CERT-SG IRM-12: Insider Abuse
CERT-SG IRM-12: Insider Abuse
Playbook operativo de Incident Response del CERT Societe Generale. Importado desde el vault PAI Obsidian-Inbox para uso de Juniors.
Resumen original
PURPOSE: This Incident Response Methodology is a cheat sheet dedicated to handlers investigating on a precise security issue — specifically, guidelines to handle and respond to internal information disclosed intentionally (insider abuse).
WHO SHOULD USE IRM SHEETS?
- Administrators
- Security Operation Center
- CISOs and deputies
- CERTs (Computer Emergency Response Team)
Metodos
Case study / cheat sheet basado en el framework NIST de 6 pasos, aplicado a abuso por parte de empleados internos (insider threat).
Hallazgos clave
- Preparacion: Contactos con relaciones publicas, RRHH y legal; centralizar logging de controles de acceso; proceso global de autorizacion y clearance con especial atencion a revocacion de privilegios de puestos anteriores; autenticacion fuerte segun riesgo de la aplicacion; preparar proceso DLP con equipo GDPR y riesgo
- Identificacion tecnica: Alertas de SIEM/correlacion, IDS/IPS, controles DLP, controles de acceso fisico
- Identificacion humana: Manager del insider (primero en notar comportamiento), equipos de control/riesgo/compliance, colegas del insider (canal mas valioso porque conocen las tareas y procesos), partes externas (partners con sus propios mecanismos de deteccion)
- Contencion - Procedimiento: CRITICO: no actuar sin solicitud escrita del CISO/DPO; involucrar HR, legal, DLP, PR, management del sospechoso; reunion con HR para explicar hallazgos; reducir privilegios (computadora con autorizaciones minimas); congelar accesos y autorizaciones (aplicaciones, cuentas, llaves, badge); suspender acceso remoto (smartphones, VPN, tokens); requisar todos los dispositivos profesionales
- Contencion - Caso 1 (actividad anormal): Iniciar investigacion forense en dispositivos e investigacion de logs; usar IRM-02 o IRM-03 segun OS
- Contencion - Caso 2 (actividad maliciosa confirmada): Considerar denuncia formal; NO tomar mas acciones tecnicas; proveer toda la evidencia al equipo legal o fuerzas del orden; contener impactos colaterales antes de hacer publico; preparar plan de comunicacion
- Remediacion: Accion disciplinaria o terminacion de contrato y eliminacion de credenciales; revisar todos los programas/scripts del insider y eliminar codigo innecesario; revisar tareas de administracion (equipo IT)
- Recuperacion: Notificar a stakeholders y autoridades; concienciar empleados y endurecer controles; revertir operaciones fraudulentas
Relevancia
Guia para uno de los incidentes mas delicados por sus implicaciones legales y humanas. Destaca la distincion critica entre dos casos: actividad anormal (aun no confirmada como maliciosa, requiere investigacion forense) vs actividad maliciosa confirmada (requiere denuncia legal, no mas acciones tecnicas). La identificacion de los colegas como "el canal de notificacion mas valioso" es un insight importante sobre deteccion de amenazas internas.
Citas clave
"Don't do anything without a written request from the concerned CISO/DPO/person in charge. Based on your legal team advisory, a written permission from the concerned user might also be handy." (p. 6)
"Insider's colleagues are maybe the most valuable notification channel because they know perfectly the tasks, the process and the impacts on their duty jobs." (p. 5)
"If malicious or fraudulent behavior is already confirmed, think about file a complaint against the suspected insider. In this case, do not take any further technical actions." (p. 7)
Conexiones
- certsg-irm-11-information-leakage — Filtracion de informacion, caso asociado frecuentemente
- certsg-irm-02-windows-intrusion — Referenciado para investigacion forense en Windows
- certsg-irm-03-unix-linux-intrusion — Referenciado para investigacion forense en Linux
- certsg-irm-05-malicious-network-behaviour — Comportamiento de red malicioso, vector de deteccion
- Tema principal: Themes/respuesta-incidentes-lifecycle