国家内部威胁任务组(NITTF)发布新的内部威胁计划成熟度框架

INSIDER  THREAT  PROGRAM  MATURITY  FRAMEWORK


在维基解密开始发布由切尔西曼宁完成的伊拉克战争日志后约18个月,奥巴马总统发布了总统备忘录:国家内部威胁政策和行政部门内部威胁计划的最低标准。 “由此产生的内部威胁能力,将加强对整个行政部门的机密信息的保护,并加强我们对滥用其访问权限和危害我们国家安全的对手和内部人员的防御。”

显然这份备忘录未起到预期的作用。在一年后,爱德华斯诺登泄漏事件出现,并不断持续下来 。2016年,被称为Shadow Brokers的黑客组织开始泄漏 NSA工具(包括WannaCry  和NotPetya使用的EternalBlue细节); 当然有人认为这些文件最初可能是由NSA承包商Hal Martin泄露给Shadow Brokers

2017年,CIAVault 7文件开始陆续出现。20186月,首先是美国国家安全局和CIA的前雇员Joshua Adam Schulte,被指控窃取了CIA机密文件发给维基解密公布。

2018111日,国家内部威胁任务组(NITTF)在司法部长和国家情报总监的共同领导下运作,发布了新的内部威胁计划成熟度框架。国家情报总监办公室发表声明宣布,其目的是“帮助行政部门和机构的内部威胁计划降到最低标准,以更加主动,全面和更友好的姿态来阻止,检测和缓解内部威胁风险。”

新框架从奥巴马的备忘录中继承了关键要素,并对其进行了增强和扩展,以便使用它们的部门和机构(D / A)能够“从内部威胁计划资源,程序和流程中获得更大的效益”。其包含19个元素,每个元素标识高级内部威胁程序(InTP)的属性。根据框架的介绍,每个要素“提供放大信息,以协助各项计划加强相关最低标准的有效性。”

该框架专为政府部门和机构设计,其主要目的是捍卫国家安全而不是资本主义知识产权。D / A在私营企业的使命和文化方面存在着很大差异,私营企业也有可能自身存在更大的内部威胁。私营企业将试图采用相同的框架,以增强抵御内部威胁的能力。

例如,Dtex Systems的联邦副总裁David Wilcox评论说:“Dtex年度内部人员威胁情报报告显示内部威胁在包括政府在内的所有行业都很活跃。内部威胁开启时它引起的损害正在增加,此框架的出台正处于恰逢其时的关键时刻。该框架指出了解决内部威胁的关键因素,任何行业都可以借助这些因素来降低相关风险。”

框架的一些要素当然可以转化为私营企业并由其使用,其他人也需要谨慎对待。例如,第一个要素描述了“D / AInTP领导的共同责任和承诺,即发展InTP基础设施和人员,并在足以创建有效和持久计划的水平上促进解决内部威胁的重要性。”

第三个要素说:“对于InTP来说,对抗内部威胁至关重要,以保持对其D / A的政策,法律,监管,劳动力和技术环境的变化的遵守。InTP可以通过参与D /A保持参与最新政策制定,监管发展和技术基础设施的论坛进展,以评估任何变化对计划合规性和有效性的影响。”

这是一个具有高水平和高度专业领导力的新部门。借鉴GDPR的要求,公司已经探讨是否需要新的数据处理官应对合规成本。任何寻求使用该框架作为其内部威胁计划指南的组织,首先需要考量的是此指南实现下来的可承受价格。

尽管人们担心私营企业可能不会试图将框架照搬地转移到工作场所,但仍然有很多好的东西可以形成保护内部威胁的良好做法的基础。虽然是专为政府部门和机构设计的,但如果私人组织选择的话,它对私人组织仍然有正向作用。

声明:本文来自鼎信信息安全测评,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。