Использование технических индикаторов для выявления инсайдерских угроз
Характеристика проблемы обнаружения инсайдерских угроз и противодействия им – сложной задачи, с которой сталкиваются специалисты в области информационной безопасности. Изучение набора технических индикаторов для выявления инсайдеров в организации.
Рубрика | Коммуникации, связь, цифровые приборы и радиоэлектроника |
Вид | статья |
Язык | русский |
Дата добавления | 08.03.2019 |
Размер файла | 264,3 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Использование технических индикаторов для выявления инсайдерских угроз
Поляничко Марк Александрович
кандидат технических наук
доцент, кафедра Информатика и информационная безопасность, Петербургский государственный университет путей сообщения Императора Александра I
Аннотация
инсайдер угроза индикатор организация
Обнаружение инсайдерских угроз и противодействие им - сложная задача, с которой сталкиваются специалисты в области информационной безопасности как в коммерческом секторе, так и в государственных организациях. Современные организации зависят от информационных технологий и своих информационных активов, что делает проблему противостояния инсайдерам всё более актуальной. Выявление инсайдеров может осуществляться путем внедрения комплекса как технических, так и организационных мер. В статье предлагается использование данных из журналов работы программных средств защиты информации и других средств мониторинга для выявления инсайдерских угроз и выделяется набор индикаторов, указывающих на наличие подозрительных действий работников. Предложенный в статье набор технических индикаторов (показателей) может быть использован для построения системы логических правил или правил нечеткого вывода, позволяющих осуществлять выявление инсайдеров в организации. Внедрение механизмов анализа предложенных индикаторов позволит повысить эффективность работы администратора информационной безопасности и позволит предотвращать инциденты, связанные с реализацией инсайдерских угроз.
Ключевые слова: внутренние угрозы, информационная безопасность, инсайдер, обнаружение инсайдеров, индикатор, средства защиты информации, мониторинг, инсайдерские угрозы, подозрительные действия, работники
Abstract
Detecting insider threats and countering them is a complex task faced by information security experts in both the commercial sector and government organizations. Modern organizations depend on information technology and their information assets, which makes the problem of confronting insiders all the more urgent. Identification of insiders can be carried out by introducing a complex of both technical and organizational measures. The article proposes the use of data from the work logs of information protection software and other monitoring tools to identify insider threats and highlights a set of indicators indicating the presence of suspicious employee actions. The set of technical indicators (indicators) proposed in the article can be used to build a system of logical rules or fuzzy inference rules that allow identifying insiders in an organization. The introduction of mechanisms for analyzing the proposed indicators will improve the efficiency of the information security administrator and will help prevent incidents related to the implementation of insider threats.
Keywords:
information security tools, indicator, insider detection, insider, information security, internal threats, monitoring, insider threats, suspicious actions, staff
Инсайдерские угрозы является одной из самых больших проблем информационной защиты, так как они выходят на передний план на фоне совершенствования криптографических методов, аппаратных и программных средств защиты информации. Данные угрозы сложно поддаются анализу в силу непредсказуемости человеческого поведения и не могут быть нивелированы полностью. Тем не менее, применение совокупности организационных, профилактических и технических мер может существенно снизить риск данных угроз. Обеспечение информационной безопасности от инсайдерских угроз требует совершенствования как программных средств защиты информации, так и решения организационных проблем и внедрения процессов управления информационной безопасностью, ориентированных на инсайдерские угрозы. Традиционные методы защиты и более совершенная защита от устойчивых продвинутых угроз (advanced persistent threat) на основе сбора данных неэффективны против инсайдеров-злоумышленников [3]. В контексте данного исследования, инсайдер - это работник организации (как действующие, так и уволенные), деловые партнеры и подрядчики, имеющие доступ к информационным активам и системам организации или располагающие знаниями об используемых в организации методах и средствах обеспечения безопасности, которому предоставлены определённые права доступа. Подразумевается, что такие пользователи могут злоупотреблять своими привилегиями и, таким образом, нарушить конфиденциальность и целостность данных. Также допускается, что «пользователем» может быть какой-то компьютерный объект - процесс, агент или система - предположительно, но совсем необязательно, действующий от имени конкретных пользователей. Инсайдеры представляют большую опасность для организации, так как могут продолжительное время действовать незаметно, совершать акты мошенничества, красть конфиденциальную информацию и интеллектуальную собственность или нарушать работу информационных систем. Статистика показывает, что число инцидентов информационной безопасности, связанных с действиями инсайдеров растет [1, 5], а внедрение корпоративных информационных систем [6], мобильных приложений, мессенджеров, социальных сетей и облачных систем хранения данных в рабочие процессы современных организаций открывают новые возможности для реализации внутренних угроз информационной безопасности.
Современные программные средства защиты информации, как правило, ориентированы на защиту информационных активов и редко на обнаружение аномалий в поведении работников [4, 10]. Тем не менее, системы управления информационной безопасностью и другие программные средства обеспечения информационной безопасности могут быть использованы для выявления инсайдерских угроз [11, 12].
Имеются различные показатели, получаемые из систем журналирования программных средств защиты информации, которые могут быть использованы для обнаружения инсайдерских действий [9]. К ним относятся данные об аутентификации, изменении данных, сетевой активности, получении доступа к ресурсам, активности вредоносного программного обеспечения и системных ошибках. Для обнаружения подозрительной активности администраторы информационной безопасности могут использовать следующие программные средства защиты информации в качестве источников информации:
- SIEM-системы: решения, которые осуществляют мониторинг информационных систем, анализируют события безопасности в реальном времени, исходящие от сетевых устройств, средств защиты информации, ИТ-сервисов, инфраструктуры систем и приложений [14]. Входной информацией для SIEM-систем может служить практически любая информация.
- Средства управления доступом и аутентификации: применяются для управления и мониторинга доступа к информационным системам и использования привилегий.
- DLP-системы: сведения о попытках инсайдерских утечек, нарушении прав доступа.
- IDS/IPS-системы: несут данные о сетевых атаках, изменениях конфигурации и доступа к устройствам.
- Антивирусные приложения: генерируют события о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносном коде.
- Журналы событий серверов и рабочих станций: применяются для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности.
- Межсетевые экраны: сведения об атаках, вредоносном программном обеспечении и прочих угрозах информационной безопасности.
- Сетевое активное оборудование: используется для контроля доступа, учета сетевого трафика.
- Сканеры уязвимостей: данные об инвентаризации активов, сервисов, программного обеспечения, уязвимостей, поставка инвентаризационных данных и топологической структуры.
- Системы инвентаризации и asset-management: поставляют данные для контроля активов в инфраструктуре и выявления новых.
- Системы веб-фильтрации. Предоставляют данные о посещении сотрудниками подозрительных или запрещенных веб-сайтов.
Исходя из вышесказанного, в качестве технических индикаторов (количественных и качественных), которые могут указывать на наличие инсайдерской угрозы могут быть использованы [2] индикаторы, связанные со следующими событиями:
1. Печать документов
- Увеличение количества выводимых на печать документов
- Выполнение печати в нерабочее время
- Удаленная печать
- Печать документов, запрещенных для копирования
- Печать больших документов
2. Поисковые запросы
- Увеличение количества запросов
- Осуществление поиска в нерабочее время
- Запросы из черного списка
- Прямой доступ к базе данных
- Запросы на странные темы
- Высокое количество уникальных запросов
3. Осуществление доступа
- Высокое использование одного IP адреса для доступа
- Доступ в нерабочее время
- Доступ к запрещенным ресурсам
- Попытки получения администраторского доступа
4. Скачивание информации
- Увеличение количества скачиваемой информации
- Скачивание информации в нерабочее время
- Скачивание с удаленных серверов
- Скачивание документов, запрещенных для копирования
- Скачивание больших файлов
5. Использование браузера
- Частое обращение к одному и тому же ресурсу
- Использование браузера в нерабочее время
- Просмотр запрещенных ресурсов
- Просмотр большого количества документов
Для формирования значений приведенных показателей предлагается использовать математический аппарат нечетких множеств и лингвистические переменные, так как они позволяют оперировать непрерывно изменяющимися во времени динамическими входными данными, перейти к единой качественной шкале измерений и проводить качественную оценку как входных данных, так и выходных результатов. Лингвистическая переменная - в теории нечётких множеств, это переменная, которая может принимать значения фраз из естественного или искусственного языка [7, 13].
Лингвистической переменной называется набор [8]:
, |
|||
где |
b - имя лингвистической переменной, |
||
Т - множество значений, которые представляют собой имена нечетких переменных, областью определения каждой переменной является множество X; |
|||
G - синтаксическая процедура, позволяющая оперировать элементами терм-множества Tи создавать новые термы (значения). Множество , где G ( T ) _ множество полученных термов, называется расширенным терм-множеством лингвистической переменной; |
|||
М - математическое правило, определяющее класс функции принадлежности для значений из множества T . |
|||
Для описания лингвистических переменных предлагается использовать функции принадлежности L -класса, p -класса, S - класса, t - класса и g -класса [8].
, |
|||
где |
S ( x ; a , b , c ) - функция принадлежности S-класса; |
||
Функция S-класса применяется в случае, если возрастание какого-то показателя увеличивает его функцию принадлежности к множеству.
, |
|||
где |
p ( x ; b , c ) - функция принадлежности p -класса; |
||
Функция p-класса применима в том случае, если изменение значения показателя сначала увеличивает значение функции принадлежности, а затем его уменьшает.
где |
L ( x ; a , b ) - функция принадлежностиL -класса; |
||
ФункцияL -класса применяется, если значение функции принадлежности не информативно в каком-то диапазоне значения показателя.
где |
t ( x ; a , b , c ) - функция принадлежности t -класса; |
В некоторых случаях, функция принадлежности класса t может быть альтернативой по отношению к функции класса p.
где |
g ( x ; a , b ) - функция принадлежности g -класса; |
Ниже рассмотрены примеры технических показателей выявления инсайдерских угроз. На рисунке 1 изображена лингвистическая переменная «PrintBursts », характеризующая увеличение количества документов, выводимых на печать. Технический показатель увеличения объема печати описывается тремя термами «low », «medium » и «high ». Данный показатель измеряется в процентах, относительно среднего объема печати данного сотрудника за предыдущий период. В случае, если количество выводимых на печать документов увеличилось до 25%, то считается, что происходит небольшое увеличение печати, которое не имеет большой смысл относить к подозрительному поведению. Увеличение свыше 50%, то есть более чем в полтора раза считается подозрительным. Средний диапазон считается областью среднего риска и решение о необходимости дополнительного анализа поведения остается за администратором безопасности.
, |
||
где |
b = « PrintBursts » , |
|
Т = { «low », «medium », «high »}; |
||
X = [0,100] |
||
G = { Ж }; |
||
Рисунок 1 - Лингвистическая переменная «PrintBursts »
На рисунке 2 изображен график лингвистической переменной «PrintSusTiming ». Технический показатель выполнения печати в нерабочее время описывается тремя термами «low », «medium » и «high ». Данный показатель измеряется в часах, прошедших относительно окончания официального рабочего времени. В работе при создании переменной использовался стандартный восьмичасовой рабочий день (с 8.30 до 17.30). В случае, если сотрудник выполняет печать в течение трех часов с момента окончания рабочего дня, то такое поведение слабо относится к подозрительному, так как задержки на работе являются распространённым явлением. Самым подозрительным временем печати является ночное время, то есть спустя 12-14 часов после окончания рабочего дня. При этом по мере приближения времени к началу следующего рабочего дня значение показателя снижается, так как сотрудники часто приезжают на работу немного заранее.
, |
||
где |
b = « PrintSusTiming » , |
|
Т = { «low », «medium », «high »}; |
||
X = [0,16] |
||
G = { Ж }; |
||
Рисунок 2 - Лингвистическая переменная «PrintSusTiming »
На рисунке 3 изображен график лингвистической переменной «QueryHighDistCnt». Технический показатель наличия поисковых запросов на странные темы описывается двумя термами «low » и «high ». Данный показатель измеряется в процентах, относительно среднего объема запросов, выполняемых пользователем. В случае, если объем уникальных запросов от общего объема запросов не превышает 25%, то относить данный факт к подозрительному поведению не имеет смысла. Возрастание количества уникальных запросов до 30% и выше может свидетельствовать о том, что пользователь собирает информацию компании или компьютер пользователя заражен вредоносным программным обеспечением, которое выполняет автоматизированный поиск.
, |
||
где |
b = « QueryHighDistCnt» , |
|
Т = { «low », «high »}; |
||
X = [0,100] |
||
G = { Ж }; |
||
. |
Рисунок 3 - Лингвистическая переменная «QueryHighDistCnt»
Анализ данных показателей может выявить потенциально опасные инсайдерские действия, такие как осуществление доступа в нерабочее время, печать или скачивание больших объемов информации, обращение к информации, не требуемой для выполнения должностных обязанностей и д.р.
Заключение
Предложенный набор технических индикаторов (показателей) может быть использован для построения системы логических правил или правил нечеткого вывода, позволяющих осуществлять выявление инсайдеров в организации. Внедрение механизмов анализа предложенных индикаторов позволит повысить эффективность работы администратора информационной безопасности и позволит предотвращать инциденты, связанные с реализацией инсайдерских угроз и уменьшить время, требуемое для выявления их наличия.
Библиография
1. Insider Threat Report: 2018 - CA Technologies // CA Technologies URL: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf (дата обращения: 18.07.2018).
2. Kauh J. [и др.]. Indicator-based behavior ontology for detecting insider threats in network systems // KSII Transactions on Internet and Information Systems. 2017. № 10 (11). C. 5062-5079.
3. Smith J.A., Holloway R. Mitigating cyber threat from malicious insiders 2014. C. 1-8.
4. Thomas Georg, Patrick D., Meier M. Ethical issues of user behavioral analysis through machine learning // Journal of Information System Security. 2017. № 1 (13). C. 3-17.
5. Verizon 2015 Data Breach Investigations Report // Information Security. 2015. C. 1-70.
6. Аникин И.В. Управление внутренними рисками информационной безопасности корпоративных информационных сетей // Научно-технические ведомости СПбГПУ. Информатика. Телекоммуникации. Управление. 2009. №3 (80).
7. Заде Л. Понятие лингвистической переменной и его применение к принятию приближенных решений. - М.: Мир, 1976.
8. Кофман А. Введение в теорию нечетких множеств. - М.: Радио и связь, 1982. - 432 c.
9. Поляничко М.А., Королев А.И. Подход к выявлению инсайдерских угроз в организации // Естественные и технические науки. 2018. - №9., Выпуск (123). - 2018 - с. 152 - 154.
10. Поляничко М.А. Современное состояние методов обнаружения и противодействия инсайдерским угрозам информационной безопасности // Colloquium-Journal. 2018. № 9-1 (20). C. 44-46.
11. Поляничко М.А., Пунанова К.В. Основные проблемы практического применения человеко-ориентированного подхода к обеспечению информационной безопасности // «Фундаментальные и прикладные разработки в области технических и физико-математических наук» Сборник научных статей по итогам работы третьего международного круглого стола. - М.: Общество с ограниченной ответственностью «КОНВЕРТ». 2018. C. 57-60.
12. Поляничко М.А. Основные меры противодействия инсайдерским угрозам информационной безопасности // «Фундаментальные и прикладные разработки в области технических и физико-математических наук» Сборник научных статей по итогам работы третьего международного круглого стола. - М.: Общество с ограниченной ответственностью «КОНВЕРТ». 2018. C. 43-46.
13. Рутковская Д., Пилиньский М., Рутковский Л. Нейронные сети, генетические алгоритмы и нечеткие системы: Пер. с польск. И.Д. Рудинского, Том 452. - Москва: Горячая линия-Телеком, 2006.
14. Что такое SIEM - системы и для чего они нужны? // ANTI - MALWARE [Электронный ресурс]. URL: https://www.anti-malware.ru/analytics/Technology_Analysis/Popular-SIEM-Starter-Use- Cases (дата обращения: 25.07.2018).
Размещено на Allbest.ru
Подобные документы
Информатизация общества и проблема информационной безопасности. Цели и объекты информационной безопасности страны. Источники угроз для информационной безопасности. Основные задачи по предотвращению и нейтрализации угроз информационной безопасности.
реферат [20,9 K], добавлен 16.12.2008Роль и место системы видеонаблюдения в системе комплексной безопасности типового магазина. Анализ угроз безопасности. Человеческий фактор как антропогенный источник угроз. Последствия воздействия угроз. Размещение средств видеонаблюдения на объекте.
дипломная работа [442,2 K], добавлен 09.11.2016- Реализация политики сетевой безопасности организации средствами маршрутизаторов и коммутаторов CISCO
Проведение инфологической модели информационной системы организации. Анализ и актуализация угроз информационной безопасности, реализуемых с использованием протоколов межсетевого взаимодействия. Реализация требований политики доступа на уровне подсетей.
курсовая работа [872,9 K], добавлен 24.06.2013 Понятие "Угроза безопасности". Группы опасных факторов, внешние и внутренние источники угроз. Угрозы персоналу и угрозы материальным ресурсам. Угрозы информационным ресурсам. Условия и причины образования технических каналов утечки информации.
реферат [357,0 K], добавлен 10.12.2008Анализ технических средств и их роли в системе многорубежной интеллектуальной безопасности автотранспортного предприятия. Описания систем видеонаблюдения, охранной и пожарной сигнализации. Последствия воздействия угроз и виды угрожающих воздействий.
дипломная работа [2,0 M], добавлен 08.11.2016Основные признаки классификации электронных индикаторов, (конструктивные особенности, способы управления, назначение). Применение единичных, сегментных, шкальных и электронно-механических индикаторов. Формирование изображения в матричном индикаторе.
презентация [2,0 M], добавлен 14.12.2015Предназначение элекронного показывающего устройства. Виды индикаторов: индивидуальные, груповые, коллективного пользования. Принципиальная схема автоответчика. Типы электронных индикаторов: единичные, матричные, сегментные, шкальные, электромеханические.
презентация [243,4 K], добавлен 12.12.2014Правила техники безопасности при монтаже и эксплуатации технических средств охраны. Обнаружение угроз на открытых площадках и периметрах объектов. Тактика применения радиоволновых извещателей. Особенности системы контроля и управления доступом (СКУД).
контрольная работа [462,3 K], добавлен 21.05.2008Качественный и количественный подходы к оценке опасностей и выявления отказов систем. Прямой и обратный порядок определения причин отказов и нахождения аварийного события при анализе состояния системы. Метод анализа опасности и работоспособности.
курсовая работа [74,2 K], добавлен 03.01.2014История обеспечения безопасности в открытых и закрытых компьютерных сетях. Применение административных и технических средств ее защиты, аппаратное обеспечение. Проблемы информационной безопасности в интернете. Построение системы хранения данных.
контрольная работа [108,0 K], добавлен 14.01.2014