Научная статья на тему 'Использование технических индикаторов для выявления инсайдерских угроз'

Использование технических индикаторов для выявления инсайдерских угроз Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY-NC
216
44
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ВНУТРЕННИЕ УГРОЗЫ / ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / ИНСАЙДЕР / ОБНАРУЖЕНИЕ ИНСАЙДЕРОВ / ИНДИКАТОР / СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ / МОНИТОРИНГ / ИНСАЙДЕРСКИЕ УГРОЗЫ / ПОДОЗРИТЕЛЬНЫЕ ДЕЙСТВИЯ / РАБОТНИКИ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Поляничко Марк Александрович

Обнаружение инсайдерских угроз и противодействие им – сложная задача, с которой сталкиваются специалисты в области информационной безопасности как в коммерческом секторе, так и в государственных организациях. Современные организации зависят от информационных технологий и своих информационных активов, что делает проблему противостояния инсайдерам всё более актуальной. Выявление инсайдеров может осуществляться путем внедрения комплекса как технических, так и организационных мер. В статье предлагается использование данных из журналов работы программных средств защиты информации и других средств мониторинга для выявления инсайдерских угроз и выделяется набор индикаторов, указывающих на наличие подозрительных действий работников. Предложенный в статье набор технических индикаторов (показателей) может быть использован для построения системы логических правил или правил нечеткого вывода, позволяющих осуществлять выявление инсайдеров в организации. Внедрение механизмов анализа предложенных индикаторов позволит повысить эффективность работы администратора информационной безопасности и позволит предотвращать инциденты, связанные с реализацией инсайдерских угроз.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Использование технических индикаторов для выявления инсайдерских угроз»

Использование технических индикаторов для выявления инсайдерских угроз

Поляничко Марк Александрович

кандидат технических наук

доцент, кафедра Информатика и информационная безопасность, Петербургский государственный

университет путей сообщения Императора Александра I

190031, Россия, Санкт-Петербург область, г. Санкт-Петербург, ул. Мзсковский, 9

И polyanichko@pgups.ru

Статья из рубрики "Актуальный вопрос"

Аннотация.

Обнаружение инсайдерских угроз и противодействие им - сложная задача, с которой сталкиваются специалисты в области информационной безопасности как в коммерческом секторе, так и в государственных организациях. Современные организации зависят от информационных технологий и своих информационных активов, что делает проблему противостояния инсайдерам всё более актуальной. Выявление инсайдеров может осуществляться путем внедрения комплекса как технических, так и организационных мер. В статье предлагается использование данных из журналов работы программных средств защиты информации и других средств мониторинга для выявления инсайдерских угроз и выделяется набор индикаторов, указывающих на наличие подозрительных действий работников. Предложенный в статье набор технических индикаторов (показателей) может быть использован для построения системы логических правил или правил нечеткого вывода, позволяющих осуществлять выявление инсайдеров в организации. Внедрение механизмов анализа предложенных индикаторов позволит повысить эффективность работы администратора информационной безопасности и позволит предотвращать инциденты, связанные с реализацией инсайдерских угроз.

Ключевые слова: внутренние угрозы, информационная безопасность, инсайдер, обнаружение инсайдеров, индикатор, средства защиты информации, мониторинг, инсайдерские угрозы, подозрительные действия, работники

DOI:

10.25136/2306-4196.2018.6.27970

Дата направления в редакцию:

24-11-2018

Дата рецензирования:

24-11-2018

Инсайдерские угрозы является одной из самых больших проблем информационной защиты, так как они выходят на передний план на фоне совершенствования криптографических методов, аппаратных и программных средств защиты информации. Данные угрозы сложно поддаются анализу в силу непредсказуемости человеческого поведения и не могут быть нивелированы полностью. Тем не менее, применение совокупности организационных, профилактических и технических мер может существенно снизить риск данных угроз. Обеспечение информационной безопасности от инсайдерских угроз требует совершенствования как программных средств защиты информации, так и решения организационных проблем и внедрения процессов управления информационной безопасностью, ориентированных на инсайдерские угрозы. Традиционные методы защиты и более совершенная защита от устойчивых продвинутых угроз (advanced persistent threat) на основе сбора данных неэффективны против

инсайдеров-злоумышленников ^^ В контексте данного исследования, инсайдер - это работник организации (как действующие, так и уволенные), деловые партнеры и подрядчики, имеющие доступ к информационным активам и системам организации или располагающие знаниями об используемых в организации методах и средствах обеспечения безопасности, которому предоставлены определённые права доступа. Подразумевается, что такие пользователи могут злоупотреблять своими привилегиями и, таким образом, нарушить конфиденциальность и целостность данных. Также допускается, что «пользователем» может быть какой-то компьютерный объект - процесс, агент или система - предположительно, но совсем необязательно, действующий от имени конкретных пользователей. Инсайдеры представляют большую опасность для организации, так как могут продолжительное время действовать незаметно, совершать акты мошенничества, красть конфиденциальную информацию и интеллектуальную собственность или нарушать работу информационных систем. Статистика показывает, что число инцидентов информационной безопасности, связанных с действиями инсайдеров

растет —а внедрение корпоративных информационных систем ^^ мобильных приложений, мессенджеров, социальных сетей и облачных систем хранения данных в рабочие процессы современных организаций открывают новые возможности для реализации внутренних угроз информационной безопасности.

Современные программные средства защиты информации, как правило, ориентированы на защиту информационных активов и редко на обнаружение аномалий в поведении

работников [4, 10]. Тем не менее, системы управления информационной безопасностью и другие программные средства обеспечения информационной безопасности могут быть

использованы для выявления инсайдерских угроз 12].

Имеются различные показатели, получаемые из систем журналирования программных средств защиты информации, которые могут быть использованы для обнаружения

инсайдерских действий ^^ К ним относятся данные об аутентификации, изменении данных, сетевой активности, получении доступа к ресурсам, активности вредоносного программного обеспечения и системных ошибках. Для обнаружения подозрительной активности администраторы информационной безопасности могут использовать следующие программные средства защиты информации в качестве источников информации:

- SIEM-системы: решения, которые осуществляют мониторинг информационных систем, анализируют события безопасности в реальном времени, исходящие от сетевых устройств, средств защиты информации, ИТ-сервисов, инфраструктуры систем и приложений liil. Входной информацией для SIEM-систем может служить практически

любая информация.

- Средства управления доступом и аутентификации: применяются для управления и мониторинга доступа к информационным системам и использования привилегий.

- DLP-системы: сведения о попытках инсайдерских утечек, нарушении прав доступа.

- IDS/IPS-системы: несут данные о сетевых атаках, изменениях конфигурации и доступа к устройствам.

- Антивирусные приложения: генерируют события о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносном коде.

- Журналы событий серверов и рабочих станций: применяются для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности.

- Межсетевые экраны: сведения об атаках, вредоносном программном обеспечении и прочих угрозах информационной безопасности.

- Сетевое активное оборудование: используется для контроля доступа, учета сетевого трафика.

- Сканеры уязвимостей: данные об инвентаризации активов, сервисов, программного обеспечения, уязвимостей, поставка инвентаризационных данных и топологической структуры.

- Системы инвентаризации и asset-management: поставляют данные для контроля активов в инфраструктуре и выявления новых.

- Системы веб-фильтрации. Предоставляют данные о посещении сотрудниками подозрительных или запрещенных веб-сайтов.

Исходя из вышесказанного, в качестве технических индикаторов (количественных и качественных), которые могут указывать на наличие инсайдерской угрозы могут быть использованы индикаторы, связанные со следующими событиями:

1. Печать документов

- Увеличение количества выводимых на печать документов

- Выполнение печати в нерабочее время

- Удаленная печать

- Печать документов, запрещенных для копирования

- Печать больших документов

2. Поисковые запросы

- Увеличение количества запросов

- Осуществление поиска в нерабочее время

- Запросы из черного списка

- Прямой доступ к базе данных

- Запросы на странные темы

- Высокое количество уникальных запросов

3. Осуществление доступа

- Высокое использование одного 1Р адреса для доступа

- Доступ в нерабочее время

- Доступ к запрещенным ресурсам

- Попытки получения администраторского доступа

4. Скачивание информации

- Увеличение количества скачиваемой информации

- Скачивание информации в нерабочее время

- Скачивание с удаленных серверов

- Скачивание документов, запрещенных для копирования

- Скачивание больших файлов

5. Использование браузера

- Частое обращение к одному и тому же ресурсу

- Использование браузера в нерабочее время

- Просмотр запрещенных ресурсов

- Просмотр большого количества документов

Для формирования значений приведенных показателей предлагается использовать математический аппарат нечетких множеств и лингвистические переменные, так как они позволяют оперировать непрерывно изменяющимися во времени динамическими входными данными, перейти к единой качественной шкале измерений и проводить качественную оценку как входных данных, так и выходных результатов. Лингвистическая переменная - в теории нечётких множеств, это переменная, которая может принимать значения фраз из естественного или искусственного языка [7, 13].

Лингвистической переменной называется набор

,

где Ь - имя лингвистической переменной,

Т - множество значений, которые представляют собой имена нечетких переменных, областью определения каждой переменной является множество X;

G - синтаксическая процедура, позволяющая оперировать элементами терм-множества Т и создавать новые термы

(значения). Множество ^и где С ( Т ) I множество

полученных термов, называется расширенным терм-множеством лингвистической переменной;

М - математическое правило, определяющее класс функции

принадлежности для значений из множества Т .

Для описания лингвистических переменных предлагается использовать функции принадлежности L -класса, р -класса, Б - класса, t - класса и д -класса

!0,для х < а 2 {^)\Дляа<х < Ь

,

где Б ( х ; а , Ь , с ) - функция принадлежности S-класса;

Функция S-класса применяется в случае, если возрастание какого-то показателя увеличивает его функцию принадлежности к множеству.

п(_х; Ь, с)

s с — Ь, с — c'j , для х < с

,

где р ( х ; Ь , с ) - функция принадлежности р -класса;

Функция р-класса применима в том случае, если изменение значения показателя сначала увеличивает значение функции принадлежности, а затем его уменьшает.

где L ( х ; а , Ь ) - функция принадлежностиL -класса;

ФункцияL -класса применяется, если значение функции принадлежности не информативно в каком-то диапазоне значения показателя.

где t ( х ; а , Ь , с ) - функция принадлежности t -класса;

В некоторых случаях, функция принадлежности класса t может быть альтернативой по отношению к функции класса р.

где g ( x ; a , b ) - функция принадлежности g -класса;

Ниже рассмотрены примеры технических показателей выявления инсайдерских угроз. На рисунке 1 изображена лингвистическая переменная «Pr/'ntBursts », характеризующая увеличение количества документов, выводимых на печать. Технический показатель увеличения объема печати описывается тремя термами «low », «medium » и «h/'gh ». Данный показатель измеряется в процентах, относительно среднего объема печати данного сотрудника за предыдущий период. В случае, если количество выводимых на печать документов увеличилось до 25%, то считается, что происходит небольшое

увеличение печати, которое не имеет большой смысл относить к подозрительному поведению. Увеличение свыше 50%, то есть более чем в полтора раза считается подозрительным. Средний диапазон считается областью среднего риска и решение о необходимости дополнительного анализа поведения остается за администратором безопасности.

(PJ,XfGfM)i

где b = « PrintBursts » ,

Т = { «low », «medium », «high »};

X = [0.1001

G = {/E };

I = {"]0w"= L (x, 2 5,5 0); "medium" = t(x,25f50f75);"high" = fix, 50,75)}

Рисунок 1 - Лингвистическая переменная «PrintBursts »

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

На рисунке 2 изображен график лингвистической переменной «PrintSusTiming ». Технический показатель выполнения печати в нерабочее время описывается тремя термами «low », «medium » и «high ». Данный показатель измеряется в часах, прошедших относительно окончания официального рабочего времени. В работе при создании переменной использовался стандартный восьмичасовой рабочий день (с 8.30 до 17.30). В случае, если сотрудник выполняет печать в течение трех часов с момента окончания рабочего дня, то такое поведение слабо относится к подозрительному, так как задержки на работе являются распространённым явлением. Самым подозрительным временем печати является ночное время, то есть спустя 12-14 часов после окончания рабочего дня. При этом по мере приближения времени к началу следующего рабочего дня значение показателя снижается, так как сотрудники часто приезжают на работу немного заранее.

{,8,T,X,G,M)f

где b = « PrintSusTiming » ,

Т = { «low », «medium », «high »};

X = [0.161

G = {/E };

I = {"low"= L(x, 0,3 ); "medium" = t(x, 2.5,4,8);"high" = ^x, 14,16)}

Рисунок 2 - Лингвистическая переменная «Pr/ntSusT/m/ng »

На рисунке 3 изображен график лингвистической переменной «QueryЖghDistCnt». Технический показатель наличия поисковых запросов на странные темы описывается двумя термами «/о^ » и ». Данный показатель измеряется в процентах,

относительно среднего объема запросов, выполняемых пользователем. В случае, если объем уникальных запросов от общего объема запросов не превышает 25%, то относить данный факт к подозрительному поведению не имеет смысла. Возрастание количества уникальных запросов до 30% и выше может свидетельствовать о том, что пользователь собирает информацию компании или компьютер пользователя заражен вредоносным

программным обеспечением, которое выполняет автоматизированный поиск.

,

где Ь = « QueryHighDistCnt» , Т = { «/о^ », »};

х = [0.1007

С = {/Е };

I = {"1ош"= Цх, 25,50);"?»^" = 5(х, 0,25,80)}

^ifSlESt

Г 'X 'У А IV- - Ж 4 Б % 7

ь™ кг. high

НЕ Hi 01 90 (»85

J \

ь 1« J s » _1И» л 100

Рисунок 3 - Лингвистическая переменная «QueryHighDistCnt»

Анализ данных показателей может выявить потенциально опасные инсайдерские действия, такие как осуществление доступа в нерабочее время, печать или скачивание больших объемов информации, обращение к информации, не требуемой для выполнения должностных обязанностей и д.р.

Заключение

Предложенный набор технических индикаторов (показателей) может быть использован для построения системы логических правил или правил нечеткого вывода, позволяющих осуществлять выявление инсайдеров в организации. Внедрение механизмов анализа предложенных индикаторов позволит повысить эффективность работы администратора информационной безопасности и позволит предотвращать инциденты, связанные с

реализацией инсайдерских угроз и уменьшить время, требуемое для выявления их наличия.

Библиография

1. Insider Threat Report: 2018 - CA Technologies // CA Technologies URL:

https ://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf (дата обращения: 18.07.2018).

2. Kauh J. [и др.]. Indicator-based behavior ontology for detecting insider threats in network systems // KSII Transactions on Internet and Information Systems. 2017. № 10 (11). C. 5062-5079.

3. Smith J.A., Holloway R. Mitigating cyber threat from malicious insiders 2014. C. 1-8.

4. Thomas Georg, Patrick D., Meier M. Ethical issues of user behavioral analysis through machine learning // Journal of Information System Security. 2017. № 1 (13). C. 3-17.

5. Verizon 2015 Data Breach Investigations Report // Information Security. 2015. C. 170.

6. Аникин И.В. Управление внутренними рисками информационной безопасности корпоративных информационных сетей // Научно-технические ведомости СПбГПУ. Информатика. Телекоммуникации. Управление. 2009. №3 (80).

7. Заде Л. Понятие лингвистической переменной и его применение к принятию приближенных решений. — М.: Мир, 1976.

8. Кофман А. Введение в теорию нечетких множеств. — М.: Радио и связь, 1982. — 432 c.

9. Поляничко М.А., Королев А.И. Подход к выявлению инсайдерских угроз в организации // Естественные и технические науки. 2018. - №9., Выпуск (123). -2018 - с. 152 - 154.

10. Поляничко М.А. Современное состояние методов обнаружения и противодействия инсайдерским угрозам информационной безопасности // Colloquium-Journal. 2018. № 9-1 (20). C. 44-46.

11. Поляничко М.А., Пунанова К.В. Основные проблемы практического применения человеко-ориентированного подхода к обеспечению информационной безопасности // «Фундаментальные и прикладные разработки в области технических и физико-математических наук» Сборник научных статей по итогам работы третьего международного круглого стола. - М.: Общество с ограниченной ответственностью «КОНВЕРТ». 2018. C. 57-60.

12. Поляничко М.А. Основные меры противодействия инсайдерским угрозам информационной безопасности // «Фундаментальные и прикладные разработки в области технических и физико-математических наук» Сборник научных статей по итогам работы третьего международного круглого стола. - М.: Общество с ограниченной ответственностью «КОНВЕРТ». 2018. C. 43-46.

13. Рутковская Д., Пилиньский М., Рутковский Л. Нейронные сети, генетические алгоритмы и нечеткие системы: Пер. с польск. И.Д. Рудинского, Том 452. — Москва: Горячая линия-Телеком, 2006.

14. Что такое SIEM - системы и для чего они нужны? // ANTI - MALWARE [Электронный ресурс]. URL: https://www.anti-malware.ru/analytics/Technology_Analysis/Popular-SIEM-Starter-Use- Cases (дата обращения: 25.07.2018).

i Надоели баннеры? Вы всегда можете отключить рекламу.