CC BY
27АВТОМАТИЗАЦИЯ ОЦЕНКИ УРОВНЯ ДОВЕРИЯ В ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Таланов М.А.1, Тимохович А.С.2
'Таланов Максим Андреевич — специалист, направление: информационная безопасность телекоммуникационных систем; 2Тимохович Александр Степанович — кандидат педагогических наук, доцент, кафедра безопасности информационных технологий, Институт информатики и телекоммуникаций Сибирский государственный аэрокосмический университет им. академика М.Ф. Решетнева,
г. Красноярск
Аннотация: в статье описано одно из перспективных направлений в области информационной безопасности - DLP-системы, а также дано описание оценки уровня доверия к конкретному физическому лицу в рамках системы. Ключевые слова: DLP-системы, доверие, автоматизация.
Следует понимать, что в данный момент существует множество способов помешать злоумышленнику нанести ущерб системе. Часть из них нацелена на защиту от атак, часть - на противодействие и сокрытие, однако появилась новая отрасль, которая поставила своей целью определение потенциальных злоумышленников. Продуктом этой отрасли являются Data Leak Prevention-системы, т.е. системы предотвращающие утечку данных.
Данные системы позволяют сотруднику службы безопасности без непосредственного участия автоматизировать сбор статистики по наиболее важным критериям и её оценку.
Одна из функциональных возможностей DLP-системы — уровень доверия. Данный показатель присваивается каждому работнику в рамках системы и отражает вероятность того, что данный сотрудник может являться потенциальным нарушителем [1].
На данный момент DLP-решения основываются на аналитике, выявляя тем самым нелегитимные действия сотрудников (мошенничество, сговоры, откаты). Но трудность заключается в том, что объемы обрабатываемой и генерируемой информации сотрудниками системы за день достигает колоссальных размеров, что затрудняет процесс ее обработки. Потому возможность системы автоматически анализировать и собирать статистику может упросить процесс создания списка потенциальных нарушителей. Из чего и появился уровень доверия, как фактор, прозрачно выявляющий внутренние угрозы компании.
Автоматическое профилирование персон в системах DLP часто встречается в международных стандартах и рекомендациях по безопасности. Однако на сегодняшний день не существует общепринятых методов реализации. Естественным путем является построение такого показателя на основе анализа большого объема данных (Big Data). Профилирование основывается на поведенческом анализе, в нем применяются методы современной психологии, физиологии, социологии. В качестве вычислительного аппарата используются методы математической статистики, случайных процессов, статистической физики, некоторые модели используют технологию нейронных сетей.
В качестве основы для создания формулы доверия используется статистика, социологии и специфика бизнеса, что обеспечивает трехмерное видение активности сотрудников.
В качестве статистического инструмента выбирается модель авторегрессии с ошибкой в виде белого шума. На основе статистики далее происходит итеративное «слепое» разделение на группы, которое дает заданную точность.
Каждая группа имеет свою схему поведения, которой люди невольно придерживаются. При этом на базе каждой схемы поведения можно построить определенные предиктивные модели угроз, к примеру действия пользователей, халатно относящихся к передаче и хранению данных, будут нести с собой более высокий риск случайной компрометации информации, причем вне зависимости от канала коммуникации. Осторожные пользователи, напротив, скорее являются источником угроз намеренного характера. Их активность обычно затрагивает каналы коммуникаций, не описанные в корпоративных правилах. Продвинутые пользователи хорошо знакомы с IT-инфраструктурой и особенно продвинуты в модификации, подмене данных. Для этой группы требуется особый контроль рабочих станций и используемых программ на уровне ядра ОС.
Касаясь бизнес-факторов, особенно важно определить степень детализации, чтобы избежать неэффективного усложнения модели. Системы DLP имеют возможность определять в информационном потоке виды документов и визуализировать их перемещение. При этом даже на
небольшом периоде наблюдения накопленные сведения дают наглядную картину того, как в рамках тех или иных процессов перемещаются данные, что позволяет создать группы приоритета [3]. Таким образом, на текущий момент формула доверия выглядит следующим образом [2]:
Doverie = f(S,GRn,DK,t), (1) Где S - количество событий, GRn - распределение событий на множестве групп риска, n -размерность GRn, DK — распределение событий на множестве уровней критичности, К - число уровней критичности (в нашем случае К = 5), t — рассматриваемый момент времени.
Таким образом, используя данную формулу для построения DLP, можно в значительной степени автоматизировать обнаружение нарушителей в системе еще до самого факта нарушения и выстроить политику безопасности исходя из выбранного уровня доверия к конкретному лицу.
Список литературы
1. Выбираем DLP-систему для средней организации. [Электронный ресурс]. Режим доступа: https://habrahabr.ru/post/141000/ (дата обращения: 09.03.2016).
2. Data Leak Prevention (DLP). [Электронный ресурс]. Режим доступа: http://docs.fortinet.com/uploaded/files/2026/inside-fortios-dlp-52.pdf/ (дата обращения: 08.03.2016).
3. UEBA - поведенческий анализ/ Андрей Д. [Электронный ресурс]. Режим доступа: http://80na20.blogspot.ru/2016/12/ueba.html/ (дата обращения: 08.03.2016).
МУЛЬТИАГЕНТНАЯ ИММУННАЯ СИСТЕМА ОБНАРУЖЕНИЯ АНОМАЛИЙ ОБЛАЧНОЙ СРЕДЫ Золотухин А.В.1, Тимохович А.С.2
'Золотухин Алексей Витальевич — специалист, направление: информационная безопасность телекоммуникационных систем; 2Тимохович ААлександр Степанович — кандидат педагогических наук, доцент, кафедра безопасности информационных технологий, Институт информатики и телекоммуникаций, Сибирский государственный аэрокосмический университет им. академика М.Ф. Решетнева,
г. Красноярск
Аннотация: в статье описано одно из перспективных направлений в области информационной безопасности - мультиагентная иммунная система для обнаружения аномалий, а также дано описание одной из перспективных схем построения. Ключевые слова: иммунная сеть, мультиагентность, обнаружение аномалий.
На текущий момент облачные технологии (Cloud Computing) переходят из сферы научных исследований в реальные бизнес-приложения, например, веб-сайты, облачные сервисы (малый бизнес, бухгалтерия). Создание подобных распределенных приложений связывается с необходимостью обеспечения безопасности облачных серверов от различного рода аномалий. Под аномалией понимается любое отклонение от модели (профиля) нормального состояния информационных процессов облачных сервисов. Отклонения вызываются сетевыми вторжениями: отказ обслуживания (DDoS), интернет-черви, сканирование, несанкционированный доступ (спам), а также сбоями (отказами) аппаратного обеспечения сети, некорректными действиями легитимных пользователей.
Из-за постоянного роста числа известных фактов нарушения целостности и доступности информации в облачной среде, возникает необходимость разработки принципиально иных подходов к обеспечению ИБ, позволяющих обнаруживать аномалии неизвестных ранее типов в условиях ограничения на потребляемые ресурсы.
Одним из наиболее перспективных направлений развития систем обнаружения аномалий в условиях новых требований считается использование искусственных иммунных систем (artificial immune system - AIS), основанных на принципах иммунной системы человека. Использование AIS обеспечивает свойства, характерные иммунной системе человека,
