В. В. Киселёв, В. А. Шугаев,
доктор технических наук Брянский филиал Всероссийского
института повышения квалификации сотрудников МВД России
СТРУКТУРНОЕ ПРЕДСТАВЛЕНИЕ ИНСАЙДЕРСКОЙ
АКТИВНОСТИ
STRUCTURAL REPRESENTATION OF INSIDER ACTIVITY
В статье рассматривается структурное представление инсайдерской активности, способы построения модели угроз, в том числе внутренних, моделирование базовых компонентов таких угроз, показывается процесс визуализации инцидентов инсайдерских угроз для их дальнейшего анализа.
The article discusses the structural representation of insider activity, methods of constructing a threat model, including internal, modeling the basic components of such threats, shows the process of visualization of incidents of insider threats for their further analysis.
На фоне общемирового роста утечек конфиденциальной информации в 2018 году доля утечек, произошедших по вине внутреннего нарушителя, остается высокой и составляет 60,7% от общего количества утечек за год [1]. Это позволяет считать инсайдерскую угрозу одним из главных источников инцидентов информационной безопасности и свидетельствует об актуальности более глубокого изучения инсайдерских угроз и совершенствования мер противодействия им.
Определение по единым правилам потенциальных индикаторов инсайдерской деятельности, расширение сотрудничества и обмена информацией между организациями, осуществляющими борьбу с инсайдерскими угрозами, позволит внедрять более эффективные меры контроля в программы борьбы с внутренними угрозами.
В настоящее время осуществляются попытки общей и детальной формализации знаний в области индикаторов инсайдерской угрозы, но все еще отсутствует стандартизированный метод формирования показателей потенциальной вредоносной инсайдерской деятельности.
Инсайдер — это сотрудник предприятия, который причиняет или планирует причинение ущерба активам организации или помогает в такой акции внешнему нарушителю [2].
Отдел CERT Университета Карнеги-Меллона Института разработки программного обеспечения определяет инсайдера как текущего или бывшего сотрудника, подрядчика или делового партнера, который отвечает следующим критериям: имеет или имел авторизованный доступ к сети, системе или данным организации; преднамеренно превысил или намеренно использовал этот доступ таким образом, что это отрицательно сказалось на конфиденциальности, целостности или доступности информации или информационной системе организации [3].
Инсайдерские угрозы зависят от сочетания различных факторов, как технических и организационных, так и поведенческих. Организации при проектировании своей инфраструктуры и внедрении новых технологий должны предусматривать меры по предотвращению, обнаружению и реагированию на вредоносную инсайдерскую деятельность.
Например, системы обнаружения вторжений (Intrusion Detection System) должны быть размещены перед ключевыми серверами и точками входа/выхода в закрытые группы. Обнаруживая подозрительные действия инсайдеров, они могут отправлять оповещения в систему защиты информации и управления событиями (Security information and event management). Этот тип оповещения может происходить почти в реальном времени и позволяет своевременно реагировать на происходящие события.
Существующие методы анализа журналов также могут применяться для обнаружения технических действий, относящихся как к внутренним, так и внешним угрозам.
Для выявления потенциальных инсайдерских угроз предлагаются различные подходы [3—6]. В настоящее время разрозненность данных в области инсайдерской угрозы, отсутствие четко определенного и согласованного словаря не дают возможности эффективно использовать показатели внутренней угрозы.
Данные о реализации инсайдерской угрозы собираются как из судебных решений, так и из других источников, в результате различные специалисты при документировании инцидентов склонны либо кратко резюмировать события, либо полагаться на естественный язык, свои случаи и выводы.
Формализация знаний в области внутренних угроз с помощью определённой концептуальной схемы может использоваться для последовательного моделирования показателей инсайдерской угрозы. Хотя модели по своей конструкции чрезвычайно формальны, что может приводить к проблемам представления разнообразных действий, связанных с конкретным случаем, но в конечном итоге общая концепция от разработки модели выиграет. Это способствует созданию машиночитаемой формальной модели, пригодной для совместного использования и понятной специалистам в этой области. Даже при некоторой потере информации при описании отдельных случаев появляется возможность осуществлять анализ больших групп инцидентов с помощью вычислений. Реализация такой модели с использованием уже собранных ранее данных может ускорить процесс обобщения знаний и выработку у специалистов единой концепции в области инсайдерских угроз.
Существует много формальных языков для построения концептуальной модели. Как правило, модель включает в себя одни и те же базовые компоненты, независимо от языка, используемого для их разработки.
Классы представляют понятия предметной области. Для отражения иерархического расположения классы могут иметь подклассы и быть подклассами других классов.
Отношения (связи) определяют взаимодействие компонентов друг с другом и могут быть использованы для описания взаимосвязей между классами.
Атрибуты представляют свойства классов и дают возможность присваивать экземплярам класса определенные значения.
Экземпляры — это конкретные образцы классов, отношений (связей) и атрибутов.
Как указывалось ранее, семантические модели данных являются формальными по своему замыслу и имеют ограничения в описании нюансов инцидентов по сравнению с естественным языком. Создаваемая модель инсайдерской угрозы должна быть достаточной для наших требований и отвечать целям предполагаемого использования.
Возникает проблема для определения области знаний, рассматривающей инсайдерские угрозы, потому что она охватывает несколько областей: информационные технологии, поведение человека, межличностные отношения и отношения с работодателем — и это лишь некоторые из них. Необходимо взять достаточную часть от каждой области, избегая при этом стремления смоделировать все связанные области во всей их полноте.
Действия инсайдерских угроз и последующие события часто сложны и требуют большого количества описательных деталей, которые могут быть сформулированы только при построении моделей с использованием многосторонних связей. Использование многосторонних связей для моделирования концепции является нетривиальным решением, распознавание таких связей в исходных данных и их правильное установление по-прежнему являются областью активных исследований [7].
Опираясь на работу Д. А. Поспелова «Ситуационное управление», исследования отдела CERT Университета Карнеги-Меллона [3, 8], здесь представлена обобщенная модель, отображающая проявления инсайдерской активности, состоящая из пяти классов логически связанных объектов верхнего уровня: «Действующий субъект», «Действие», «Событие», «Ресурс» и «Информация».
Рис. 1. Иерархия класса «Действующий субъект»
Класс «Действующий субъект» содержит подклассы, которые представляют конкретных людей и организации.
Класс «Действие» и его подклассы определяют действия, которые могут выполнять участники реализации инсайдерских угроз. Подклассы более низкого уровня детализируют вышестоящие и могут использоваться в сочетании с другими подклассами
класса «Действие». Например, чтобы смоделировать подозрительное действие поиска, человеку можно назначить подкласс «Поиск» и подкласс «Подозрительные действия».
Действия инсайдеров представлены как один отдельный класс «События». С помощью класса «События» несколько действий могут быть сгруппированы вместе и связаны некоторым качественным или контекстуальным анализом. Чтобы уточнить различие между действиями и событиями, классифицируем действие как наблюдаемое, а событие — как выводимое.
На примере подкласса «Эксфильтрация данных» проиллюстрируем это различие. Эксфильтрация данных — это несанкционированное копирование, передача или извлечение данных с компьютера или сервера. Сама эксфильтрация данных технически не наблюдаема, но конкретные действия копирования, передачи или извлечения данных, связанные с эксфильтрацией, наблюдаемы. Потребуется некоторый качественный анализ этих действий, чтобы определить, были ли они несанкционированными. Если это так, то можно сказать, что действие соответствует событию эксфильтрации данных.
Рис. 3. Иерархия класса «Событие»
Класс «Ресурсы» содержит подклассы, представляющие цели действий или инструменты, используемые объектами действий.
Рис. 4. Иерархия класса «Ресурсы»
Класс «Информация» содержит подклассы различных типов информации, на которые воздействуют действия.
Рис. 5. Иерархия класса «Информация»
При построении диаграммы модели для визуализации проявления инсайдерской активности необходимо провести подробный анализ инцидента, идентифицировать недостающие элементы и проверить, чтобы было представлено каждое действие.
Основной единицей, необходимой для построения модели, является простая ядерная конструкция в виде тройки [8]. В средней ее позиции находится некоторое отношение или действие. В крайних позициях — понятия. На рис. 6 показана конструкция, используемая для визуализации.
Класс
Рис. 6. Конструкции в виде тройки
Отношения фиксируют связи между понятиями и используются для описания их взаимосвязей. Существуют различные группы статических и динамических отношений. В таблице представлены основные группы отношений, которые мы будем использовать для визуализации проявления инсайдерской активности.
Основные группы отношений
№ п/п Наименование отношения № п/п Наименование отношения
1. Иметь 10. Иметь цель
2. Являться экземпляром класса 11. Быть средством для
3. Быть подклассом класса 12. Быть инструментом для
4. Иметь признак 13. Способствовать
5. Соотноситься 14. Располагать информацией
6. Принадлежать 15. Быть отправителем
7. Ссылаться на 16. Быть получателем
8. Служить для 17. Иметь объектом действия
9. Быть целью 18. Совершать действие
Общий процесс перехода от текста к представлению модели следующий:
- отмечаем смысловые единицы текста;
- проводим семантический анализ текста;
- проверяем, чтобы все важные действия и события были представлены и описаны;
- представляем их как экземпляры разработанных классов, показывая их атрибуты и связи;
- используя группировку частей предложения, создаем тройки;
- используя полученные тройки, создаем модель, отражая в ней важные аспекты инцидента.
Приведем описание процесса анализа, используя в качестве примера следующий
текст:
«Инсайдер изменил служебную информацию в организации».
Исходя из нашего примера, модель должна быть способна выразить:
- действие, целью которого является воздействие на информацию;
- важные связи действующих субъектов с действием и объектом воздействия, в данном случае информацией.
После определения важных для дальнейшего моделирования понятий отметим каждый семантический элемент представленного текста.
Рис. 7. Процесс анализа
Разобранный текст оцениваем для определения любых недостающих деталей и важных преобразований, необходимых для построения модели, с учетом сохранения первоначального смысла и значения. Иногда это требует замены терминов. Обычно действия или события являются отправной точкой для построения модели.
После перевода и проверки исходных данных строим диаграмму модели. На рис. 8 показана модель нашего образца.
т
является
экземпляром класса
является экземпляром класса
Организация-жертва
Изменение
Инсайдер
совершает действие
является экземпляром класса
Служебная информация
является
экземпляром класса
имеет цель
Служебная информация
Модификация данных
Рис. 8. Диаграмма примера. «Инсайдер изменил служебную информацию
в организации»
Далее приведены примеры моделирования инцидентов из базы данных инсайдерской угрозы MERIT [3]. Каждая диаграмма является результатом процесса перехода от текста к представлению модели.
Инсайдерские угрозы зависят от сочетания поведенческих, технических, организационных и других факторов, что делает их труднопрогнозируемыми. Создание согласованного набора репрезентативных терминов и определений позволяет разработать варианты конструкций, используемых для формирования стандартизированных показателей потенциальной вредоносной инсайдерской деятельности.
Организация-жертва
Сервер
является экземпляром класса
Файл
Организация
является экземпляром класса
имеет --
является экземпляром класса
Инсайдер
является экземпляром класса
Web-сервер
является экземпляром класса
Учетная запись администратора
►
имеет цель
является инструментом
совершает действие
4
является экземпляром класса
Удаление
Рис. 9. Возможность пользователей с привилегиями системного администратора
саботировать системы или данные. «Инсайдер получил удаленный доступ к веб-серверу с учетной записью администратора и удалил около 1000 файлов»
Органилация- База данных
жертва заработной платы
Рис. 10. Модификация критических данных. «Инсайдер обманным путем внес имя супруга в базу данных заработной платы»
Модификация
является экземпляром
Коммерческая -
Изменение
является экземпляром класса
совершает действие
является экземпляром класса
Организация
является экземпляром
имеет цель
База данных контактов
Информация об адресе
ссылается на
14. laiwiwti
А
Поставщик медицинских услуг
является экземпляром
является экземпляром класса
—К^^Организация____j
Инсайдер
Организация-жертва
Рис. 11. Модификация критических данных. «Инсайдер изменил адреса поставщиков медицинских услуг в базе данных организации»
Предложенное структурное представление инсайдерской активности позволяет создать единую обобщенную модель автоматизированного анализа реализации инсайдерских угроз на объектах информатизации. Такой подход позволяет повысить эффективность противодействия угрозам информационной безопасности, в том числе инсайдерам, применительно как к информационным системам общего пользования, так и в интегрированной мультисервисной сети передачи данных органов внутренних дел. Таким образом, решается задача формализованного представления реализации внутренних угроз информационной безопасности при различных сценариях их реализации.
ЛИТЕРАТУРА
1. Глобальное исследование утечек конфиденциальной информации в 2018 году / Аналитический центр InfoWatch. — URL: https://www.infowatch.ru/report2018 (дата обращения: 12.04.2019).
2. Банк данных угроз безопасности информации / ФСТЭК России. — URL: https://bdu.fstec.ru/ubi/terms/terms/view/id/19 (дата обращения: 12.02.2019).
3. An Insider Threat Indicator Ontology / D. L. Costa, M. J. Albrethsen, M. L. Collins, S. J. Perl, G. J. Silowash, D. L. Spooner, 2016. — URL: https://resources.sei.cmu.edu/li-brary/asset-view.cfm?assetid=454613 (дата обращения: 12.08.2018).
4. Memory A., Goldberg H. G., Senator T. E. Context-Aware Insider Threat Detection. In Proceedings of the Workshop on Activity Context System Architectures, 2013. — URL:
https://studylib.net/doc/13899441/context-aware-insider-threat-detection (дата обращения: 14.10.2018).
5. Proactive insider threat detection through social media: The YouTube case / Kan-dias M., Stavrou V., Bozovic N., Gritzalis D. In Proceedings of the 12th ACM workshop on Workshop on privacy in the electronic society, 2013. — URL: https://www.in-fosec.aueb.gr/Publications/WPES-2013%20Insider%20Social % 20Media %20Utu-be%20Short.pdf (дата обращения: 08.11.2018).
6. Chen Y., Malin B. Detection of anomalous insiders in collaborative environments via relational analysis of access logs. In Proceedings of the first ACM conference on Data and application security and privacy, 2011. — URL: https://link.springer.com/chap-ter/10.1007%2F978-3-319-11212-1_22 (дата обращения: 08.11.2018).
7. Akbik A., Loser A. Kraken: N-ary facts in open information extraction. In Proceedings of the Joint Workshop on Automatic Knowledge Base Construction and Web-scale Knowledge Extraction, 2012. — URL: https://www.researchgate.net/publicati-on/235676301_Automatic_Knowledge_Base_Construction_using_Probabilistic_Extrac-tion_Deductive_Reasoning_and_Human_Feedback (дата обращения: 08.10.2018).
8. Поспелов Д. А. Ситуационное управление : теория и практика. — М. : Наука, 1986. — 288 с.
REFERENCES
1. Globalnoe issledovanie utechek konfidentsialnoy informatsii v 2018 godu / Analit-icheskiy tsentr InfoWatch. — URL: https://www.infowatch.ru/report2018 (data obrascheniya: 12.04.2019).
2. Bank dannyih ugroz bezopasnosti informatsii / FSTEK Rossii. — URL: https://bdu.fstec.ru/ubi/terms/terms/view/id/19 (data obrascheniya: 12.02.2019).
3. An Insider Threat Indicator Ontology / D. L. Costa, M. J. Albrethsen, M. L. Collins, S. J. Perl, G. J. Silowash, D. L. Spooner, 2016. — URL: https://resources.sei.cmu.edu/li-brary/asset-view.cfm?assetid=454613 (data obrascheniya: 12.08.2018).
4. Memory A., Goldberg H. G., Senator T. E. Context-Aware Insider Threat Detection. In Proceedings of the Workshop on Activity Context System Architectures, 2013. — URL: https://studylib.net/doc/13899441/context-aware-insider-threat-detection (data obrascheniya: 14.10.2018).
5. Proactive insider threat detection through social media: The YouTube case / Kan-dias M., Stavrou V., Bozovic N., Gritzalis D. In Proceedings of the 12th ACM workshop on Workshop on privacy in the electronic society, 2013. — URL: https://www.in-fosec.aueb.gr/Publications/WPES-2013 Insider Social%20Media Utube Short.pdf (data obrascheniya: 08.11.2018).
6. Chen Y., Malin B. Detection of anomalous insiders in collaborative environments via relational analysis of access logs. In Proceedings of the first ACM conference on Data and application security and privacy, 2011. — URL: https://link.springer.com/chap-ter/10.1007/978-3-319-11212-1_22 (data obrascheniya: 08.11.2018).
7. Akbik A., Loser A. Kraken: N-ary facts in open information extraction. In Proceedings of the Joint Workshop on Automatic Knowledge Base Construction and Web-scale Knowledge Extraction, 2012. — URL: https://www.researchgate.net/publicati-on/235676301_Automatic_Knowledge_Base_Construction_using_Probabilistic_Extrac-tion_Deductive_Reasoning_and_Human_Feedback (data obrascheniya: 08.10.2018).
8. Pospelov D. A. Situatsionnoe upravlenie : teoriya i praktika. — M. : Nauka, 1986. —
288 s.
СВЕДЕНИЯ ОБ АВТОРАХ
Киселёв Вадим Вячеславович. Профессор кафедры информационной безопасности. Доктор технических наук.
Воронежский институт МВД России.
E-mail: [email protected]
Россия, 394065, г. Воронеж, прспект Патриотов, 53. Тел. (473) 200-52-36.
Шугаев Валерий Александрович. Преподаватель кафедры специальных дисциплин.
Брянский филиал Всероссийского института повышения квалификации сотрудников МВД России.
E-mail: [email protected]
Россия, 241050, Брянск, 2-й Советский пер., 2а. Тел. (483) 266-33-69.
Kiselev Vadim Vyacheslavovich. Professor of the Chair of Information Security. Doctor of Technical Sciences.
Voronezh Institute of the Ministry of the Interior of Russia.
E-mail: [email protected]
Work address: Russia, 394065, Voronezh, Prospect Patriotov, 53. Tel. (473) 200-52-36.
Shugaev Valery Alexandrovich. Lecturer of the Chair of Special Disciplines.
Bryansk Branch of the All-Russian Advanced Training Institute of the Ministry of the Interior of Russia.
E-mail: [email protected]
Work address: Russia, 241050, Bryansk, 2-nd Sovetskiy Lane, 2а. Tel. (483) 266-33-69.
Ключевые слова: информационная безопасность; утечки информации; инсайдерская угроза.
Key words: information security; information leakage; insider threat.
УДК 004.056.5