мне кажется это хорошая тема. Государство сразу очерчивает темы, которые укладываются в рамки национальной стратегии ИБ и поэтому будут профинансированы. А все остальное пусть идет по боку...