CC BY
69
ПЕРСПЕКТИВЫ РАЗВИТИЯ СИСТЕМ ВЫЯВЛЕНИЯ АНОМАЛЬНОГО ПОВЕДЕНИЯ ПОЛЬЗОВАТЕЛЕЙ В КОРПОРАТИВНЫХ СЕТЯХ ПРИ РЕШЕНИИ ЗАДАЧ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Силантьев Илья Олегович
магистр Казанского Национального Исследовательского Технического Университета им. А.Н. Туполева (КАИ), РФ, г. Казань
E-mail: i.silantev@icloud. com
DEVELOPMENT PROSPECTS OF SYSTEMS FOR REVEALING ABNORMAL BEHAVIOR OF USERS IN CORPORATE NETWORKS WHEN PROVIDING INFORMATION SECURITY
Ilya Silantyev
master of Kazan National Research Technical University named after A.N. Tupolev
(KAI), Russia, Kazan
АННОТАЦИЯ
Рассматривается проблема утечки конфиденциальной информации в корпоративных сетях. Предлагаются концепция построения системы защиты от утечки информации и перспективы развития систем выявления аномального поведения пользователей в организации.
ABSTRACT
Problem of security leakage in corporate networks is under consideration in this article. Concept of protection system construction against information leakage and development prospects of systems for revealing abnormal behavior of users in an organization have been proposed.
Ключевые слова: нейросетевые модели; биометрия; идентификация; аутентификация.
Keywords: neural network models; biometry; identification; authentication.
Введение
В современном мире информационные технологий проникли почти во все сферы деятельности человека. Бурная экспансия современных технологий обусловлена постоянным стремлением человечества повысить эффективности
работы. В результатом такого стремления повысилось значение и ценность информации, что в свою очередь ставит вызов перед специалистами информационной безопасности.
Одна из основных задач информационной безопасности является защита информации от несанкционированного доступа к ней. В ситуации с персональной информацией, когда только владелец сам является полноправным хозяином, можно обойтись простыми средствами защиты, но когда ставится задача предоставления разграниченного доступа сотрудникам организации к информации конфиденциального характера, обойтись простыми средствами защиты информации не всегда получается эффективно с точки зрения безопасности.
Аналитика
Согласно исследованиям компании ЗАО «InfoWateh» опубликованным в 2013 году, в ходе которого руководителям и сотрудникам подразделений Информационных Технологий (далее — ИТ) и Информационной Безопасности (далее — ИБ) было предложено ответить на вопрос: «Какие угрозы (внутренние или внешние) представляют наибольшую угрозу для их организации», — предпочтение респонденты отдали внутренним угрозам.
На рисунках 1 и 2 представлены результаты исследования, которые показывают уровень уверенности респондентов в Средствах Обеспечения Информационной Безопасности (далее — СОИБ) перед внутренними угрозами организации.
Рисунок 1. Уровень в надежности СОИБ собственной компании
сотрудников ИТ и ИБ
Рисунок 2. Уровень в надежности СОИБ собственной компании
руководителей ИТ и ИБ
Данные результаты исследования наглядно показывают заинтересованность сотрудников и руководителей ИТ и ИБ в защите информации от утечек не только в больших компаниях, но и в малых.
Так же респондентам было предложено проранжировать источники внутренних угроз в организации.
Рисунок 3. Карта нарушителей. Типы нарушителей по тяжести предполагаемых потерь для бизнеса. Средние баллы
На рисунке 3 представлены результаты опросов респондентов, из которого видно, что наибольшее недоверие они испытывают к пользователям расширенных уровней доступа, в том числе и администраторов систем и баз данных [1].
Однако сводная карта инцидентов полученная программными продуктами ЗАО «InfoWateh» дает иную картину. Наибольшее число инцидентов было связано с Топ-менеджерами или подрядчиками организации.
Рисунок 4. Общеотраслевая карта инцидентов
Так же сотрудниками Аналитического Центра ЗАО «InfoWatch» было предложено участникам исследования, принадлежащих Банковскому сектору, проранжировать (в баллах от 1 до 6) шесть типов внутренних угроз по тяжести возможного ущерба для бизнеса их компаний. В своих ответах представители финансового сектора наивысшую опасность связывают с утечкой платежных данных 22—5,723 балла. Далее по тяжести возможных последствий располагаются злоупотребление доступом — 5,1 и утечка коммерческой тайны — 4,9. (см. рисунок 5) [1].
Злоупотребление доступом Нелояльное поведение Утечка коммерческой тайны Утечка ноу-хау Утечка платежных данных Утечка ПДн
Рисунок 5. Карта угроз банковского сектора по тяжести предполагаемых
материальных потерь для бизнеса
Карта инцидентов, зафиксированных программными продуктами InfoWatch в финансовых организациях, представлена ниже (см. рисунок 6) [1].
Рисунок 6. Отраслевая карта инцидентов
Значительная часть случаев нарушения ИБ в финансовой сфере связана с утечкой платежных и персональных данных (более 85 %). Интересно, что потерю персональных данных менеджеры ИТ и ИБ воспринимают как меньшую угрозу, нежели утечка платежных данных, поскольку ущерб от утечки платежных данных более очевиден. Это уже не просто возможность злоупотреблений, как в случае с персональными данными, но инструмент для мошенников. Как следствие — прямой ущерб для клиентов банка, финансовые потери и репутационные издержки для банка. Однако и утечка персональных данных грозит серьезными потерями, например, если база данных клиентов оказывается в руках конкурирующего банка.
Помимо платежных и персональных данных, в финансовом секторе «уходит» коммерческая тайна (данные о межбанковских операциях, маршруты инкассаторских автомобилей, маркетинговые планы, расчеты себестоимости банковских продуктов, стратегии развития), зарегистрированы случаи нелояльного поведения сотрудников и злоупотребления доступом к информации.
Таким образом можно сделать выводы, что вопрос обеспечения от внутренних угроз является актуальным как для малых организаций, так и для больших. Среди потенциальных источников утечки информации большее внимание стоит уделять не только топ-менеджерам и сотрудникам обладающих расширенным уровнем доступа к конфиденциальной информации, но и к пользователям обладающих доступом к персональным и платежным данным клиентов.
Системы защиты от утечек информации
Эффективность работы по защите от утечек конфиденциальной информации определятся количеством своевременно выявленных утечек информации. Работа в данном направлении во многом автоматизирована с помощью современных систем защиты информации таких, как DLP системы, SIEM, tipwire, системы обнаружения аномалий. К сожалению все эти системы нельзя считать панацей от утечек.
Рассмотрим несколько случаев из практики:
1. В организации имеется рабочий ноутбук Топ-менеджера, на котором хранятся стратегические инициативы развития и который случайным образом был утерян в командировке. Такое событие можно рассматривать как утечку информацию, потому что имеется больший риск, что конфиденциальные сведения могут попасть в руки прямых конкурентов. В такой ситуации может спасти лишь шифрование диска, обычные системы защиты от утечки информации тут бессильны [2].
2. Сотрудник обслуживающий VIP клиента, отправляет клиенту свой email адрес с просьбой обращаться к нему по любым вопросам и в любое время суток, а сам через пару недель увольняется, уводя вслед за собой VIP клиента в новую организацию. Никакой утечки информации нет, а ущерб организации причинен.
В такой ситуации DLP перехватит сообщение переданное сотрудником клиенту, благодаря современным технологиям отнесет сообщение к
определенной категории, но фактически никакого инцидента ни система, ни офицер безопасности в этом вряд ли не увидит.
Для решения подобных задач DLP система должна применяться в комплексе с SIEM системами, которые способны проводить анализ событий и группировать их в один инцидент, как в нашем случае: передача сообщения и заявление на увольнение через пару недель.
Не малую проблему в защите от утечек информации в организациях создают мобильные устройства сотрудников, принесенные на рабочие места. В таком случае совместно с DLP система должна использоваться MDM система (Mobile Device Management), которая осуществляет контроль мобильных устройств (смартфоны, ноутбуки, планшеты).
Таким образом, DLP система не является панацеей от утечек информации в организации, но построение эффективной системы защиты от утечек без DLP вряд ли возможен. Наибольшая эффективность процесса обеспечения защиты от утечки информации достигается при:
1. применение DLP совместно с другими техническими решениями;
2. создания полноценного процесса управления рисками потери конфиденциальной информации и построение сопутствующих организационных процессов [2].
Так как рассмотренные выше системы не решают полностью задачу перспективным направление для развития систем защиты информации от утечек предлагается создание систем, прогнозирующие возможность утечки конфиденциальной информации.
Системы прогнозирования утечки информации сводится к построению профиля пользователя, выявлению аномального поведения (отклонения от профиля) пользователя в корпоративной среде и прогнозированию на основе полученной информации возможности возникновения утечки информации.
Список литературы:
1. Глобальное исследование утечек конфиденциальной информации в 2013 году — [Электронный ресурс] — Режим доступа. — URL: http://www.infowatch.ru/report2013
2. Существует ли панацея от утечек — [Электронный ресурс] — Режим доступа. — URL: http://futurebanking.ru/post/2535
