Выявление инсайдерских угроз в транспортных организациях
М.А. Поляничко ФГБОУ ВО ПГУПС Санкт-Петербург, Россия [email protected]
Аннотация. Рассматривается проблема выявления инсайдерских угроз в транспортных организациях. Предлагается подход к выявлению инсайдерских угроз, который базируется на анализе различных показателей риска предрасположенности к инсайдерскому поведению. Характеризуется проблема выявления инсайдеров. Рассматриваются различные показатели риска: психологические, личностные, скринин-говые, поведенческие, коммуникативные, контекстные и технические.
Показатели риска условно разделяются на три группы: динамические, периодически актуализируемые и стационарные. Для определения значений периодически актуализируемых показателей предлагается использовать метод анализа иерархий. Динамические показатели (технические) могут быть автоматизированно собраны на основе данных вычислительной сети организации и ее информационных систем. Периодически актуализируемые показатели (личностные, поведенческие, контекстные) определяются методом анализа иерархий, скрининговые показатели определяются специализированными средствами. Стационарные показатели риска (психологические и коммуникативные) определяются анкетированием.
Ключевые слова внутренние угрозы информационной безопасности, инсайдер, выявление инсайдеров.
Введение
Под инсайдерами в данной статье подразумеваются работники (действующие и бывшие), подрядчики и деловые партнеры, которые имеют доступ к данным организации, методам обеспечения безопасности и информационным системам, используемым в организации. Угрозы, исходящие от инсайдеров, включают мошенничество, кражу конфиденциальной информации или интеллектуальной собственности, саботаж работы информационных систем и другие угрозы.
Растущая зависимость транспортных организаций от своей информационной инфраструктуры, технологий и информационных активов свидетельствует о том, что проблема инсайдеров будет приобретать всё большую актуальность [1-4].
Выявление инсайдеров
На данный момент не существует полного, эффективного и системного метода, разработанного для решения проблем выявления внутренних угроз информационной безопасности, исходящих от инсайдеров. Решение проблемы противодействия инсайдерам требует создания комплекса мер, направленных на выявление признаков склонности к инсайдерской деятельности [5, 6]. Противо-
действие инсайдерским угрозам требует применения не только программных и технических средств обеспечения информационной безопасности, но и внедрения внутренних процедур и регламентов [7].
В данной статье предлагается комплекс показателей, значения которых позволяют выявить потенциальных инсайдеров. Далее рассматриваются психологические, личностные, скрининговые, поведенческие, коммуникативные, контекстные и технические показатели риска.
Психологические показатели риска Индивидуальные черты характера отдельных людей довольно стабильны и не изменяются в течение жизни. Обнаружение статистически значимой связи между различными профилями личности может служить основой для разработки и внедрения протоколов безопасности, учитывающих специфические психологические характеристики работников [8].
Существует несколько подходов к анализу личности человека. Предлагаемая для использования характеристика личности включает в себя пять общих и относительно независимых черт (диспозиций) характера: экстраверсию, доброжелательность (способность прийти к согласию), сознательность (добросовестность), невротизм (противоположность - эмоциональная стабильность) и открытость опыту (интеллект).
ТАБЛИЦА 1. Психологические показатели риска
Показатель
1
Экстраверсия
Возможные значения
Положительные:
коммуникабельность,
энергичность
Негативные:
склонность к уединению, замкнутость
Способность прийти к согласию
Возможные значения
Положительные:
дружелюбие,
сострадание
Негативные: вызывающее поведение, отрешенность_
Описание показателя
2
Выражается в энергичности, положительных эмоциях, уверенности в себе, разговорчивости, коммуникабельности и склонности искать вдохновение в обществе других людей. Высокая экстраверсия часто воспринимается как попытки к поиску внимания и склонности к доминированию. Низкая экстраверсия характеризует замкнутую, отражающую личность, которую можно воспринимать как отчужденную или поглощенную собой_
Выражается в умении сострадать и склонности к сотрудничеству. Это также мера доверчивости и способности помогать людям, общей уравновешенности. Склонность соглашаться часто рассматривается как наивность или покорность. Неспособность прийти к согласию характерна для неудовлетворенных личностей, склонных к соперничеству. Такие люди, как правило, не внушают доверия
Окончание табл. 1
1 2
Сознательность Возможные значения Положительные: эффективность, организованность Негативные: беспечность, неосторожность Выражается в склонности к самоорганизованности, проявлении дисциплины, прилежности, стремлении к достижениям, предпочтении запланированных, а не спонтанных поступков. Высокая сознательность часто воспринимается как упрямство и одержимость. Низкая добросовестность связана с гибкостью и спонтанностью, но может также проявиться в неряшливости и ненадежности
Невротизм Возможные значения Положительные: чувствительность, нервозность Негативные: спокойствие, уверенность в себе Выражается в склонности легко испытывать неприятные эмоции, такие как гнев, беспокойство и чувство уязвимости. Невротизм также отражает степень эмоциональной устойчивости, умение контролировать импульсы и иногда упоминается как «эмоциональная стабильность». Высокая потребность в стабильности характерна для спокойной личности, но такие люди могут быть восприняты как невнимательные и равнодушные. Низкая потребность в стабильности характерна для возбудимых и динамичных личностей, их обычно воспринимают как нестабильных или небезопасных
Открытость опыту Возможные значения Положительные: изобретательность; любопытство Негативные: последовательность, осторожность Выражается в способности понимать искусство, эмоции, приключения, необычные идеи, любопытстве и разносторонности интересов. Открытость отражает степень интеллектуального уровня, креативности и тяги к новому. Открытость также описывается как степень, в которой человек является творческим и предпочитает различные виды деятельности строгой рутине. Высокий уровень открытости может восприниматься как непредсказуемость или недостаток концентрации, потенциальной склонности к рискованному поведению. Кроме того, люди с высокой открытостью могут тянуться к самореализации и напряженным переживаниям. И наоборот, личности с низкой открытостью получают удовлетворение от постоянства и могут характеризоваться как замкнутые
Личностные показатели риска
Причины инсайдерских инцидентов часто можно обнаружить в личных проблемах в жизни нарушителей, что подтверждается эмпирическими исследованиями. Стоит заметить, что работники могут и скорее всего будут скрывать личную информацию, даже если раскрытие такой информации предусмотрено существующими процедурами организации. Тем не менее наличие проблем может быть замечено другими сотрудниками или может проявляться в виде специфической активности в социальных сетях.
К личностным показателям риска можно отнести депрессию, наличие зависимостей (алкоголь, наркотики, азартные игры), расставание или развод, смерть близкого человека, недовольство условиями труда, наличие хронических заболеваний у самого работника или у его близких.
ПОВЕДЕНЧЕСКИЕ ПОКАЗАТЕЛИ РИСКА
Поведение работника может заранее указывать на наличие инсайдерской угрозы. Чем большему количеству поведенческих рисков подвержен человек, тем больше
вероятность нарушения им режима информационной безопасности.
К основным проявлениям поведенческого риска можно отнести нежелание соблюдать установленные правила и процедуры, преднамеренное вредительство, неоднократное нарушение трудового распорядка, резкие высказывания, импульсивность и агрессию.
Контекстные показатели риска
В то время как предыдущие показатели риска основываются на субъективных оценках со стороны коллег и других источников, оценка контекстных показателей риска подразумевает использование объективной информации, связанной с фактами из биографии потенциального инсайдера. Многие организации используют базовые проверки при проведении процедуры найма на работу и собирают данные, которые могут быть использованы для обнаружения вредоносного поведения. Для этого предлагаются показатели, которые наиболее часто используются в проверках при приеме на работу и которые можно подтвердить.
Контекстные показатели проявляются в участии в деятельности отдельных лиц или групп, выступающих против основных убеждений организации, наличии судимости, участии в деятельности, которая может вызвать конфликт интересов, ведении собственного бизнеса, наличии кредитов и иных финансовых обязательств.
СКРИНИНГОВЫЕ ПОКАЗАТЕЛИ РИСКА
Под скрининговыми показателями риска понимаются данные, полученные в результате проведения процедуры скрининга. Скрининг - процедура верификации данных, представленных кандидатом на трудоустройство в своем резюме и заявлении, выполняемая работодателем (или сторонней организацией). Данная процедура может позволить выявить слабые стороны характера подчиненного и наклонности к нелегальной деятельности, которые могут нанести ущерб организации и ее репутации или служить ограничением для эффективного выполнения им своих обязанностей.
Скрининг часто выполняется для того, чтобы определить, можно ли доверять работнику доступ к финансовым ресурсам и конфиденциальной информации. Также скрининг часто требуется для кандидатов на должности, требующие высокого уровня доверия, такие как работа в сфере образования, в судах, медицинских учреждениях, аэропортах или правительстве. Данная проверка может выполняться частной компанией и быть дорогостоящей. В результате скрининга проверяются данные по прежним местам работы, кредитной истории и записях о судимостях.
Эти проверки часто используются работодателями в качестве средства оценки прошлых ошибок, его характера и пригодности кандидата на работу, а также для выявления потенциальных рисков найма по соображениям безопасности. Проверки также используются для тщательного изучения потенциальных государственных служащих, с тем чтобы получить разрешение на доступ к тайне. Однако эти проверки иногда могут использоваться в незаконных целях, таких как незаконная дискриминация, кража личных данных и нарушение неприкосновенности частной жизни.
Часто проводятся проверки для подтверждения информации, указанной в заявлении о приеме на работу или резюме/биографических данных.
Исследование показало, что половина всех контрольных проверок, проведенных в отношении потенциальных работников, выявляют различия между тем, что предоставил кандидат на работу, и тем, что сообщил источник. Проверки также могут проводиться с целью дальнейшего дифференцирования потенциальных работников и выбора того, который, по мнению работодателя, лучше всего подходит для этой должности. Работодатели обязаны следить за тем, чтобы условия труда были безопасными для всех работников, и предотвращать другие проблемы на рабочем месте.
Скрининговые показатели: наличие алкогольной зависимости, наличие наркотической зависимости, наличие зависимости от азартных игр, наличие хронических заболеваний, наличие хронических заболеваний у близких, кражи по предыдущим местам работы, наличие кредитов и иных финансовых обязательств, искажение данных о себе (документы, записи в трудовой книжке, анкетные данные) при поступлении на работу, наличие связей в криминальном мире, передача конфиденциальной информации посторонним лицам, совершение противоправных действий, в том числе оставшихся нераскрытыми.
ТЕХНИЧЕСКИЕ показатели риска
Предлагается использование пяти групп показателей, получаемых из систем журналирования, которые могут быть использованы для обнаружения подозрительных действий. К ним относятся данные об аутентификации, изменении данных, сетевой активности, получении доступа к ресурсам, системные ошибки и другие события. Программные средства защиты информации, такие как 8ГБМ-и ГО8/ГР8-системы могут быть использованы для предоставления администраторам достаточной информации для обнаружения подозрительной активности. Изменения в конфигурационных файлах, получение доступа к журналам авторизации могут быть проанализированы для наблюдения за активностью сотрудников. Информация из журналов событий может быть использована для создания профиля поведения нормального пользователя. В случае если обнаружено необычное поведение, отличное от профиля нормального поведения, может быть сделано предположение об инсайдерской деятельности [9-13].
Окончание табл. 2
1 2
Поисковые запросы Увеличение количества запросов
Осуществление поиска в нерабочее время
Запросы из черного списка
Прямой доступ к базе данных
Запросы на странные темы
Высокое количество уникальных запросов
Осуществление доступа Высокое использование одного 1Р-адреса для доступа
Доступ в нерабочее время
Доступ к запрещенным ресурсам
Попытки получения администраторского доступа
Скачивание информации Увеличение количества скачиваемой информации
Скачивание информации в нерабочее время
Скачивание с удаленных серверов
Скачивание документов, запрещенных для копирования
Скачивание больших файлов
Использование браузера Частое обращение к одному и тому же ресурсу
Использование браузера в нерабочее время
Просмотр запрещенных ресурсов
Просмотр большого количества документов
Определение значений показателей риска
Приведенные выше показатели предлагается условно разделить на три группы: динамические, периодически актуализируемые и стационарные. Для определения значений периодически актуализируемых показателей предлагается использовать метод анализа иерархий (МАИ). Метод анализа иерархий успешно применяется для осуществления количественной оценки показателей ущерба от реализации угроз информационной безопасности [14].
Данный метод состоит из этапа определения частных показателей, влияющих на формирование оценки предрасположенности к инсайдерской деятельности (предиспози-ции), и нечеткой оценки на основе количественной оценки частных показателей.
Эксперты формируют множество показателей, влияющих на предиспозицию Рг;. Для оценки каждого показателя формируется соответствующий опросный лист questj(Pri) с множеством ответов anSjk(Pri).
{ind1(Pri).....indn.(Pri)}, (1)
где Prt - предиспозиция; indj(Pri),j = 1, - показатели предиспозиции (см. рисунок).
ТАБЛИЦА 2. Технические показатели риска
Группа показателей Показатель
1 2
Печать документов Увеличение количества выводимых на печать документов
Выполнение печати в нерабочее время
Удаленная печать
Печать документов, запрещенных для копирования
Печать больших документов
Дерево декомпозиции для г'-й предиспозиции
Оценка предиспозиции вычисляется на основе следующего алгоритма [2]: Шаг 1. Формирование группы экспертов. Шаг 2. Оценка приоритетов важности для вопросов. Шаг 3. Формирование нечетких приоритетов важности для вопросов.
Шаг 4. Определение нечетких значений баллов.
Шаг 5. Оценка приоритетов важности для ответов внутри
вопросов.
Шаг 6. Формирование нечетких приоритетов важности для ответов внутри вопросов.
Шаг 7. Определение абсолютных значений баллов. Шаг 8. Определение значений баллов, влияющих положительно или отрицательно на оценку предиспозиции Шаг 9. Получение от эксперта вариантов ответов . Шаг 10. Нормирование общего количества баллов.
К динамическим показателям относятся технические показатели (собираются БЬР или 8ГБМ), которые могут быть автоматизированно собраны на основе данных вычислительной сети организации и ее информационных систем.
К периодически актуализируемым относятся личностные показатели (МАИ), поведенческие показатели (МАИ), скрининговые показатели (определяются специализированными средствами), контекстные показатели (МАИ).
К стационарным показателям риска относятся психологические и коммуникативные показатели, зависящие от личности человека (определяются анкетированием).
Заключение
На основе сказанного выше можно сделать вывод, что несмотря на растущую потребность в методе, способном помогать выявлять инсайдерские угрозы, на данный момент отсутствует универсальный подход, способный комплексно решать проблему обнаружения внутренних угроз и противодействия им. Предложенные показатели могут быть использованы для построения автоматизированной
системы выявления инсаидеров в организации, позволяющей повысить эффективность работы администратора безопасности и уменьшить время, требуемое для выявления наличия инсайдерской угрозы.
Литература
1. Анализ угроз информационной безопасности 20162017 // [сайт] URL: https://www.anti-malware.ru/analytics/Threats_Analysis/Analysis_infor-mation_security_threats_2016_2017.
2. Поляничко М.А., Пунанова К.В. Основные проблемы практического применения человеко-ориентированного подхода к обеспечению информационной безопасности // Фундаментальные и прикладные разработки в области технических и физико-математических наук : сборник научных статей по итогам работы третьего международного круглого стола. - М. : Общество с ограниченной ответственностью «КОНВЕРТ», 2018. - C. 57-60.
3. Поляничко М.А. Основные меры противодействия инсайдерским угрозам информационной безопасности // Фундаментальные и прикладные разработки в области технических и физико-математических наук : сборник научных статей по итогам работы четвертого международного круглого стола. - М. : Общество с ограниченной ответственностью «КОНВЕРТ», 2018. - C. 43-46.
4. Zeadally S. Detecting insider threats solutions and trends // Information Security Journal. 2012. № 4 (21), pp. 183-192.
5. Fagade T., Spyridopoulos T., Albishry N., Tryfonas T. (2017) System Dynamics Approach to Malicious Insider Cyber-Threat Modelling and Analysis. In: Tryfonas T. (eds) Human Aspects of Information Security, Privacy and Trust. HAS 2017. Lecture Notes in Computer Science, vol 10292. Springer.
6. Forrest S., Hofmeyr, S., and Somayaji, A. (2008). The evolution of system-call monitoring. Proceedings of Annual Computer Security Applications Conference, pp. 418-430.
7. Kumar S. (1995). Classification and detection of computer intrusions. (Unpublished doctoral dissertation). Purdue University, West Lafayette, IN.
8. Первин Л., Джон О. Психология личности. Теория и исследования. - М. : Аспект Пресс, 2000. - 607 с.
9. Keeney M., Kowalski E., Cappelli D., Moore A., Shimeall T. and S. Rogers. (2005, May). Insider threat study: Computer system sabotage in critical infrastructure sectors. CMU/SEI and U.S. Secret Service.
10. Kruegel C., Mutz D., VaIeur F., and Vigna G. (2003). On the detection of anomalous system call arguments. 8th European Symposium on Research in Computer Security (ESORICS 2003), Gjovik, Norway.
11. Liu A., Martin C., Hetherington T. and Matzner S. (2005). A comparison of system call feature representations for insider threat detection. Proceedings of 2005 IEEE Workshop of Information Assurance and Security, pp. 340-347.
12. Nguyen N., Reiher P., and Kuenning G. (2003). Detecting insider threats by monitoring system call activity. Proceedings of Information AssuranceWorkshop, IEEE Systems, Man and Cybernetics Society, pp. 45-52.
13. Wang X., Jhi Y., Zhu S. and Liu P. (2009). Detecting software theft via system call based birthmarks. Proceedings of Annual Computer Security Applications Conference, pp. 149-158.
14. Аникин И.В. Метод анализа иерархий в задачах оценки и анализа рисков информационной безопасности // Вестник Казанского государственного технического университета им. А.Н. Туполева. - 2006. - № 3. - С. 11-18.
Insider Threats Identification in Transport
Organizations
M.A. Polyanichko Emperor Alexander I St. Petersburg state transport university Saint-Petersburg, Russia [email protected]
Abstract. The article deals with the problem of identifying insider threats in transport organizations. The approach to the identification of insider threats, which based on the analysis of various indicators of risk predisposition to insider behavior, is proposed. The problem of identification of insiders characterized. Various risk indicators considered: psychological, personal, screening, behavioral, communicative, contextual and technical. Risk indicators divided into three groups: dynamic, periodically updated and stationary. To determine the values of periodically updated indicators it proposed to use the hierarchy analysis method. Dynamic indicators (technical) can automated collected on the basis on the data of the organization's computer network and its information systems. Periodically updated (personal, behavioral, contextual) indicators are determined by the method of analysis hierarchies, screening indicators are determined by specialized means. The steady-state risk indicators (psychological and communicative) determined by the questionnaire.
Keywords: internal threats to information security, insider, detection of insiders.
References
1. Analiz ugroz informacionnoj bezopasnosti 2016-2017 // [sajt] URL: https://www.anti-malware.ru/analytics/Threats_ Analysis/Analysis_infor-mation_security_threats_2016_2017.
2. Polyanichko M.A., Punanova K.V. Osnovnye pro-blemy prakticheskogo primeneniya cheloveko-orientirovannogo podhoda k obespecheniyu informacion-noj bezopasnosti // «Fundamental'nye i prikladnye razrabotki v oblasti tekhnicheskih i fiziko-matematicheskih nauk» Sbornik nauchnyh statej po ito-gam raboty tret'ego mezhdunarodnogo kruglogo stola. - M. : Obshchestvo s ogranichennoj ot-vetstvennost'yu «KONVERT». - 2018. - C. 57-60.
3. Polyanichko M.A. Osnovnye mery protivodejstviya in-sajderskim ugrozam informacionnoj bezopasnosti // «Funda-mental'nye i prikladnye razrabotki v oblasti tekhnicheskih i fiziko-matematicheskih nauk» Sbornik nauchnyh statej po ito-gam raboty chetvertogo mezhduna-rodnogo kruglogo stola. -M. : Obshchestvo s ogranichennoj otvetstvennost'yu «KONVERT». - 2018. C. 43-46.
4. Zeadally S. Detecting insider threats solutions and trends // Information Security Journal. - 2012. - № 4 (21). pp. 183-192.
5. Fagade T., Spyridopoulos T., Albishry N., Tryfonas T. (2017) System Dynamics Approach to Malicious Insider Cyber-Threat Modelling and Analysis. In: Tryfonas T. (eds) Human Aspects of Information Security, Privacy and Trust. HAS 2017. Lecture Notes in Computer Science, vol 10292. Springer.
6. Forrest S., Hofmeyr S., and Somayaji A. (2008). The evolution of system-call monitoring. Proceedings of An-nual Computer Security Applications Conference, pp. 418-430.
7. Kumar S. (1995). Classification and detection of computer intrusions. (Unpublished doctoral dissertation). Pur-due University, West Lafayette, IN.
8. Pervin L., Dzhon O. Psihologiya lichnosti: Teoriya i is-sledovaniya. - M. : Aspekt Press, 2000. - 607 s.
9. Keeney M., Kowalski E., Cappelli D., Moore, A., Shimeall, T. and S. Rogers. (2005, May). Insider threat study: Computer system sabotage in critical infrastructure sectors. CMU/SEI and U.S. Secret Service.
10. Kruegel C., Mutz, D., VaIeur, F., and Vigna G. (2003). On the detection of anomalous system call arguments. 8th European Symposium on Research in Computer Security (ESORICS 2003), Gjovik, Norway.
11. Liu A., Martin C., Hetherington T., and Matzner S. (2005). A comparison of system call feature representations for insider threat detection. Proceedings of 2005 IEEE Work-shop of Information Assurance and Security, pp. 340 - 347.
12. Nguyen N., Reiher P. and Kuenning G. (2003). Detecting insider threats by monitoring system call activity. Proceedings of Information AssuranceWorkshop, IEEE Systems, Man and Cybernetics Society, pp. 45-52.
13. Wang X., Jhi Y., Zhu S. and Liu, P. (2009). Detect-ing software theft via system call based birthmarks. Proceedings of Annual Computer Security Applications Conference, pp. 149158.
14. Anikin I.V. Metod analiza ierarhij v zadachah ocenki i analiza riskov informacionnoj bezopasnosti // Vestnik Ka-zanskogo gosudarstvennogo tekhnicheskogo universiteta im. A.N. Tupoleva. - 2006, № 3. - S. 11-18.
HHmmneKmyanbHbie техноnогии Ha mpaHcnopme. 2018. № 3
37