Использование технических индикаторов для выявления инсайдерских угроз
Поляничко Марк Александрович
кандидат технических наук
доцент, кафедра Информатика и информационная безопасность, Петербургский государственный
университет путей сообщения Императора Александра I
190031, Россия, Санкт-Петербург область, г. Санкт-Петербург, ул. Мзсковский, 9
И polyanichko@pgups.ru
Статья из рубрики "Актуальный вопрос"
Аннотация.
Обнаружение инсайдерских угроз и противодействие им - сложная задача, с которой сталкиваются специалисты в области информационной безопасности как в коммерческом секторе, так и в государственных организациях. Современные организации зависят от информационных технологий и своих информационных активов, что делает проблему противостояния инсайдерам всё более актуальной. Выявление инсайдеров может осуществляться путем внедрения комплекса как технических, так и организационных мер. В статье предлагается использование данных из журналов работы программных средств защиты информации и других средств мониторинга для выявления инсайдерских угроз и выделяется набор индикаторов, указывающих на наличие подозрительных действий работников. Предложенный в статье набор технических индикаторов (показателей) может быть использован для построения системы логических правил или правил нечеткого вывода, позволяющих осуществлять выявление инсайдеров в организации. Внедрение механизмов анализа предложенных индикаторов позволит повысить эффективность работы администратора информационной безопасности и позволит предотвращать инциденты, связанные с реализацией инсайдерских угроз.
Ключевые слова: внутренние угрозы, информационная безопасность, инсайдер, обнаружение инсайдеров, индикатор, средства защиты информации, мониторинг, инсайдерские угрозы, подозрительные действия, работники
DOI:
10.25136/2306-4196.2018.6.27970
Дата направления в редакцию:
24-11-2018
Дата рецензирования:
24-11-2018
Инсайдерские угрозы является одной из самых больших проблем информационной защиты, так как они выходят на передний план на фоне совершенствования криптографических методов, аппаратных и программных средств защиты информации. Данные угрозы сложно поддаются анализу в силу непредсказуемости человеческого поведения и не могут быть нивелированы полностью. Тем не менее, применение совокупности организационных, профилактических и технических мер может существенно снизить риск данных угроз. Обеспечение информационной безопасности от инсайдерских угроз требует совершенствования как программных средств защиты информации, так и решения организационных проблем и внедрения процессов управления информационной безопасностью, ориентированных на инсайдерские угрозы. Традиционные методы защиты и более совершенная защита от устойчивых продвинутых угроз (advanced persistent threat) на основе сбора данных неэффективны против
инсайдеров-злоумышленников ^^ В контексте данного исследования, инсайдер - это работник организации (как действующие, так и уволенные), деловые партнеры и подрядчики, имеющие доступ к информационным активам и системам организации или располагающие знаниями об используемых в организации методах и средствах обеспечения безопасности, которому предоставлены определённые права доступа. Подразумевается, что такие пользователи могут злоупотреблять своими привилегиями и, таким образом, нарушить конфиденциальность и целостность данных. Также допускается, что «пользователем» может быть какой-то компьютерный объект - процесс, агент или система - предположительно, но совсем необязательно, действующий от имени конкретных пользователей. Инсайдеры представляют большую опасность для организации, так как могут продолжительное время действовать незаметно, совершать акты мошенничества, красть конфиденциальную информацию и интеллектуальную собственность или нарушать работу информационных систем. Статистика показывает, что число инцидентов информационной безопасности, связанных с действиями инсайдеров
растет —а внедрение корпоративных информационных систем ^^ мобильных приложений, мессенджеров, социальных сетей и облачных систем хранения данных в рабочие процессы современных организаций открывают новые возможности для реализации внутренних угроз информационной безопасности.
Современные программные средства защиты информации, как правило, ориентированы на защиту информационных активов и редко на обнаружение аномалий в поведении
работников [4, 10]. Тем не менее, системы управления информационной безопасностью и другие программные средства обеспечения информационной безопасности могут быть
использованы для выявления инсайдерских угроз 12].
Имеются различные показатели, получаемые из систем журналирования программных средств защиты информации, которые могут быть использованы для обнаружения
инсайдерских действий ^^ К ним относятся данные об аутентификации, изменении данных, сетевой активности, получении доступа к ресурсам, активности вредоносного программного обеспечения и системных ошибках. Для обнаружения подозрительной активности администраторы информационной безопасности могут использовать следующие программные средства защиты информации в качестве источников информации:
- SIEM-системы: решения, которые осуществляют мониторинг информационных систем, анализируют события безопасности в реальном времени, исходящие от сетевых устройств, средств защиты информации, ИТ-сервисов, инфраструктуры систем и приложений liil. Входной информацией для SIEM-систем может служить практически
любая информация.
- Средства управления доступом и аутентификации: применяются для управления и мониторинга доступа к информационным системам и использования привилегий.
- DLP-системы: сведения о попытках инсайдерских утечек, нарушении прав доступа.
- IDS/IPS-системы: несут данные о сетевых атаках, изменениях конфигурации и доступа к устройствам.
- Антивирусные приложения: генерируют события о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносном коде.
- Журналы событий серверов и рабочих станций: применяются для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности.
- Межсетевые экраны: сведения об атаках, вредоносном программном обеспечении и прочих угрозах информационной безопасности.
- Сетевое активное оборудование: используется для контроля доступа, учета сетевого трафика.
- Сканеры уязвимостей: данные об инвентаризации активов, сервисов, программного обеспечения, уязвимостей, поставка инвентаризационных данных и топологической структуры.
- Системы инвентаризации и asset-management: поставляют данные для контроля активов в инфраструктуре и выявления новых.
- Системы веб-фильтрации. Предоставляют данные о посещении сотрудниками подозрительных или запрещенных веб-сайтов.
Исходя из вышесказанного, в качестве технических индикаторов (количественных и качественных), которые могут указывать на наличие инсайдерской угрозы могут быть использованы индикаторы, связанные со следующими событиями:
1. Печать документов
- Увеличение количества выводимых на печать документов
- Выполнение печати в нерабочее время
- Удаленная печать
- Печать документов, запрещенных для копирования
- Печать больших документов
2. Поисковые запросы
- Увеличение количества запросов
- Осуществление поиска в нерабочее время
- Запросы из черного списка
- Прямой доступ к базе данных
- Запросы на странные темы
- Высокое количество уникальных запросов
3. Осуществление доступа
- Высокое использование одного 1Р адреса для доступа
- Доступ в нерабочее время
- Доступ к запрещенным ресурсам
- Попытки получения администраторского доступа
4. Скачивание информации
- Увеличение количества скачиваемой информации
- Скачивание информации в нерабочее время
- Скачивание с удаленных серверов
- Скачивание документов, запрещенных для копирования
- Скачивание больших файлов
5. Использование браузера
- Частое обращение к одному и тому же ресурсу
- Использование браузера в нерабочее время
- Просмотр запрещенных ресурсов
- Просмотр большого количества документов
Для формирования значений приведенных показателей предлагается использовать математический аппарат нечетких множеств и лингвистические переменные, так как они позволяют оперировать непрерывно изменяющимися во времени динамическими входными данными, перейти к единой качественной шкале измерений и проводить качественную оценку как входных данных, так и выходных результатов. Лингвистическая переменная - в теории нечётких множеств, это переменная, которая может принимать значения фраз из естественного или искусственного языка [7, 13].
Лингвистической переменной называется набор
,
где Ь - имя лингвистической переменной,
Т - множество значений, которые представляют собой имена нечетких переменных, областью определения каждой переменной является множество X;
G - синтаксическая процедура, позволяющая оперировать элементами терм-множества Т и создавать новые термы
(значения). Множество ^и где С ( Т ) I множество
полученных термов, называется расширенным терм-множеством лингвистической переменной;
М - математическое правило, определяющее класс функции
принадлежности для значений из множества Т .
Для описания лингвистических переменных предлагается использовать функции принадлежности L -класса, р -класса, Б - класса, t - класса и д -класса
!0,для х < а 2 {^)\Дляа<х < Ь
,
где Б ( х ; а , Ь , с ) - функция принадлежности S-класса;
Функция S-класса применяется в случае, если возрастание какого-то показателя увеличивает его функцию принадлежности к множеству.
п(_х; Ь, с)
s с — Ь, с — c'j , для х < с
,
где р ( х ; Ь , с ) - функция принадлежности р -класса;
Функция р-класса применима в том случае, если изменение значения показателя сначала увеличивает значение функции принадлежности, а затем его уменьшает.
где L ( х ; а , Ь ) - функция принадлежностиL -класса;
ФункцияL -класса применяется, если значение функции принадлежности не информативно в каком-то диапазоне значения показателя.
где t ( х ; а , Ь , с ) - функция принадлежности t -класса;
В некоторых случаях, функция принадлежности класса t может быть альтернативой по отношению к функции класса р.
где g ( x ; a , b ) - функция принадлежности g -класса;
Ниже рассмотрены примеры технических показателей выявления инсайдерских угроз. На рисунке 1 изображена лингвистическая переменная «Pr/'ntBursts », характеризующая увеличение количества документов, выводимых на печать. Технический показатель увеличения объема печати описывается тремя термами «low », «medium » и «h/'gh ». Данный показатель измеряется в процентах, относительно среднего объема печати данного сотрудника за предыдущий период. В случае, если количество выводимых на печать документов увеличилось до 25%, то считается, что происходит небольшое
увеличение печати, которое не имеет большой смысл относить к подозрительному поведению. Увеличение свыше 50%, то есть более чем в полтора раза считается подозрительным. Средний диапазон считается областью среднего риска и решение о необходимости дополнительного анализа поведения остается за администратором безопасности.
(PJ,XfGfM)i
где b = « PrintBursts » ,
Т = { «low », «medium », «high »};
X = [0.1001
G = {/E };
I = {"]0w"= L (x, 2 5,5 0); "medium" = t(x,25f50f75);"high" = fix, 50,75)}
Рисунок 1 - Лингвистическая переменная «PrintBursts »
На рисунке 2 изображен график лингвистической переменной «PrintSusTiming ». Технический показатель выполнения печати в нерабочее время описывается тремя термами «low », «medium » и «high ». Данный показатель измеряется в часах, прошедших относительно окончания официального рабочего времени. В работе при создании переменной использовался стандартный восьмичасовой рабочий день (с 8.30 до 17.30). В случае, если сотрудник выполняет печать в течение трех часов с момента окончания рабочего дня, то такое поведение слабо относится к подозрительному, так как задержки на работе являются распространённым явлением. Самым подозрительным временем печати является ночное время, то есть спустя 12-14 часов после окончания рабочего дня. При этом по мере приближения времени к началу следующего рабочего дня значение показателя снижается, так как сотрудники часто приезжают на работу немного заранее.
{,8,T,X,G,M)f
где b = « PrintSusTiming » ,
Т = { «low », «medium », «high »};
X = [0.161
G = {/E };
I = {"low"= L(x, 0,3 ); "medium" = t(x, 2.5,4,8);"high" = ^x, 14,16)}
Рисунок 2 - Лингвистическая переменная «Pr/ntSusT/m/ng »
На рисунке 3 изображен график лингвистической переменной «QueryЖghDistCnt». Технический показатель наличия поисковых запросов на странные темы описывается двумя термами «/о^ » и ». Данный показатель измеряется в процентах,
относительно среднего объема запросов, выполняемых пользователем. В случае, если объем уникальных запросов от общего объема запросов не превышает 25%, то относить данный факт к подозрительному поведению не имеет смысла. Возрастание количества уникальных запросов до 30% и выше может свидетельствовать о том, что пользователь собирает информацию компании или компьютер пользователя заражен вредоносным
программным обеспечением, которое выполняет автоматизированный поиск.
,
где Ь = « QueryHighDistCnt» , Т = { «/о^ », »};
х = [0.1007
С = {/Е };
I = {"1ош"= Цх, 25,50);"?»^" = 5(х, 0,25,80)}
^ifSlESt
Г 'X 'У А IV- - Ж 4 Б % 7
ь™ кг. high
НЕ Hi 01 90 (»85
J \
ь 1« J s » _1И» л 100
Рисунок 3 - Лингвистическая переменная «QueryHighDistCnt»
Анализ данных показателей может выявить потенциально опасные инсайдерские действия, такие как осуществление доступа в нерабочее время, печать или скачивание больших объемов информации, обращение к информации, не требуемой для выполнения должностных обязанностей и д.р.
Заключение
Предложенный набор технических индикаторов (показателей) может быть использован для построения системы логических правил или правил нечеткого вывода, позволяющих осуществлять выявление инсайдеров в организации. Внедрение механизмов анализа предложенных индикаторов позволит повысить эффективность работы администратора информационной безопасности и позволит предотвращать инциденты, связанные с
реализацией инсайдерских угроз и уменьшить время, требуемое для выявления их наличия.
Библиография
1. Insider Threat Report: 2018 - CA Technologies // CA Technologies URL:
https ://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf (дата обращения: 18.07.2018).
2. Kauh J. [и др.]. Indicator-based behavior ontology for detecting insider threats in network systems // KSII Transactions on Internet and Information Systems. 2017. № 10 (11). C. 5062-5079.
3. Smith J.A., Holloway R. Mitigating cyber threat from malicious insiders 2014. C. 1-8.
4. Thomas Georg, Patrick D., Meier M. Ethical issues of user behavioral analysis through machine learning // Journal of Information System Security. 2017. № 1 (13). C. 3-17.
5. Verizon 2015 Data Breach Investigations Report // Information Security. 2015. C. 170.
6. Аникин И.В. Управление внутренними рисками информационной безопасности корпоративных информационных сетей // Научно-технические ведомости СПбГПУ. Информатика. Телекоммуникации. Управление. 2009. №3 (80).
7. Заде Л. Понятие лингвистической переменной и его применение к принятию приближенных решений. — М.: Мир, 1976.
8. Кофман А. Введение в теорию нечетких множеств. — М.: Радио и связь, 1982. — 432 c.
9. Поляничко М.А., Королев А.И. Подход к выявлению инсайдерских угроз в организации // Естественные и технические науки. 2018. - №9., Выпуск (123). -2018 - с. 152 - 154.
10. Поляничко М.А. Современное состояние методов обнаружения и противодействия инсайдерским угрозам информационной безопасности // Colloquium-Journal. 2018. № 9-1 (20). C. 44-46.
11. Поляничко М.А., Пунанова К.В. Основные проблемы практического применения человеко-ориентированного подхода к обеспечению информационной безопасности // «Фундаментальные и прикладные разработки в области технических и физико-математических наук» Сборник научных статей по итогам работы третьего международного круглого стола. - М.: Общество с ограниченной ответственностью «КОНВЕРТ». 2018. C. 57-60.
12. Поляничко М.А. Основные меры противодействия инсайдерским угрозам информационной безопасности // «Фундаментальные и прикладные разработки в области технических и физико-математических наук» Сборник научных статей по итогам работы третьего международного круглого стола. - М.: Общество с ограниченной ответственностью «КОНВЕРТ». 2018. C. 43-46.
13. Рутковская Д., Пилиньский М., Рутковский Л. Нейронные сети, генетические алгоритмы и нечеткие системы: Пер. с польск. И.Д. Рудинского, Том 452. — Москва: Горячая линия-Телеком, 2006.
14. Что такое SIEM - системы и для чего они нужны? // ANTI - MALWARE [Электронный ресурс]. URL: https://www.anti-malware.ru/analytics/Technology_Analysis/Popular-SIEM-Starter-Use- Cases (дата обращения: 25.07.2018).