ВЕСТНИК УДМУРТСКОГО УНИВЕРСИТЕТА
УДК 004.43(031)
Р.И. Исхаков
О ВОЗМОЖНОСТИ ИСПОЛЬЗОВАНИЯ ТЕОРИИ СКРЫТНОСТИ ДЛЯ ОПРЕДЕЛЕНИЯ ИСТОЧНИКА (КАНАЛА) УТЕЧКИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Показана актуальность проблемы утечек конфиденциальной информации в организациях. Определены основные функции современных программных продуктов в области зашиты конфиденциальной информации от утечек. Обоснована необходимость создания автоматизированной системы поддержки принятия решения, используемой в рамках проведения служебного расследования. Описаны источники данных, используемые в рамках служебного расследования. Предложен алгоритм процедуры поиска источника утечки конфиденциальной информации.
Ключевые слова: конфиденциальная информация, скрытность события, утечка конфиденциальной информации, источники конфиденциальной информации, алгоритм поиска источника утечки конфиденциальной информации.
Отчеты аналитических компаний свидетельствуют о постоянном росте количества инцидентов, связанных с утечкой конфиденциальной информации [9]. По данным компании InfoWatch, которая анализирует информацию, опубликованную в СМИ, на веб-форумах, блогах, количество зафиксированных утечек в 2009 г. возросло на 39% по сравнению с 2008 г.
В аналитическом отчете отмечается, что:
- проблема утечки конфиденциальной информации характерна для организации любой формы собственности, как для коммерческой, так и государственной;
- в последние годы выросла доля умышленных утечек (в 2009 г. эта доля составила 51%);
- утечки персональных данных составляют большинство всех зафиксированных утечек (в 2009 г. эта доля составила 89,9%).
Очевидно, что в связи с ростом объема конфиденциальной информации (КИ), которая хранится и обрабатывается в организации, становится необходимым использовать современные технологии защиты от утечки конфиденциальной информации.
Современные программные продукты в области защиты от утечки КИ можно разбить на две группы: системы, выполняющие анализ рисков, и системы предотвращения утечек информации.
К основным функциям систем предотвращения утечек информации можно отнести следующие:
- контроль и протоколирование всех основных каналов утечки информации, таких как электронная почта, сервисы обмена мгновенными сообщениями, любое копирование информации на переносные носители и т.п.;
- протоколирование и архивирование передаваемой информации на случай возможных инцидентов, что дает возможность использовать эти данные в расследовании инцидентов;
- контроль использования персоналом информационных ресурсов организации в личных целях;
- выявление ошибок в конфигурациях сетевого оборудования и программного обеспечения.
К основным функциям систем анализа рисков относят:
- построение моделей угроз;
- построение моделей защиты;
- построение моделей событий рисков;
- оценку и анализ риска нарушения ИБ;
- оценку эффективности мер и мероприятий по защите;
- оценку вероятностей реализации обнаруженных угроз;
- оценку по критерию «эффективность-стоимость» вариантов комплексов мероприятий по защите [6. С. 23-28].
Проведенный анализ программных продуктов в области защиты от утечки конфиденциальной информации позволяет сделать вывод об отсутствии систем поддержки принятия решений, которые ориентированы на использование их в рамках служебного расследования уже реализованной угрозы.
Обоснуем необходимость создания таких систем.
По факту утечки КИ для проведения служебного расследования руководитель предприятия не позднее следующего дня после обнаружения факта разглашения конфиденциальной информации или
утраты носителей, содержащих такую информацию, назначает комиссию из компетентных и не заинтересованных в исходе дела сотрудников предприятия [8].
Одной из задач комиссии является определение источника (канала) утечки конфиденциальной информации.
Сложность определения источника утечки заключается в том, что:
- служебное расследование должно быть проведено в предельно короткий срок, за который необходимо проанализировать большой объем информации, полученный в результате опроса сотрудников предприятия, анализа учетных документов, осмотра помещений, где находятся носители информации;
- утраченная конфиденциальная информация может находиться на различных носителях, и могут использоваться различные, изначально неизвестные каналы утечки конфиденциальной информации: передача конкуренту сотрудником организации конфиденциального документа на бумажном носителе, несанкционированный доступ извне в информационную систему предприятия, утечка конфиденциальной информации путем анализа открытых источников информации и др.;
- существующие сегодня программные продукты позволяют выявлять и предотвращать утечки конфиденциальных данных на основе анализа данных только автоматизированных информационных систем, без учета данных, хранящихся на традиционных бумажных носителях информации.
В связи с этим актуальной является задача разработки методологии, которая позволила бы формализовать и автоматизировать процедуру анализа массива данных, обрабатываемых в рамках служебного расследования.
В качестве основы такого аппарата может служить теория скрытности [3].
Для формирования множества всех возможных событий X, которые могли привести к утечке конфиденциальной информации (реасобытию), необходимо определить источники данных, содержащих эту информацию.
Источники данных, которые можно использовать для формирования этого множества, условно можно разделить на две группы:
во-первых, источники, которые хранятся и обрабатываются в автоматизированных информационных системах: журналы регистрации систем контроля управления доступом организации; системные журналы информационных систем, используемых на предприятии, например журналы системы электронного документооборота; журналы регистрации операционных систем, журналы регистрации системы обнаружения вторжений, журналы регистрации систем предотвращения утечек конфиденциальной информации; журналы регистрации коммуникационного оборудования; журналы регистрации межсетевых экранов; журналы регистрации веб-сервера и т.д.
Данные, относящиеся к этим источникам, структурированы и хранятся в таблицах, которые в математической модели представляются набором отношений;
во-вторых, источники, в которых данные без предварительной обработки не могут быть использованы в рамках автоматизированной процедуры обработки массива данных: учетные документы традиционного и конфиденциального делопроизводства (журналы регистрации и выдачи документов), сведения сотрудников, материалы системы видеонаблюдения и т.д.).
В дальнейшем требуется обработка и структуризация данных, относящихся к этой группе источников: проводится опрос и фиксация сведений сотрудников, анализируются журналы регистрации и выдачи документов, анализируется видеоматериал.
После ввода данных в систему обработки данных в математической модели эти структурированные данные также представляются в виде набора отношений.
В итоге исходное множество событий X будет представлять собой совокупность подмножеств различных источников событий.
Для нахождения реасобытия исходное множество событий делится на два подмножества, из которых определяется то, над которым будет вестись дальнейшее деление - двоичное измерение (ДИЗ).
Двоичные измерения производятся до тех пор, пока не находится множество, однозначно определяющее реасобытие Х;
Тогда поисковая процедура представляется в виде ориентированного дерева, узлы которого являются точками входа «тестирующих сигналов» и контрольными точками, в которых определяется факт наличия или отсутствия реасобытия в подмножестве (рис. 1).
Примером таких «тестирующих сигналов» могут быть:
- факт успешной или неудачной попытки входа в операционную систему;
- факт попытки входа в операционную систему с запрещенного компьютера;
- факт изменения политики аудита;
- факт вызова привилегированного сервиса;
- факт очистки журнала регистрации;
- факт обращения сотрудника к документу с конфиденциальной информацией;
- факт копирования документа;
- факт отправки электронного письма по e-mail;
- факт распечатывания документа и т.д.
X
Рис. 1. Схема поисковой процедуры в виде ориентированного дерева. Пояснения в тексте
Для принятия решения о наличии или отсутствии реасобытия в подмножестве используется функция обнаружения, аргументом для которой служит совокупность «тестирующих сигналов».
Решение о нахождении следа может основываться на статистическом анализе множества событий подмножества. Отклонение от среднего значения профиля нормального поведения будет свидетельствовать о наличии следа в подмножестве. Например, зафиксирован факт входа сотрудника в информационную систему в нерабочее время, хотя раньше он этого не делал.
Данный подход имеет следующие недостатки:
- относительно высокая вероятность ложных тревог (отклонение от среднего значения профиля нормального поведения не всегда свидетельствует о попытке несанкционированного получения конфиденциальной информации);
- плохая работа, когда действия пользователей не имеют определенного шаблона действий, когда с самого начала пользователи совершают злоумышленные действия (злоумышленные действия типичны), наконец, когда пользователь постепенно изменяет шаблон своего поведения в сторону злоумышленных действий [4].
Другой подход основывается на использовании «совокупности сигналов» как сигнатур (шабло-нов)следов.
Они могут быть простыми (строка знаков, соответствующая поиску отдельного условия) или сложными (изменение состояния защиты, выраженное как формальное математическое выражение, последовательность действий или совокупность строк журналов) [4].
Недостатком данного подхода можно считать сложность формирования всего множества сигнатур следов и необходимость его регулярного пополнения.
Так как временной фактор принятия решения является в нашем случае некритичным, в сравнении с системами предотвращения утечек информации, работающими в режиме реального времени, то возможно использование обоих подходов.
Для формирования шаблонов выявления следов, присутствия реасобытия в подмножестве могут использоваться следующие критерии:
- статистические данные, накопленные в организации в результате расследования инцидентов, повлекших утечку конфиденциальных данных;
- статистические данные, накопленные в сфере ИБ (например, в последние годы преобладающим стал канал утечки информации, связанный с электронным, а не бумажным документом; основным каналом утечки являются вычислительные сети организации и т.д. [9]);
- вероятности угроз, определенные в системе анализа угроз данной организации;
-события, выявленные комиссией при анализе массива данных: например, увеличившаяся за определенный период частота обращения к документам, содержащим конфиденциальную информацию, увеличившееся число поисковых запросов на поиск документов, содержащих конфиденциальную информацию, зафиксированные факты обращения к информационным системам вне рабочего времени и т.д.).
Для построения поисковой процедуры и дальнейшей её оптимизации необходимо определить понятие «скрытность события».
Под скрытностью события понимают количественную характеристику средней времяемкости или трудоемкости процесса раскрытия реасобытия, выражаемую при с=1 (цена двоичного измерения) в дизах (мера скрытности) [3].
я - я'-^Р(С)
!-1 ’
г,=Ъа к=1
I * 8 с
где ' - длина 1-го пути в дизах, л - значение дизизмерения (0 или 1), л - коэффициент, учитывающий стоимость измерения.
В связи с тем что используемые методы определения реасобытия не могут дать гарантированного верного заключения о реасобытии, введем в качестве дополнительных показателей поисковой процедуры доверительную вероятность (Рдов) и вероятность ошибки дизвычисления (Рош).
Тогда поисковая процедура может быть представлена в виде блок-схемы (рис. 2) [3].
На первом шаге в ЭВМ вводятся значения элементов множества А, Рош (вероятность ошибки дизвычисления), Рдов (доверительная вероятность), е (минимальное значение вероятности ветви дерева поиска, ниже которой данная ветвь в расчет не принимается).
На втором шаге производятся вычисления вероятности Р1(к) при К=и, в результате которых находится апостериорное распределение вероятностей после первых п измерений.
После этого на третьем шаге определяется событие с некоторой максимальной апостериорной вероятностью, которое сравнивается с доверительной вероятностью. В случае Р1(п)> Рдов значение п, являющееся количественным выражением скрытности, передается на выход вычислительной системы.
Если значение Рдов не достигнуто, то вычисления продолжаются с наращиванием и запоминанием (шаг 5) величины N. При каждом шаге производится расчет и ранжирование по величине Р1(п) (шаг 6), деление на подмножества (шаг 7) и принятие решения ап=0. На 9-м шаге вычисляется текущая вероятность данной ветви, зависящая от N и ап. На 12-м шаге производится повторная проверка Р1(п)> Рдов. При положительном ответе находится текущая величина скрытности Я, вычисляемая с учетом всех пройденных ветвей (шаг 13). В противном случае ап=0 в блоке 8 заменяется на ап=1 с повторным вычислением в блоках 9 и 12 и 13 в случае Р1(п)> Рдов. В 10-м блоке в интересах экономии времени вычислений осуществляется проверка ветви на вероятность ее использования в реальной поисковой процедуре.
После обхода всех ветвей, исключая маловероятные, величина скрытности найденного события выводится на выход системы.
Таким образом, применение теории скрытности позволяет решить задачу поиска источника (канала) утечки конфиденциальной информации, а дальнейшими задачами исследования являются:
- построение математической модели поиска источника утечки конфиденциальной информации;
- разработка оптимального алгоритма поиска источника утечки конфиденциальной информации;
- описание функции обнаружения реасобытия.
Рис. 2. Блок-схема алгоритма поисковой процедуры
СПИСОК ЛИТЕРАТУРЫ
1. Администрирование Microsoft SQL Server 2000. Учебный курс Microsoft MCSA/ MCSE, MCDBA / пер. с англ. М.: Русская редакция; СПб.: Питер, 2003. 512 с.
2. Карпова Т.С. Базы данных: модели, разработка, реализации: учеб. пособие. СПб.: Питер, 2001. 304 с.
3. Каневский З.М., Литвиненко В.П. Теория скрытности. Воронеж: Изд-во Воронеж. ун-та, 1991. 144 с.
4. Лукацкий А.В. Обнаружение атак. 2-е изд. СПб.: БХВ-Петербург, 2003. 608 с.
5. Каневский З.М., Литвиненко В.П., Макаров Г.В., Максимов Д. А. Основы теории скрытности: учеб. пособие / под ред. З.М. Каневского. Воронеж: Изд-во Воронеж. ун-та, 2006. 202 с.
6. Симонов С.В. Методология и технологии анализа рисков // Вопросы защиты информации. 2003. №1.
7. Станек У. Microsoft Windows Server 2003. Справочник администратора. М.: Русская редакция, 2003. 640 с.
8. Ярочкин В.И. Информационная безопасность: учебник для вузов. 2-е изд. М.: Академический проект; Гаудеамус, 2004. 544 с.
9. URL: http://www.infowatch.ru/threats and risks/global-data-leakage-report2009/ (дата обращения: 20.04.2010)
Поступила в редакцию 03.06.10
R.I. Iskhakov
On the possibility of using the theory of secrecy to determine the source (channel) of leakage of confidential information
The urgency of the problem of leakage of confidential information in the organizations. The main features of modern software to protect of confidential information against leaks.
Keywords: the necessity of creating an automated decision support system used in the context of the official investigation, describing the data sources used within the service investigation, an algorithmic procedure of finding the source of leakage of confidential information.
Исхаков Роберт Ильгизович
ГОУВПО «Удмуртский государственный университет» 426034, Россия, г. Ижевск, ул. Университетская, 1 (корп. 4) E-mail: [email protected]