41III Международная научно-практическая конференция УДК 004.056
Щипцов Даниил Игоревич, Федоров Валерий Алексеевич Shchiptsov Daniil Igorevich, Fedorov Valeriy Alekseevich
Магистрант Master's degree student
Санкт-Петербургский государственный университет телекоммуникаций
им. проф. М. А. Бонч-Бруевича, Санкт-Петербург The Bonch-Bruevich Saint-Petersburg State University of Telecommunications
КЛАССИФИКАЦИЯ И СПОСОБЫ ОБНАРУЖЕНИЯ ИНСАЙДЕРСКИХ
УГРОЗ В КОМПЬЮТЕРНЫХ СЕТЯХ
CLASSIFICATION AND METHODS OF DETECTING INSIDER THREATS
IN COMPUTER NETWORKS
Аннотация. Одной из главных угроз безопасности организаций стала инсайдерская угроза. В данной статье рассмотрены современные типы инсайдеров, включая их уровень доступа, профили и мотивацию. Также приведены способы обнаружения инсайдерских угроз и приведен обзор исследований по обнаружению инсайдерских угроз с помощью систем анализа поведения.
Abstract. One of the main threats to the security of organizations has become the insider threat. This article discusses current types of insiders, including their level of access, profiles, and motivations. It also describes how to detect insider threats and gives an overview of research on insider threat detection using behavior analysis systems.
Ключевые слова: кибербезопасность, инсайдерские угрозы, обнаружение инсайдерских угроз.
Keywords: cybersecurity, insider threats, insider threat detection.
Современную жизнь сложно представить без информационного взаимодействия, затрагивающего как отдельных членов общества, так и крупные организаций, в том числе реализующие интересы целого государства. Увеличение объема ценной информации наряду с развитием технологий привело к увеличению числа угроз. Источники этих угроз появляются не только извне, но и внутри организации. Такие угрозы сопряжены с большим риском для
68
Инновационные аспекты развития науки и техники безопасности и их трудно обнаружить [1, с. 1]. Инсайдерские угрозы могут
нанести критический ущерб репутации, финансовым активам и
интеллектуальной собственности предприятий. Чтобы противостоять
вредоносным инсайдерам, организации должны иметь систему обнаружения
инсайдерских угроз, способную обнаруживать и смягчать воздействие
вредоносных инсайдеров до того, как они нанесут непоправимый вред.
Инсайдеры. Доступ инсайдеров. По своей природе инсайдеры имеют санкционированный сетевой доступ, физический или оба, что позволяет им представлять угрозу. Физический доступ описывает злоумышленников, которые злоупотребляют системами данных, используя физический доступ для проникновения в систему организации или кражи устройств. Сетевой доступ включает в себя злоумышленников, которые злоупотребляют своим доступом к данным организации.
Типы и методы инсайдеров. Инсайдеры делятся на три типа: предатель, притворщик и непреднамеренный инсайдер. Предатели составляют основную категорию и большинство угроз исходит от этого типа инсайдеров.
Предатели - пользователи внутри организации, им не нужно маскироваться. Используют свои привилегии доступа для злоупотребления системами организации.
Притворщик - это внешний злоумышленник, который крадёт законную идентификацию и использует украденную идентификацию, чтобы выдать себя за инсайдера.
Непреднамеренный тип относится к действующему сотруднику, который непреднамеренно наносит вред или увеличивает вероятность причинения вреда организации в будущем. Для того чтобы связать тип инсайдера с угрозой или методом, использованным для осуществления атаки, Liu и др. [2, с. 1397] ввели таксономию, которая сопоставляет тип инсайдера с используемыми методами или угрозами, которые он представляет. На рисунке 1 показаны детали.
III Международная научно-практическая конференция
Рис. 1. Типы и методы инсайдеров
Мотивация инсайдеров. Определение мотивации инсайдеров имеет большое значение для облегчения обнаружения, внедрение соответствующих стратегий смягчения последствий и создания возможностей для проведения криминалистической экспертизы. Cole and Ring [3, с. 67] разделили мотивацию на три основных категории. Финансовая мотивация является чрезвычайно мощным фактором, который заставляет некоторых людей действовать так, как никто не думал, что это возможно. Другая мотивация, которая движет людьми, -это их политические взгляды; они очень сильно чувствуют свои взгляды, и если компания работает против их интересов, это может быть сильной причиной, которая заставляет сотрудника причинить вред компании или сотрудничать с посторонними лицами, чтобы навредить организации. Существует также личная мотивация - этот тип мотивации может иметь несколько форм или размеров, но в основном, он приходит в форме шантажа.
Инсайдерское профилирование. На основе работы [4, с. 322] инсайдерское профилирование подразделяется на четыре категории: саботаж, хищение (интеллектуальной собственности), мошенничество и шпионаж. Вредоносный инсайдер использует информационные технологии для саботажа или нанесения особого вреда организации или физическому лицу. Такие злоумышленники-инсайдеры в основном являются недовольными сотрудниками, обладающими техническими знаниями и авторизованным доступом. Кража интеллектуальной собственности - это случай, когда злоумышленники-инсайдеры крадут интеллектуальную собственность, к
Инновационные аспекты развития науки и техники которой они имеют доступ во время повседневной работы, и забирают данные с
собой за пределы организации. Под мошенничеством понимается использование
санкционированного доступа для неправомерного использования финансовых
ресурсов организации. Наконец, под шпионажем понимается систематическое и
целенаправленное извлечение корпоративной информации инсайдером.
Уровень инсайдера. В соответствии с привилегиями уровня доступа злоумышленники были разделены на четыре категории: чистый инсайдер, инсайдер-партнер, инсайдер-сотрудник и внешний партнер [3, с. 201]. Первая категория относится к пользователям с авторизованным доступом и ключами от дата-центров организации. Пользователь имеет доступ ко всей информации о логической или физической структуре данных и права доступа к ним. По сравнению с чистыми инсайдерами, инсайдеры-партнеры не имеют ни оснований, ни прав доступа к ресурсам компании. Инсайдерами-партнерами могут быть друзья, родственники или клиенты компании. Инсайдер-сотрудник не работает в компании, но вместо сетевого доступа может иметь физический доступ в компанию. Внешние партнеры не являются частью организации и не имеют законного доступа к ресурсам организации. Однако они могут пытаться получить доступ к ресурсам через незащищенные сети.
Обнаружение инсайдерских угроз. Существует несколько способов для выявления или категорирования инсайдеров по следующим категориям:
- системы User and Entity Behavioral Analytics (UBA/UEBA)
- SIEM системы и системы обнаружения атак и противодействия атакам;
- machine-learning алгоритмы;
- rule-based архитектуры;
- решения, основанные на технологиях анализа Больших данных
В данной статье подробно рассмотрена категория систем анализа поведения (UBA/UEBA). Так как данный способ оказывается особенно эффективен в случае инсайдерской угрозы.
Анализ поведения. Биометрическое поведение. В [5, с. 136] авторы предложили решение, использующее вычислительную мощь карты GPU для
III Международная научно-практическая конференция эффективного мониторинга здоровья виртуальных машин VM, обнаруживая как
присутствие вредоносных инсайдеров, так и атаки на инфраструктуру.
Поведение в сети. Jaenisch и Handley [6, c. 125] проанализировали особенности электронной почты и текста, используя алгоритм случайного леса, который идентифицирует различное поведение подозрительных пользователей или их ненормальные производные.
Психосоциальное поведение. Исследования по анализу психосоциального поведения немногочисленны. Brdiczka и др. [7, с. 142] объединили психологическое профилирование и обнаружение структурных аномалий для построения архитектуры обнаружения инсайдерских угроз с использованием социальных сетей, сообщений и посещений Интернета. Lee и др. [8, c. 228] предложили внутреннюю систему обнаружения утечки информации в режиме реального времени, основанную на распознавании эмоций, таких как напряжение, возбуждение и тревога.
Физическое поведение. Marrone и др. [9, с. 275] использовали функции доступа к дверям и сервера трафика и объединили две унифицированные модели языка моделирования. Первая касается физической защиты системы, в то время как вторая сосредоточена на киберзащите. Mavroeidis и др. [10, с. 1108] представили онтологическую структуру для улучшения физической безопасности и обнаружения инсайдерских угроз с помощью доступа к двери.
Другие виды поведения или их комбинации. Nithiyanandam и др. [11, с. 434] предложили многоуровневую защиту, основанную на мониторинге данных, мониторинге деятельности, аутентификации пользователей, мониторинге ресурсов и всеобъемлющем менеджере защиты. Они проанализировали множество функций, таких как доступ к определенным данным, нажатия клавиш конкретного пользователя, принтер, сканер, USB и передача данных.
Инсайдерские угрозы являются одними из самых сложных угроз безопасности и основной проблемой для организаций любого размера. В этой области были проведены многочисленные исследования, и усилия продолжают расширяться, хотя границы и описания инсайдерских угроз остаются
Инновационные аспекты развития науки и техники неоднозначными. Таким образом, понимание инсайдерских угроз является
важным направлением исследований. Цель настоящего обзора - дать начальное
представление и понимание области инсайдерских угроз путем изучения и
категоризации имеющейся литературы. Рассмотренные исследования систем
анализа поведения выполняют свои функции. Но для полного решения проблемы
инсайдерских угроз нужно комбинировать различные способы обнаружения
между собой для достижения максимального результата.
Список литературы
1. Homoliak I. et al. Insight into insiders and it: A survey of insider threat taxonomies, analysis, modeling, and countermeasures // ACM Computing Surveys (CSUR). - 2019. - Т. 52. - №. 2. - С. 1-40.
2. Liu L. et al. Detecting and preventing cyber insider threats: A survey // IEEE Communications Surveys & Tutorials. - 2018. - Т. 20. - №. 2. - С. 1397-1417.
3. Cole E., Ring S. Insider threat: Protecting the enterprise from sabotage, spying, and theft. - Elsevier, 2005.
4. Cappelli D. M., Moore A. P., Trzeciak R. F. The CERT guide to insider threats: how to prevent, detect, and respond to information technology crimes (Theft, Sabotage, Fraud). - Addison-Wesley, 2012.
5. Pitropakis N., Lambrinoudakis C., Geneiatakis D. Till all are one: Towards a unified cloud IDS //International Conference on Trust and Privacy in Digital Business. - Springer, Cham, 2015. - С.136-149.
6. Jaenisch H. M., Handley J. Insider threat detection enabled by converting user applications into fractal fingerprints and autonomously detecting anomalies //Cyber Sensing 2012. - International Society for Optics and Photonics, 2012. - Т. 8408. - С. 840802.
7. Brdiczka O. et al. Proactive insider threat detection through graph learning and psychological context //2012 IEEE Symposium on Security and Privacy Workshops. - IEEE, 2012. - С. 142-149.
III Международная научно-практическая конференция
8. Lee H. J. et al. New Approach for Detecting Leakage of Internal Information; Using Emotional Recognition Technology //KSII Transactions on Internet & Information Systems. - 2015. - Т. 9. - №. 11.
9. Marrone S. et al. On synergies of cyber and physical security modelling in vulnerability assessment of railway systems //Computers & electrical engineering. -2015. - Т. 47. - С. 275-285.
10. Mavroeidis V., Vishi K., J0sang A. A framework for data-driven physical security and insider threat detection //2018 IEEE/ACM International Conference on Advances in Social Networks Analysis and Mining (ASONAM). - IEEE, 2018. - С. 1108-1115.
11. Nithiyanandam C. et al. Advanced framework of defense system for prevetion of insider's malicious behaviors //2012 International Conference on Recent Trends in Information Technology. - IEEE, 2012. - С. 434-438.
