Sunday, March 04, 2012

Keep CIRT and Internal Investigations Separate

A recent issue of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Economist featured an article titled Corporate fraud: Mind your language -- How linguistic software helps companies catch crooks. It offered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following excerpts:

To spot staff with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incentive to steal (over and above cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 obvious fact that money is quite useful), anti-fraud software scans e-mails for evidence of money troubles...

Ernst & Young (E&Y), a consultancy, offers software that purports to show an employee’s emotional state over time: spikes in trend-lines reading “confused”, “secretive” or “angry” help investigators know whose e-mail to check, and when. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r software can help firms find potential malefactors moronic enough to gripe online, says Jean-François Legault of Deloitte, anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r consultancy...

Dick Oehrle, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chief linguist on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project, explains how it works. First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 algorithm digests a big bundle of e-mails to get used to employees’ language. Then human lawyers code cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same e-mails, sorting things as irrelevant, relevant or serious. The human feedback and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computers’ results are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n reconciled, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system gets smarter. Mr Oehrle says cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lawyers also learn from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computers (presumably such things as empathy and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between right and wrong).

To find employees with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to steal, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software looks for what snoops call “out of band” events: messages such as “call my mobile” or “come by my office” suggest a desire to talk without being overheard. E-mails between an employee and an outsider that contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 words “beer”, “Facebook” or “evening” can suggest a personal relationship...

Employers without such technology are “operating blind”, says Alton Sizemore, a former fraud detective at America’s FBI... [N]early all giant financial firms now run anti-fraud linguistic software, but fewer than half of medium-sized or small financial firms do...

Prospective users typically pay for a single “snapshot” search of 12 months of company records, according to APEX Analytix, a developer of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software in Greensboro, North Carolina. For a company with 10,000 employees, this costs about $45,000. Unless a company is very small, evidence of fraud almost always surfaces, convincing clients to sign up for a yearly package that costs three or four times as much as a spot-check, says John Brocar of APEX Analytix.

Why spend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money... If a company shows it has systems in place to detect this kind of thing, and starts investigating before outsiders do, it may have an easier time in court.

When I read this story it reminded me of my advice to keep CIRT and Internal Investigations separate. Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 repeated mention of "lawyers" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Economist story. There is no reason for this sort of technology or responsibility to reside in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computer Incident Response Team. CIRTs should focus on external threats. Internal Investigations should focus on internal threats, e.g. employees, contractors, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r authorized parties who may perform unauthorized activities. II should collaborate closely with legal and human resources and should not use CIRT tools or techniques. This separation of duties was invaluable when I ran GE-CIRT because we could reassure constituents that our analysts focused on bad guys outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company, not our own users.

2 comments:

Bill Frank said...

I am not sure it’s so easy or even practical to keep external and internal investigations separate. While surely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type of linguistic analysis software you describe can be kept separate, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trend, for several years now, in Firewalls, Flow products, and SIEMs has been to associate user names with IP addresses because IP address correlation is not reliable. A person’s IP address can change several times a day as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person works from home, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n Starbucks, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 office.

In addition, some SIEMs are making it fairly easy to integrate and correlate internal line-of-business applications. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, external attacks start to resemble internal attacks when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker’s initial goal is to steal an internal user’s credentials.

Anonymous said...

From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:
"Then human lawyers code cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same e-mails..."

Lawyers are HUMAN now?