ИСПОЛЬЗОВАНИЕ ТЕХНИЧЕСКИХ ИНДИКАТОРОВ ДЛЯ ВЫЯВЛЕНИЯ ИНСАЙДЕРСКИХ УГРОЗ

Использование технических индикаторов для выявления инсайдерских угроз

Поляничко Марк Александрович

кандидат технических наук

доцент, кафедра Информатика и информационная безопасность, Петербургский государственный

университет путей сообщения Императора Александра I

И polyanichko@pgups.ru

Статья из рубрики "Актуальный вопрос"

Аннотация.

Обнаружение инсайдерских угроз и противодействие им - сложная задача, с которой сталкиваются специалисты в области информационной безопасности как в коммерческом секторе, так и в государственных организациях. Современные организации зависят от информационных технологий и своих информационных активов, что делает проблему противостояния инсайдерам всё более актуальной. Выявление инсайдеров может осуществляться путем внедрения комплекса как технических, так и организационных мер. В статье предлагается использование данных из журналов работы программных средств защиты информации и других средств мониторинга для выявления инсайдерских угроз и выделяется набор индикаторов, указывающих на наличие подозрительных действий работников. Предложенный в статье набор технических индикаторов (показателей) может быть использован для построения системы логических правил или правил нечеткого вывода, позволяющих осуществлять выявление инсайдеров в организации. Внедрение механизмов анализа предложенных индикаторов позволит повысить эффективность работы администратора информационной безопасности и позволит предотвращать инциденты, связанные с реализацией инсайдерских угроз.

Дата направления в редакцию:

Дата рецензирования:

Инсайдерские угрозы является одной из самых больших проблем информационной защиты, так как они выходят на передний план на фоне совершенствования криптографических методов, аппаратных и программных средств защиты информации. Данные угрозы сложно поддаются анализу в силу непредсказуемости человеческого поведения и не могут быть нивелированы полностью. Тем не менее, применение совокупности организационных, профилактических и технических мер может существенно снизить риск данных угроз. Обеспечение информационной безопасности от инсайдерских угроз требует совершенствования как программных средств защиты информации, так и решения организационных проблем и внедрения процессов управления информационной безопасностью, ориентированных на инсайдерские угрозы. Традиционные методы защиты и более совершенная защита от устойчивых продвинутых угроз (advanced persistent threat) на основе сбора данных неэффективны против

инсайдеров-злоумышленников ^^ В контексте данного исследования, инсайдер - это работник организации (как действующие, так и уволенные), деловые партнеры и подрядчики, имеющие доступ к информационным активам и системам организации или располагающие знаниями об используемых в организации методах и средствах обеспечения безопасности, которому предоставлены определённые права доступа. Подразумевается, что такие пользователи могут злоупотреблять своими привилегиями и, таким образом, нарушить конфиденциальность и целостность данных. Также допускается, что «пользователем» может быть какой-то компьютерный объект - процесс, агент или система - предположительно, но совсем необязательно, действующий от имени конкретных пользователей. Инсайдеры представляют большую опасность для организации, так как могут продолжительное время действовать незаметно, совершать акты мошенничества, красть конфиденциальную информацию и интеллектуальную собственность или нарушать работу информационных систем. Статистика показывает, что число инцидентов информационной безопасности, связанных с действиями инсайдеров

растет —а внедрение корпоративных информационных систем ^^ мобильных приложений, мессенджеров, социальных сетей и облачных систем хранения данных в рабочие процессы современных организаций открывают новые возможности для реализации внутренних угроз информационной безопасности.

Современные программные средства защиты информации, как правило, ориентированы на защиту информационных активов и редко на обнаружение аномалий в поведении

работников [4, 10]. Тем не менее, системы управления информационной безопасностью и другие программные средства обеспечения информационной безопасности могут быть

использованы для выявления инсайдерских угроз 12].

Имеются различные показатели, получаемые из систем журналирования программных средств защиты информации, которые могут быть использованы для обнаружения

инсайдерских действий ^^ К ним относятся данные об аутентификации, изменении данных, сетевой активности, получении доступа к ресурсам, активности вредоносного программного обеспечения и системных ошибках. Для обнаружения подозрительной активности администраторы информационной безопасности могут использовать следующие программные средства защиты информации в качестве источников информации:

- SIEM-системы: решения, которые осуществляют мониторинг информационных систем, анализируют события безопасности в реальном времени, исходящие от сетевых устройств, средств защиты информации, ИТ-сервисов, инфраструктуры систем и приложений liil. Входной информацией для SIEM-систем может служить практически

любая информация.

- Средства управления доступом и аутентификации: применяются для управления и мониторинга доступа к информационным системам и использования привилегий.

- DLP-системы: сведения о попытках инсайдерских утечек, нарушении прав доступа.

- IDS/IPS-системы: несут данные о сетевых атаках, изменениях конфигурации и доступа к устройствам.

- Антивирусные приложения: генерируют события о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносном коде.

- Журналы событий серверов и рабочих станций: применяются для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности.

- Межсетевые экраны: сведения об атаках, вредоносном программном обеспечении и прочих угрозах информационной безопасности.

- Сетевое активное оборудование: используется для контроля доступа, учета сетевого трафика.

- Сканеры уязвимостей: данные об инвентаризации активов, сервисов, программного обеспечения, уязвимостей, поставка инвентаризационных данных и топологической структуры.

- Системы инвентаризации и asset-management: поставляют данные для контроля активов в инфраструктуре и выявления новых.

- Системы веб-фильтрации. Предоставляют данные о посещении сотрудниками подозрительных или запрещенных веб-сайтов.

Исходя из вышесказанного, в качестве технических индикаторов (количественных и качественных), которые могут указывать на наличие инсайдерской угрозы могут быть использованы индикаторы, связанные со следующими событиями:

- Увеличение количества выводимых на печать документов

- Выполнение печати в нерабочее время

- Удаленная печать

- Печать документов, запрещенных для копирования

- Печать больших документов

- Увеличение количества запросов

- Осуществление поиска в нерабочее время

- Запросы из черного списка

- Прямой доступ к базе данных

- Запросы на странные темы

- Высокое количество уникальных запросов

- Высокое использование одного 1Р адреса для доступа

- Доступ в нерабочее время

- Доступ к запрещенным ресурсам

- Попытки получения администраторского доступа

- Увеличение количества скачиваемой информации

- Скачивание информации в нерабочее время

- Скачивание с удаленных серверов

- Скачивание документов, запрещенных для копирования

- Скачивание больших файлов

- Частое обращение к одному и тому же ресурсу

- Использование браузера в нерабочее время

- Просмотр запрещенных ресурсов

- Просмотр большого количества документов

Для формирования значений приведенных показателей предлагается использовать математический аппарат нечетких множеств и лингвистические переменные, так как они позволяют оперировать непрерывно изменяющимися во времени динамическими входными данными, перейти к единой качественной шкале измерений и проводить качественную оценку как входных данных, так и выходных результатов. Лингвистическая переменная - в теории нечётких множеств, это переменная, которая может принимать значения фраз из естественного или искусственного языка [7, 13].

Лингвистической переменной называется набор

где Ь - имя лингвистической переменной,

Т - множество значений, которые представляют собой имена нечетких переменных, областью определения каждой переменной является множество X;

G - синтаксическая процедура, позволяющая оперировать элементами терм-множества Т и создавать новые термы

(значения). Множество ^и где С ( Т ) I множество

полученных термов, называется расширенным терм-множеством лингвистической переменной;

М - математическое правило, определяющее класс функции

принадлежности для значений из множества Т .

Для описания лингвистических переменных предлагается использовать функции принадлежности L -класса, р -класса, Б - класса, t - класса и д -класса

!0,для х < а 2 {^)\\Дляа<х < Ь

где Б ( х ; а , Ь , с ) - функция принадлежности S-класса;

Функция S-класса применяется в случае, если возрастание какого-то показателя увеличивает его функцию принадлежности к множеству.

п(_х; Ь, с)

s с — Ь, с — c&j , для х < с

где р ( х ; Ь , с ) - функция принадлежности р -класса;

Функция р-класса применима в том случае, если изменение значения показателя сначала увеличивает значение функции принадлежности, а затем его уменьшает.

где L ( х ; а , Ь ) - функция принадлежностиL -класса;

ФункцияL -класса применяется, если значение функции принадлежности не информативно в каком-то диапазоне значения показателя.

где t ( х ; а , Ь , с ) - функция принадлежности t -класса;

В некоторых случаях, функция принадлежности класса t может быть альтернативой по отношению к функции класса р.

где g ( x ; a , b ) - функция принадлежности g -класса;

Ниже рассмотрены примеры технических показателей выявления инсайдерских угроз. На рисунке 1 изображена лингвистическая переменная «Pr/&ntBursts », характеризующая увеличение количества документов, выводимых на печать. Технический показатель увеличения объема печати описывается тремя термами «low », «medium » и «h/&gh ». Данный показатель измеряется в процентах, относительно среднего объема печати данного сотрудника за предыдущий период. В случае, если количество выводимых на печать документов увеличилось до 25%, то считается, что происходит небольшое

увеличение печати, которое не имеет большой смысл относить к подозрительному поведению. Увеличение свыше 50%, то есть более чем в полтора раза считается подозрительным. Средний диапазон считается областью среднего риска и решение о необходимости дополнительного анализа поведения остается за администратором безопасности.

(PJ,XfGfM)i

где b = « PrintBursts » ,

Т = { «low », «medium », «high »};

X = [0.1001

G = {/E };

I = {"]0w"= L (x, 2 5,5 0); "medium" = t(x,25f50f75);"high" = fix, 50,75)}

Рисунок 1 - Лингвистическая переменная «PrintBursts »

На рисунке 2 изображен график лингвистической переменной «PrintSusTiming ». Технический показатель выполнения печати в нерабочее время описывается тремя термами «low », «medium » и «high ». Данный показатель измеряется в часах, прошедших относительно окончания официального рабочего времени. В работе при создании переменной использовался стандартный восьмичасовой рабочий день (с 8.30 до 17.30). В случае, если сотрудник выполняет печать в течение трех часов с момента окончания рабочего дня, то такое поведение слабо относится к подозрительному, так как задержки на работе являются распространённым явлением. Самым подозрительным временем печати является ночное время, то есть спустя 12-14 часов после окончания рабочего дня. При этом по мере приближения времени к началу следующего рабочего дня значение показателя снижается, так как сотрудники часто приезжают на работу немного заранее.

{,8,T,X,G,M)f

где b = « PrintSusTiming » ,

Т = { «low », «medium », «high »};

X = [0.161

G = {/E };

I = {"low"= L(x, 0,3 ); "medium" = t(x, 2.5,4,8);"high" = ^x, 14,16)}

Рисунок 2 - Лингвистическая переменная «Pr/ntSusT/m/ng »

На рисунке 3 изображен график лингвистической переменной «QueryЖghDistCnt». Технический показатель наличия поисковых запросов на странные темы описывается двумя термами «/о^ » и ». Данный показатель измеряется в процентах,

относительно среднего объема запросов, выполняемых пользователем. В случае, если объем уникальных запросов от общего объема запросов не превышает 25%, то относить данный факт к подозрительному поведению не имеет смысла. Возрастание количества уникальных запросов до 30% и выше может свидетельствовать о том, что пользователь собирает информацию компании или компьютер пользователя заражен вредоносным

программным обеспечением, которое выполняет автоматизированный поиск.

где Ь = « QueryHighDistCnt» , Т = { «/о^ », »};

х = [0.1007

С = {/Е };

I = {"1ош"= Цх, 25,50);"?»^" = 5(х, 0,25,80)}

^ifSlESt

Г &X &У А IV- - Ж 4 Б % 7

ь™ кг. high

НЕ Hi 01 90 (»85

J \\

ь 1« J s » _1И» л 100

Рисунок 3 - Лингвистическая переменная «QueryHighDistCnt»

Анализ данных показателей может выявить потенциально опасные инсайдерские действия, такие как осуществление доступа в нерабочее время, печать или скачивание больших объемов информации, обращение к информации, не требуемой для выполнения должностных обязанностей и д.р.

Заключение

Предложенный набор технических индикаторов (показателей) может быть использован для построения системы логических правил или правил нечеткого вывода, позволяющих осуществлять выявление инсайдеров в организации. Внедрение механизмов анализа предложенных индикаторов позволит повысить эффективность работы администратора информационной безопасности и позволит предотвращать инциденты, связанные с

реализацией инсайдерских угроз и уменьшить время, требуемое для выявления их наличия.

Библиография

https ://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf (дата обращения: 18.07.2018).