Метод обнаружения инсайдерской деятельности в организации
Корниенко Анатолий Адамович
доктор технических наук
профессор, заведующий кафедрой информатики и информационной безопасности, Петербургский государственный университет путей сообщения Императора Александра I
190031, Россия, г. Санкт-Петербург, Мзсковский пр., 9 И [email protected]
Поляничко Марк Александрович
кандидат технических наук
доцент, кафедра Информатика и информационная безопасность, Петербургский государственный
университет путей сообщения Императора Александра I
190031, Россия, Санкт-Петербург область, г. Санкт-Петербург, ул. Мзсковский, 9
Статья из рубрики "Модели и методы управления информационной безопасностью"
Аннотация.
Обнаружение инсайдерских угроз - задача, которую решают аналитики и администраторы информационной безопасности как в коммерческом секторе, так и в государственных организациях. До 75 % инцидентов, связанных с действиями инсайдеров до сих пор обнаруживается в ручном режиме. Обнаружение инсайдерских угроз в организации может быть осуществлено с использованием комплекса организационных и технических мер. Для их выявления в статье предлагается использование поведенческих и технических показателей. Целью работы является повышение результативности противодействия случайным и злонамеренным инсайдерским угрозам информационной безопасности на основе разработки метода обнаружения инсайдерской деятельности в организации. Для достижения поставленной цели применяется теоретико-множественное моделирование, метод анализа иерархий, аппарат нечеткой логики и система нечеткого вывода. В результате проведенного исследования был разработан метод, позволяющий осуществлять обнаружение инсайдерской деятельности в организации, основанный на оценивании предиспозиции сотрудника к инсайдерской деятельности и выявление инсайдера по результатам регистрации инцидента информационной безопасности. Разработанный метод может быть использован при создании автоматизированной системы выявления инсайдеров в организации.
Ключевые слова: внутренние угрозы, информационная безопасность, инсайдер, обнаружение инсайдеров, противодействие, угрозы, безопасность, организация, автоматизированные системы, моделирование
DOI:
10.7256/2454-0714.2019.1.29048
Дата направления в редакцию:
22-02-2019
Дата рецензирования:
22-02-2019
Дата публикации:
28-02-2019
Определение случайных и преднамеренных инсайдерских угроз - задача, которую решают аналитики и администраторы информационной безопасности как в коммерческом
секторе, так и в государственных организациях Х^Ш. До 75 % инцидентов, связанных с действиями инсайдеров до сих пор обнаруживается в ручном режиме и только 19 % действий выявляются с помощью сочетания автоматизированных средств и ручных
процедур [5, 21]. Вместе с тем, отчеты компаний - разработчиков программных средств обеспечения информационной безопасности показывают, что количество инцидентов, связанных с инсайдерской активностью растет [4, 7].
В данной работе в основу процесса обнаружения инсайдерской деятельности в организации положена парадигма оценивания потенциальной склонности (предиспозиции) сотрудника организации к инсайдерской деятельности и выявление инсайдера по результатам регистрации инцидента информационной безопасности, связанного с инсайдерской деятельностью, и его расследования с учетом рисков предиспозиции. Предиспозиция - готовность, предрасположенность субъекта к
поведенческому акту, действию, поступку, их определенной последовательности II2!.
Проблемы, связанные с инсайдерскими угрозами сложнее поддаются решению, чем технические проблемы. Люди проявляют себя по-разному (полиморфное поведение), зачастую, они склонны скрывать свои истинные эмоции от окружающих, меняют своё поведение в зависимости от ситуации. Инсайдер будет постоянно анализировать и оценивать риск быть пойманным. В связи с этим, решение задачи выявления потенциальных и реальных инсайдеров требует создание метода, сочетающего в себе
технические и организационные меры [17, 18].
Предлагаемый метод обнаружения инсайдерской деятельности комбинирует применение организационных и технических подходов и агрегирует разнородные данные
Для выявления инсайдерской деятельности в организации предлагается следующий метод (Рис. 1):
1-
Выбор показателен, характеризующих инсайдерское поведение и выбор обобщенного показателя
Нечеткая количественная оценка показателей инсайдерского поведения
3 -*-
Создание лингвистических
переменных
Формирование базы нечетких правил
5-*-
Формирование обобщенных показателей
Решение задачи приоритизации по степени актуальности угрозы
Рис. 1. Метод обнаружения инсайдерской деятельности Метод предполагает анализ трех групп показателей:
■ Стационарных;
■ Периодически актуализируемых;
■ Динамических.
Анализ данных показателей позволяет определить, склонен ли работник к совершению нарушения, то есть определяется его предиспозиция.
К стационарным показателям относятся психологические и коммуникативные показатели, зависящие от личности человека. Психологические показатели (экстраверсия, способность прийти к согласию, сознательность, невротизм, открытость опыту) определяются на основе пятифакторного личностного опросника «Большая пятерка» (Big
five), разработаного американскими психологами Р. МакКрае и П. Коста-^. Коммуникативные показатели (уровень общительности, склонность к соперничеству, сотрудничеству, компромиссу, склонность к избеганию проблем или приспособлению). Значения стационарных показателей определяются с использованием теста на уровень
общительности В.Ф. Ряховского-14 и методики диагностики поведения личности в конфликтной ситуации (опросник Кеннета Томаса «Определение способов регулирования конфликтов»).
К периодически актуализируемым относятся личностные показатели, поведенческие показатели, скрининговые показатели (данные полиграфа) и контекстные показатели. Данные показатели представляют собой многомерный набор количественных и качественных показателей, значения которых определяются на основе высказываний экспертов. Для обработки значений применяется нечеткое обобщение метода анализа иерархий [1-3, 8-10, 23].
К динамическим показателям относятся технические показатели (собираются DLP, IDS
или SIEM), значения которых могут быть автоматизировано собраны на основе данных вычислительной сети организации и ее информационных систем Данные показатели отражают события, связанные с печатью документов, осуществлением доступа к ресурсам, скачиванием информации и т. п.
Оценки предиспозиции для первых двух групп определяются по следующим показателям:
Личностные показатели
- Нахождение в состоянии депрессии;
- Наличие алкогольной зависимости;
- Наличие наркотической зависимости;
- Наличие зависимости от азартных игр;
- Недавняя смерть близкого человека;
- Недовольство условиями труда;
- Наличие хронических заболеваний;
- Наличие хронических заболеваний у близких;
- Нахождение в состоянии расставания или развода. Поведенческие показатели
- Нарушение установленных правил и процедур;
- Преднамеренное вредительство;
- Нарушение трудового распорядка;
- Добровольчество, дающее доступ к конфиденциальным данным;
- Сверхурочная работа;
- Резкие высказывания, шутки или хвастовство;
- Проявление агрессии. Контекстные показатели
- Участие в деятельности отдельных лиц или групп, выступающих против основных убеждений организации;
- Наличие судимости;
- Доступ к финансовым активам организации;
- Участие в деятельности, которая может вызвать конфликт интересов;
- Ведение собственного бизнеса;
- Наличие кредитов и иных финансовых обязательств;
- Активное присутствие в социальных сетях.
Скрининговые показатели
- Наличие алкогольной зависимости;
- Наличие наркотической зависимости;
- Наличие зависимости от азартных игр;
- Наличие хронических заболеваний;
- Наличие хронических заболеваний у близких;
- Кражи по предыдущим местам работы;
- Наличие кредитов и иных финансовых обязательств;
- Искажение данных о себе (документы, записи в трудовой книжке, анкетные данные) при поступлении на работу;
- Наличие связей в криминальном мире;
- Передача конфиденциальной информации посторонним лицам;
- Совершение противоправных действий, в том числе оставшихся нераскрытыми.
Для оценки каждого показателя {indj^Pr^),...,влияющего на предиспозицию
Ру. формируется соответствующий опросный лист quest ¿{Рг^ с множеством ответов .
,
где Prt ~ предиспозиция;
indj^PriXj = 1, ■■■ - показатели предиспозиции.
Данная иерархия может быть представлена деревом декомпозиции (Рис. 2):
Оценка предиспозиции
Показ ате ль
¡ПСЕ-^РГ;) Вопрос quest^Pr-
Показате ль
ind2 (Prf) Вопрос quest2 (_Pt L
Показ ате ль
ШП[ (Рг^ Вопрос questп (Р?
Отве Отве Отве Отве
т т т т
tmjn( ( tmJ2l( j ans2iil
Отве Отве
т т
tmJnll ansn,b
Рис. 2. Дерево декомпозиции для иой предиспозиции Оценка предиспозиции вычисляется на основе следующего алгоритма
- Шаг 1. Формирование группы экспертов
Для каждого эксперта должен быть назначен вес 3. Количество экспертов равно N. В
зависимости от того, оценку какой предиспозиции необходимо вычислить в группе экспертов могут включаться работники ИТ отделов, работники, отвечающие за информационную безопасность или отдел кадров.
- Шаг 2. Оценка приоритетов важности для вопросов
Экспертным путём выполняются попарные сравнения вопросов по отношению к степени их влияния на оценку определяемой предиспозиции РтДля каждого эксперта
вычисляется вектор приоритетов (ж questl)2. = questlí,... quest!n )Zl вопросов
Questj^Pri^ где номер эксперта - z — 1 ,N.
- Шаг 3. Формирование нечетких приоритетов важности для вопросов
Нечеткий приоритет вопроса Questj^Pr^ представляется в виде нечеткого числа wquestj
Шаг 4. Определение нечетких значений баллов
SCOREjiPri) - нечеткие значения баллов, отводимые на каждый отдельный вопрос .
- Шаг 5. Оценка приоритетов важности для ответов внутри вопросов
Аналогично шагу 2 алгоритма. Каждый экспертом выполняются попарные сравнения
о т в е т о в AnSjk(РгД к — 1,к^(Рг^ и вычисляются векторы приоритетов
(1Уапз% = ОашгД,..., и? апяД )г, где номер эксперта - г = 1,ЛГ
- Шаг 6. Формирование нечетких приоритетов важности для ответов внутри вопросов
- Нечеткий приоритет вопроса Ф = представляется в виде нечеткого числа
- Шаг 7. Определение абсолютных значений баллов
|scorejt(PTj)| в виде нечетких чисел, зависящих от выбранного экспертом ответа. Количество баллов \scarejk(Pri)\ = SCORE¡(Рг^ ■ wdnsjk.
- Шаг 8. Определение значений баллов, влияющих положительно или отрицательно на оценку предиспозиции
Отрицательные значения баллов противоположны их абсолютным значениям.
- Шаг 9. Получение от эксперта вариантов ответов Эксперты дают ответ Sj на каждый из вопросов Quest^Рг^.
- Шаг 10. Нормирование общего количества баллов
Баллы, набранные за ответы на вопросы теста =Tij = iscorejhj нормируются по следующей формуле:
^ртах _ pminy
где Pm.in — m_in(YV р™"1);
;
iJTTi-J-Tl " -
= = min score¡к - минимальное значение баллов при ответе
7 Ь =
на вопрос;
ртах _ max scoreik ответе на вопрос.
максимальное значение баллов при
- Шаг 11. Определение оценки предиспозиции Оценка предиспозиции равняется т^(^) = Рге<1(Рг¿)
Для обнаружения инсайдерской деятельности требуется оценивание показателей, характеризующих склонность к случайному и злонамеренному инсайдерскому поведению и обобщенного динамического показателя. Необходимым условием формирования данных оценок и обобщенного технического показателя, является создание лингвистических переменных. Это обусловлено рядом преимуществ использования лингвистических переменных:
- лингвистические переменные позволяют оперировать непрерывно изменяющимися во времени динамическими входными данными;
- возможность перехода к единой качественной шкале измерений
- проведение качественной оценки как входных данных, так и выходных результатов.
Лингвистическая переменная - в теории нечётких множеств, это переменная, которая может принимать значения фраз из естественного или искусственного языка [13, 22].
Лингвистической переменной называется набор
,
где Ь - имя лингвистической переменной,
Т - множество значений, которые представляют собой имена нечетких переменных, областью определения каждой переменной является множество X;
G - синтаксическая процедура, позволяющая оперировать элементами терм-множества Т и создавать новые термы (значения). Множество Т и £?(Т), где С ( Т ) I множество полученных термов, называется расширенным терм-множеством лингвистической переменной;
М - математическое правило, определяющее класс функции принадлежности для значений из множества Т .
Обнаружение потенциальной инсайдерской деятельности осуществляется на основе последовательного применения баз правил нечеткого вывода для различных пока з а те ле й:
Рис. 3. Схема нечеткого вывода обобщенного показателя
Каждая база нечетких правил, которая также может называться лингвистической моделью, состоит из множества нечетких правил RW|¡í = \>щщщ ДГ, вида
ДО
•R1-^: IF (_var± это A* AND varz это A*... AND varn это Л^)
,
где N - количество нечетких правил;
дь - нечеткие множества дк с удк. = 1 fmmmfn,
gt - нечеткие множества в* £ flfS, <= RJ = 1
- входные лингвистические переменные, где
(varY,var2,..., varn)T=var G VARy x VAR2 x ... x VARn; resirres2r... rresn - выходные лингвистические переменные, где
(resl,res2l... ,resm)T=res G RESj^ x RES2 x ... x RESm-
В результате работы предлагаемой схемы вывода, оцениваемый работник организации получает несколько оценок, характеризующих его склонность к случайной или
преднамеренной инсайдерской деятельности и оценку обобщенного технического показателя, чувствительного к выполнению подозрительных операций. По каждому работнику вычисляется три оценки:
- Оценка склонности к случайному инсайдерскому поведению AccInsider;
- Оценка склонности к злонамеренному инсайдерскому поведению Mallnsider;
- Оценка обобщенного динамического показателя ITSummary.
На завершающем этапе метода, все работники приоритезируются по степени актуальности угрозы на основании вычисленных оценок. Для приоритезации работников предлагается использовать критерий Лапласса i16!:
где Хц - значение показателя.
Частный вид критерия Лапласа для случайного инсайдерского поведения:
AccInsider + ITSummary
Частный вид критерия Лапласа для злонамеренного инсайдерского поведения:
Mallnsider + ITSummary
Допустим, что по результатам работы метода обнаружения инсайдерской угрозы были получены оценки склонности к случайному инсайдерскому поведению и обобщенный технический показатель для четырех работников:
№ AccInsider ITSummary
1 0.8 0.1
2 0.2 0.3
3 0.6 0.8
4 0.9 0.4
Таким образом, после вычисления критерия Лапласа будут получены следующие приоритеты:
№ AccInsider ITSummary Li Приоритет
1 0.8 0.1 0.45 3
2 0.2 0.3 0.25 4
3 0.6 0.8 0.7 1
4 0.9 0.4 0.65 2
По результатам работы метода определено, что наибольшую угрозу представляет работник, имеющий оценку склонности к непреднамеренному инсайдерскому поведению выше среднего и самую высокую оценку обобщенного технического показателя.
В результате проведенного исследования был разработан метод, позволяющий осуществлять обнаружение инсайдерской деятельности в организации, основанный на оценивании предиспозиции сотрудника к инсайдерской деятельности и выявление инсайдера по результатам регистрации инцидента информационной безопасности.
Библиография
1. Anikin I.V. Information Security Risks Assessment Method Based on AHP and Fuzzy Sets // 2nd Intl' Conference on Advances in Engineering Sciences and Applied Mathematics (ICAESAM'2014) May 4-5, 2014.
2. Dong M. Approaches to group decision making with incomplete information based on power geometric operators and triangular fuzzy AHP / M. Dong, S. Li, H. Zhang // Expert Systems and Applicatinons.-2015.-Vol. 42, Issue 21.-pp. 7846-7857.
3. Fu S., Zhou H. The information security risk assessment based on AHP and fuzzy comprehensive evaluation, 2011 IEEE 3rd International Conference on Communication Software and Networks, Xi'an, 2011, pp. 124-128.
4. Insider Threat Report: 2018-CA Technologies // CA Technologies URL: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf (дата обращения: 18.07.2018).
5. Keeney M., Kowalski, E., Cappelli, D., Moore, A., Shimeall, T. and S. Rogers. (2005, May). Insider threat study: Computer system sabotage in critical infrastructure sectors. CMU/SEI and U.S. Secret Service.
6. McCrae R.R., John O.P. An introduction to the five factor model and its applications 1992. (60). C. 175-215.
7. Verizon 2015 Data Breach Investigations Report // Information Security. 2015. C. 170.
8. Xuepeng H., Wei X. Method of Information Security Risk Assessment Based on Improved Fuzzy Theory of Evidence Establishing index system of information security risk assessment // International Journal of Online Engineering. 2018. (14). C. 188-196.
9. Аникин А.В. Методика формирования анкет для задач оценки возможности реализации угроз и уязвимостей // Сборник трудов 3-й ежегодной научно-практической конференции «Инфокоммуникационные технологии глобального информационного обещства»: Казань, 8-9 сентября 2005.-С. 333-342.
10. Аникин Игорь Вячеславович. Методы и алгоритмы количественной оценки и управления рисками безопасности в корпоративных информационных сетях на основе нечеткой логики: диссертация ... доктора технических наук, , Казань, 2017.
11. Аникин И.В. Технология интеллектуального анализа данных для выявления внутренних нарушителей в компьютерных системах // Научно-технические ведомости СПбГПУ. Информатика. Телекоммуникации. Управление. 2010. №6 (113).
12. Даль В.И. Толковый словарь живого великорусского языка: в 4-х т. Т. 2. Русский язык / В.И. Даль. - М., 1998. - 779 с.
13. Заде Л. Понятие лингвистической переменной и его применение к принятию приближенных решений. — М.: Мир, 1976.
14. Карелин А. А. , Большая энциклопедия психологических тестов, М.: Эксмо, 2007, ISBN 978-5-699-13698-8.
15. Кофман А. Введение в теорию нечетких множеств. — М.: Радио и связь, 1982. — 432 c.
16. Кузнецов Ю. Н., Кузубов В. И., Волощенко А. Б. Математическое программирование — М.: «Высшая школа», 1980, стр. 291. / Кузнецов,.
17. Мамочка Е.А. Типы личности преступника-инсайдера // Территория новых возможностей. Вестник владивостокского государственного университета экономики и сервиса. 2016. № 3. C. 70-78.
18. Поляничко М.А., Королев А.И. Критерии классификации инсайдеров // Естественные
и технические науки. 2018.-№9., Выпуск (123).-2018-с. 149-151.
19. Поляничко М.А., Королев А.И. Подход к выявлению инсайдерских угроз в организации // Естественные и технические науки. 2018.-№9., Выпуск (123).-2018-с. 152-154.
20. Поляничко М.А., Пунанова К.В. Основные проблемы практического применения человеко-ориентированного подхода к обеспечению информационной безопасности // «Фундаментальные и прикладные разработки в области технических и физико-математических наук» Сборник научных статей по итогам работы третьего международного круглого стола.-М.: Общество с ограниченной ответственностью «КОНВЕРТ». 2018. C. 57-60.
21. Поляничко М.А. Современное состояние методов обнаружения и противодействия инсайдерским угрозам информационной безопасности // Colloquium-Journal. 2018. № 9-1 (20). C. 44-46.
22. Рутковская Д., Пилиньский М., Рутковский Л. Нейронные сети, генетические алгоритмы и нечеткие системы: Пер. с польск. И.Д. Рудинского, Том 452. — Москва: Горячая линия-Телеком, 2006.
23. Саати Т. Принятие решений. Метод анализа иерархий / Т. Саати. - М.: Радио и связь, 1993. - 278 с.
24. Хованов Н.В. Математические основы теории шкал измерения качества. — Л.: ЛГУ, 1982.