Рус Eng Cn Перевести страницу на:  
Please select your language to translate the article


You can just close the window to don't translate
Библиотека
ваш профиль

Вернуться к содержанию

Программные системы и вычислительные методы
Правильная ссылка на статью:

Метод обнаружения инсайдерской деятельности в организации

Корниенко Анатолий Адамович

доктор технических наук

профессор, заведующий кафедрой информатики и информационной безопасности, Петербургский государственный университет путей сообщения Императора Александра I

190031, Россия, г. Санкт-Петербург, Московский пр., 9

Kornienko Anatolii Adamovich

Doctor of Technical Science

Professor, Head of the Department of Computer Science and Information Security, Emperor Alexander I St. Petersburg State University of Communications

190031, Russia, g. Saint Petersburg, Moskovskii pr., 9

kaa.pgups@yandex.ru
Поляничко Марк Александрович

кандидат технических наук

доцент, кафедра Информатика и информационная безопасность, Петербургский государственный университет путей сообщения Императора Александра I

190031, Россия, Санкт-Петербург область, г. Санкт-Петербург, ул. Московский, 9

Polyanichko Mark Aleksandrovich

PhD in Technical Science

Associate Professor, Department of Computer Science and Information Security, Emperor Alexander I St. Petersburg State University of Communications

190031, Russia, Sankt-Peterburg oblast', g. Saint Petersburg, ul. Moskovskii, 9

polyanichko@pgups.ru
Другие публикации этого автора
 

 

DOI:

10.7256/2454-0714.2019.1.29048

Дата направления статьи в редакцию:

21-02-2019


Дата публикации:

28-02-2019


Аннотация: Обнаружение инсайдерских угроз – задача, которую решают аналитики и администраторы информационной безопасности как в коммерческом секторе, так и в государственных организациях. До 75 % инцидентов, связанных с действиями инсайдеров до сих пор обнаруживается в ручном режиме. Обнаружение инсайдерских угроз в организации может быть осуществлено с использованием комплекса организационных и технических мер. Для их выявления в статье предлагается использование поведенческих и технических показателей. Целью работы является повышение результативности противодействия случайным и злонамеренным инсайдерским угрозам информационной безопасности на основе разработки метода обнаружения инсайдерской деятельности в организации. Для достижения поставленной цели применяется теоретико-множественное моделирование, метод анализа иерархий, аппарат нечеткой логики и система нечеткого вывода. В результате проведенного исследования был разработан метод, позволяющий осуществлять обнаружение инсайдерской деятельности в организации, основанный на оценивании предиспозиции сотрудника к инсайдерской деятельности и выявление инсайдера по результатам регистрации инцидента информационной безопасности. Разработанный метод может быть использован при создании автоматизированной системы выявления инсайдеров в организации.


Ключевые слова:

внутренние угрозы, информационная безопасность, инсайдер, обнаружение инсайдеров, противодействие, угрозы, безопасность, организация, автоматизированные системы, моделирование

Abstract: Detecting insider threats is a task that analysts and information security administrators address in the commercial sector and in government organizations. Up to 75% of incidents involving insider actions are still detected manually. Detection of insider threats in an organization can be carried out using a set of organizational and technical measures. To identify them, the authors propose the use of behavioral and technical indicators. The aim of the article is to increase the effectiveness of countering random and malicious insider information security threats by developing a method for detecting insider activity in an organization. To achieve this goal authors used set-theoretic modeling, a hierarchy analysis method, a fuzzy logic apparatus and a fuzzy inference system. As a result of the study authors developed a method that allows detecting insider activity in an organization based on evaluating an employee's predisposition to insider activity and identifying an insider as a result of recording an information security incident. The developed method can be used to create an automated system for identifying insiders in an organization.


Keywords:

internal threats, information security, insider, insider detection, counteraction, threats, security, organization, automated systems, modeling

Определение случайных и преднамеренных инсайдерских угроз – задача, которую решают аналитики и администраторы информационной безопасности как в коммерческом секторе, так и в государственных организациях [20]. До 75 % инцидентов, связанных с действиями инсайдеров до сих пор обнаруживается в ручном режиме и только 19 % действий выявляются с помощью сочетания автоматизированных средств и ручных процедур [5, 21]. Вместе с тем, отчеты компаний – разработчиков программных средств обеспечения информационной безопасности показывают, что количество инцидентов, связанных с инсайдерской активностью растет [4, 7].

В данной работе в основу процесса обнаружения инсайдерской деятельности в организации положена парадигма оценивания потенциальной склонности (предиспозиции) сотрудника организации к инсайдерской деятельности и выявление инсайдера по результатам регистрации инцидента информационной безопасности, связанного с инсайдерской деятельностью, и его расследования с учетом рисков предиспозиции. Предиспозиция – готовность, предрасположенность субъекта к поведенческому акту, действию, поступку, их определенной последовательности [12].

Проблемы, связанные с инсайдерскими угрозами сложнее поддаются решению, чем технические проблемы. Люди проявляют себя по-разному (полиморфное поведение), зачастую, они склонны скрывать свои истинные эмоции от окружающих, меняют своё поведение в зависимости от ситуации. Инсайдер будет постоянно анализировать и оценивать риск быть пойманным. В связи с этим, решение задачи выявления потенциальных и реальных инсайдеров требует создание метода, сочетающего в себе технические и организационные меры [17, 18].

Предлагаемый метод обнаружения инсайдерской деятельности комбинирует применение организационных и технических подходов и агрегирует разнородные данные [19].

Для выявления инсайдерской деятельности в организации предлагается следующий метод (Рис. 1):

Рис. 1. Метод обнаружения инсайдерской деятельности

Метод предполагает анализ трех групп показателей:

· Стационарных;

· Периодически актуализируемых;

· Динамических.

Анализ данных показателей позволяет определить, склонен ли работник к совершению нарушения, то есть определяется его предиспозиция.

К стационарным показателям относятся психологические и коммуникативные показатели, зависящие от личности человека. Психологические показатели (экстраверсия, способность прийти к согласию, сознательность, невротизм, открытость опыту) определяются на основе пятифакторного личностного опросника «Большая пятерка» (Big five), разработаного американскими психологами Р. МакКрае и П. Коста [6]. Коммуникативные показатели (уровень общительности, склонность к соперничеству, сотрудничеству, компромиссу, склонность к избеганию проблем или приспособлению). Значения стационарных показателей определяются с использованием теста на уровень общительности В.Ф. Ряховского [14] и методики диагностики поведения личности в конфликтной ситуации (опросник Кеннета Томаса «Определение способов регулирования конфликтов»).

К периодически актуализируемым относятся личностные показатели, поведенческие показатели, скрининговые показатели (данные полиграфа) и контекстные показатели. Данные показатели представляют собой многомерный набор количественных и качественных показателей, значения которых определяются на основе высказываний экспертов. Для обработки значений применяется нечеткое обобщение метода анализа иерархий [1–3, 8–10, 23].

К динамическим показателям относятся технические показатели (собираются DLP, IDS или SIEM), значения которых могут быть автоматизировано собраны на основе данных вычислительной сети организации и ее информационных систем [11]. Данные показатели отражают события, связанные с печатью документов, осуществлением доступа к ресурсам, скачиванием информации и т. п.

Оценки предиспозиции для первых двух групп определяются по следующим показателям:

Личностные показатели

- Нахождение в состоянии депрессии;

- Наличие алкогольной зависимости;

- Наличие наркотической зависимости;

- Наличие зависимости от азартных игр;

- Недавняя смерть близкого человека;

- Недовольство условиями труда;

- Наличие хронических заболеваний;

- Наличие хронических заболеваний у близких;

- Нахождение в состоянии расставания или развода.

Поведенческие показатели

- Нарушение установленных правил и процедур;

- Преднамеренное вредительство;

- Нарушение трудового распорядка;

- Добровольчество, дающее доступ к конфиденциальным данным;

- Сверхурочная работа;

- Резкие высказывания, шутки или хвастовство;

- Проявление агрессии.

Контекстные показатели

- Участие в деятельности отдельных лиц или групп, выступающих против основных убеждений организации;

- Наличие судимости;

- Доступ к финансовым активам организации;

- Участие в деятельности, которая может вызвать конфликт интересов;

- Ведение собственного бизнеса;

- Наличие кредитов и иных финансовых обязательств;

- Активное присутствие в социальных сетях.

Скрининговые показатели

- Наличие алкогольной зависимости;

- Наличие наркотической зависимости;

- Наличие зависимости от азартных игр;

- Наличие хронических заболеваний;

- Наличие хронических заболеваний у близких;

- Кражи по предыдущим местам работы;

- Наличие кредитов и иных финансовых обязательств;

- Искажение данных о себе (документы, записи в трудовой книжке, анкетные данные) при поступлении на работу;

- Наличие связей в криминальном мире;

- Передача конфиденциальной информации посторонним лицам;

- Совершение противоправных действий, в том числе оставшихся нераскрытыми.

Для оценки каждого показателя , влияющего на предиспозицию формируется соответствующий опросный лист с множеством ответов .

,

где

– предиспозиция;

– показатели предиспозиции.

Данная иерархия может быть представлена деревом декомпозиции (Рис. 2):

Рис. 2. Дерево декомпозиции для i-ой предиспозиции

Оценка предиспозиции вычисляется на основе следующего алгоритма [10]:

- Шаг 1. Формирование группы экспертов

Для каждого эксперта должен быть назначен вес . Количество экспертов равно . В зависимости от того, оценку какой предиспозиции необходимо вычислить в группе экспертов могут включаться работники ИТ отделов, работники, отвечающие за информационную безопасность или отдел кадров.

- Шаг 2. Оценка приоритетов важности для вопросов

Экспертным путём выполняются попарные сравнения вопросов по отношению к степени их влияния на оценку определяемой предиспозиции . Для каждого эксперта вычисляется вектор приоритетов , вопросов , где номер эксперта – .

- Шаг 3. Формирование нечетких приоритетов важности для вопросов

Нечеткий приоритет вопроса представляется в виде нечеткого числа .

- Шаг 4. Определение нечетких значений баллов

– нечеткие значения баллов, отводимые на каждый отдельный вопрос .

- Шаг 5. Оценка приоритетов важности для ответов внутри вопросов

Аналогично шагу 2 алгоритма. Каждый экспертом выполняются попарные сравнения ответов , и вычисляются векторы приоритетов , где номер эксперта –

- Шаг 6. Формирование нечетких приоритетов важности для ответов внутри вопросов

- Нечеткий приоритет вопроса представляется в виде нечеткого числа .

- Шаг 7. Определение абсолютных значений баллов

в виде нечетких чисел, зависящих от выбранного экспертом ответа. Количество баллов .

- Шаг 8. Определение значений баллов, влияющих положительно или отрицательно на оценку предиспозиции

Отрицательные значения баллов противоположны их абсолютным значениям.

- Шаг 9. Получение от эксперта вариантов ответов

Эксперты дают ответ на каждый из вопросов .

- Шаг 10. Нормирование общего количества баллов

Баллы, набранные за ответы на вопросы теста нормируются по следующей формуле:

где

;

;

минимальное значение баллов при ответе на вопрос;

максимальное значение баллов при ответе на вопрос.

- Шаг 11. Определение оценки предиспозиции

Оценка предиспозиции равняется

Для обнаружения инсайдерской деятельности требуется оценивание показателей, характеризующих склонность к случайному и злонамеренному инсайдерскому поведению и обобщенного динамического показателя. Необходимым условием формирования данных оценок и обобщенного технического показателя, является создание лингвистических переменных. Это обусловлено рядом преимуществ использования лингвистических переменных:

- лингвистические переменные позволяют оперировать непрерывно изменяющимися во времени динамическими входными данными;

- возможность перехода к единой качественной шкале измерений [24];

- проведение качественной оценки как входных данных, так и выходных результатов.

Лингвистическая переменная – в теории нечётких множеств, это переменная, которая может принимать значения фраз из естественного или искусственного языка [13, 22]. Лингвистической переменной называется набор [15]:

,

где

b – имя лингвистической переменной,

Т – множество значений, которые представляют собой имена нечетких переменных, областью определения каждой переменной является множество X;

G – синтаксическая процедура, позволяющая оперировать элементами терм-множества T и создавать новые термы (значения). Множество , где G(T) ‑ множество полученных термов, называется расширенным терм-множеством лингвистической переменной;

М – математическое правило, определяющее класс функции принадлежности для значений из множества T.

Обнаружение потенциальной инсайдерской деятельности осуществляется на основе последовательного применения баз правил нечеткого вывода для различных показателей:

r

Рис. 3. Схема нечеткого вывода обобщенного показателя

Каждая база нечетких правил, которая также может называться лингвистической моделью, состоит из множества нечетких правил , вида

,

где

N – количество нечетких правил;

– нечеткие множества ;

– нечеткие множества ;

– входные лингвистические переменные, где=

– выходные лингвистические переменные, где =.

В результате работы предлагаемой схемы вывода, оцениваемый работник организации получает несколько оценок, характеризующих его склонность к случайной или преднамеренной инсайдерской деятельности и оценку обобщенного технического показателя, чувствительного к выполнению подозрительных операций. По каждому работнику вычисляется три оценки:

- Оценка склонности к случайному инсайдерскому поведению AccInsider;

- Оценка склонности к злонамеренному инсайдерскому поведению MalInsider;

- Оценка обобщенного динамического показателя ITSummary.

На завершающем этапе метода, все работники приоритезируются по степени актуальности угрозы на основании вычисленных оценок. Для приоритезации работников предлагается использовать критерий Лапласса [16]:

где

– значение показателя.

Частный вид критерия Лапласа для случайного инсайдерского поведения:

Частный вид критерия Лапласа для злонамеренного инсайдерского поведения:

Допустим, что по результатам работы метода обнаружения инсайдерской угрозы были получены оценки склонности к случайному инсайдерскому поведению и обобщенный технический показатель для четырех работников:

AccInsider

ITSummary

1

0.8

0.1

2

0.2

0.3

3

0.6

0.8

4

0.9

0.4

Таким образом, после вычисления критерия Лапласа будут получены следующие приоритеты:

AccInsider

ITSummary

Li

Приоритет

1

0.8

0.1

0.45

3

2

0.2

0.3

0.25

4

3

0.6

0.8

0.7

1

4

0.9

0.4

0.65

2

По результатам работы метода определено, что наибольшую угрозу представляет работник, имеющий оценку склонности к непреднамеренному инсайдерскому поведению выше среднего и самую высокую оценку обобщенного технического показателя.

В результате проведенного исследования был разработан метод, позволяющий осуществлять обнаружение инсайдерской деятельности в организации, основанный на оценивании предиспозиции сотрудника к инсайдерской деятельности и выявление инсайдера по результатам регистрации инцидента информационной безопасности.

Библиография
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
References
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.

Результаты процедуры рецензирования статьи

В связи с политикой двойного слепого рецензирования личность рецензента не раскрывается.
Со списком рецензентов издательства можно ознакомиться здесь.

Предмет исследования – методика обнаружения инсайдерской деятельности в организации с учётом статистических, динамических и периодически актуализируемых (включая личностные, поведенческие, контекстные, скрининговые) показателей.

Методология исследования основана на сочетании теоретического и модельного подходов с применением методов анализа, алгоритмизации, моделирования, программирования, сравнения, обобщения, синтеза на основе нечёткой логики и нечётких множеств.

Актуальность исследования обусловлена важностью обеспечения информационной безопасности современного бизнеса, в частности, предупреждения несанкционированного распространения инсайдерской информации и, соответственно, необходимостью изучения и совершенствования методик выявления лиц, склонных к подобным проступкам, в том числе с использованием средств автоматизации.

Научная новизна связана с разработанной авторами методикой обнаружения в организации лиц, склонных к нарушениям в сфере обращения с инсайдерской информацией, основанный на оценивании предиспозиции сотрудника к инсайдерской деятельности и выявление инсайдера по результатам регистрации инцидента информационной безопасности. Показано, что наибольшую угрозу представляет работник, имеющий оценку склонности к непреднамеренному поведению выше среднего и самую высокую оценку обобщенного технического показателя.

Стиль изложения научный. Статья написана русским литературным языком.

Структура рукописи включает следующие разделы (в виде отдельных пунктов не выделены, не озаглавлены): Введение (определение случайных и преднамеренных инсайдерских угроз, парадигма оценивания потенциальной склонности (предиспозиции), полиморфное поведение), Методика обнаружения инсайдерской деятельности (применение организационных и технических подходов, алгоритм обнаружения инсайдерской деятельности на основании стационарных, периодически актуализируемых, динамических показателей, психологические и коммуникативные показатели личности), опросный лист, дерево декомпозиции для i-ой предиспозиции, алгоритм оценки предиспозиции), Создание лингвистических переменных (преимущества использования лингвистических переменных, теория нечётких множеств), Обнаружение потенциальной инсайдерской деятельности (применение баз правил нечёткого вывода для различных показателей, схема нечёткого вывода обобщённого показателя, оценки AccInsider, MalInsider, ITSummary, критерий Лапласа, пример расчёта, Заключение (выводы), Библиография.

Текст содержит три рисунка, две таблицы. Рисунок 1 желательно назвать «Алгоритм обнаружения инсайдерской деятельности». Рисунок 3 следует повернуть на 90 градусов по часовой стрелке, элементы данного рисунка практически не читаются, их обозначения требуют пояснений. Таблицы должны иметь номер, название, ссылку в предшествующем тексте.

Содержание в целом соответствует названию. В то же время в формулировке заголовка следует учесть, что речь идёт скорее о методике, нежели о методе обнаружения инсайдерской деятельности. Необходимо пояснить, что понимается под инсайдерской деятельностью, всегда ли (что спорно) понятия «инсайдер», «инсайдерская деятельность» имеют негативную коннотацию. В целом не ясно, каким образом проводилась апробация разработанной методики – имеет она модельный либо практический характер, какие данные, о каких людях, в каких организациях использовались для определения показателей, представленных в таблицах. Следует также указать, какими программными средствами реализовано предлагаемое решение задачи обнаружения инсайдерской деятельности.

Библиография включает 24 источника отечественных и зарубежных авторов – монографии, научные статьи, материалы научных мероприятий, диссертации, Интернет-ресурсы. Библиографические описания некоторых источников нуждаются в корректировке в соответствии с ГОСТ и требованиями редакции, например:
1. Anikin I.V. Information Security Risks Assessment Method Based on AHP and Fuzzy Sets // 2nd Intl’ Conference on Advances in Engineering Sciences and Applied Mathematics ICAESAM’2014. – Место издания ??? : Наименование издательства ???, Год издания ???. – Р. ???–???.
2. Dong M., Li S., Zhang H. Approaches to group decision making with incomplete information based on power geometric operators and triangular fuzzy AHP // Expert Systems and Applicatinons. – 2015. – Vol. 42. – № 21. – P. 7846–7857.
4. Insider Threat Report: 2018-CA Technologies. – URL: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf (дата обращения: 18.07.2018).
6. McCrae R. R., John O. P. An introduction to the five factor model and its applications //Наименование издания. – 1992. – Vol. 60. – Р. 175–215.
9. Аникин А.В. Методика формирования анкет для задач оценки возможности реализации угроз и уязвимостей // Инфокоммуникационные технологии глобального информационного общества : сборник трудов 3-й ежегодной научно-практической конференции (Казань, 8–9 сентября 2005 г.). – Место издания ??? : Наименование издательства ???, Год издания ???. – С. 333–342.
10. Аникин И. В.. Методы и алгоритмы количественной оценки и управления рисками безопасности в корпоративных информационных сетях на основе нечеткой логики: диссертация ... д-ра техн. наук. – Казань, 2017. – ??? с.
11. Аникин И. В. Технология интеллектуального анализа данных для выявления внутренних нарушителей в компьютерных системах // Научно-технические ведомости СПбГПУ. Информатика. Телекоммуникации. Управление. – 2010. – № 6 (113). – С. ???–???.
12. Даль В. И. Толковый словарь живого великорусского языка : в 4 т. – М.: Русский язык, 1998. – Т. 2. – 779 с.
13. Заде Л. Понятие лингвистической переменной и его применение к принятию приближенных решений. – М.: Мир, 1976. – ??? с.
17. Мамочка Е. А. Типы личности преступника-инсайдера // Территория новых возможностей. Вестник Владивостокского государственного университета экономики и сервиса. – 2016. – № 3. – C. 70–78.
18. Поляничко М. А., Королев А. И. Критерии классификации инсайдеров // Естественные и технические науки. – 2018. – № 9. – С. 149–151.
22. Рутковская Д., Пилиньский М., Рутковский Л. Нейронные сети, генетические алгоритмы и нечеткие системы / пер. с польск. И. Д. Рудинского. – М. : Горячая линия – Телеком, 2006. – ??? с.
Для источника № 5 нужно указать выходные данные. Номера конкретных цитируемых страниц следует указывать в сносках в основном тексте (например, [16, с. 291]), в библиографическом списке – общее число страниц. Возможно излишнее самоцитирование (Аникин И. В. / Anikin I. V.).

Апелляция к оппонентам (Даль В. И., Карелин А. А., Кузнецов Ю. Н., Кузубов В. И., Волощенко А. Б., Мамочка Е. А., Поляничко М. А., Королев А. И., Пунанова К. В., Рутковская Д., Пилиньский М., Рутковский Л., Заде Л., Кофман А., Саати Т., Хованов Н. В., Dong M., Li S., Zhang H., Fu S., Zhou H., Keeney M., Kowalski E., Cappelli, D., Moore A., Shimeall T., Rogers S., McCrae R. R., John O. P., Xuepeng H., Wei X. и др.) имеет место.

Замечен ряд опечаток: разработаного американскими психологами Р. МакКрае и П. Коста – разработанного американскими психологами Р. МакКрае и П. Коста; предлагается использовать критерий Лапласа – предлагается использовать критерий Лапласа.

Аббревиатуры DLP, IDS, SIEM следует привести полностью.

В целом рукопись соответствует основным требования, предъявляемым к научным статьям. Материал представляет интерес для читательской аудитории и после доработки может быть опубликован в журнале «Программные системы и вычислительные методы» (рубрика «Модели и методы управления информационной безопасностью»).