ПЕРСПЕКТИВЫ  РАЗВИТИЯ  СИСТЕМ  ВЫЯВЛЕНИЯ  АНОМАЛЬНОГО  ПОВЕДЕНИЯ  ПОЛЬЗОВАТЕЛЕЙ  В  КОРПОРАТИВНЫХ  СЕТЯХ  ПРИ  РЕШЕНИИ  ЗАДАЧ  ОБЕСПЕЧЕНИЯ  ИНФОРМАЦИОННОЙ  БЕЗОПАСНОСТИ

Силантьев  Илья  Олегович

магистр  Казанского  Национального  Исследовательского  Технического  Университета  им.  А.Н.  Туполева  (КАИ),  РФ,  г.  Казань

E -mail:  i.silantev@icloud.com

DEVELOPMENT  PROSPECTS  OF  SYSTEMS  FOR  REVEALING  ABNORMAL  BEHAVIOR  OF  USERS   IN  CORPORATE  NETWORKS  WHEN  PROVIDING  INFORMATION  SECURITY

Ilya  Silantyev

master  of  Kazan  National  Research  Technical  University  named  after  A.N.  Tupolev  (KAI),  Russia,  Kazan

АННОТАЦИЯ

Рассматривается  проблема  утечки  конфиденциальной  информации  в  корпоративных  сетях.  Предлагаются  концепция  построения  системы  защиты  от  утечки  информации  и  перспективы  развития  систем  выявления  аномального  поведения  пользователей  в  организации.

ABSTRACT

Problem  of  security  leakage  in  corporate  networks  is  under  consideration  in  this  article.  Concept  of  protection  system  construction  against  information  leakage  and  development  prospects  of  systems  for  revealing  abnormal  behavior  of  users  in  an  organization  have  been  proposed. 

Ключевые  слова:   нейросетевые  модели;  биометрия;  идентификация;  аутентификация.

Keywords:  neural  network  models;  biometry;  identification;  authentication.

Введение

В  современном  мире  информационные  технологий  проникли  почти  во  все  сферы  деятельности  человека.  Бурная  экспансия  современных  технологий  обусловлена  постоянным  стремлением  человечества  повысить  эффективности  работы.  В  результатом  такого  стремления  повысилось  значение  и  ценность  информации,  что  в  свою  очередь  ставит  вызов  перед  специалистами  информационной  безопасности.

Одна  из  основных  задач  информационной  безопасности  является  защита  информации  от  несанкционированного  доступа  к  ней.  В  ситуации  с  персональной  информацией,  когда  только  владелец  сам  является  полноправным  хозяином,  можно  обойтись  простыми  средствами  защиты,  но  когда  ставится  задача  предоставления  разграниченного  доступа  сотрудникам  организации  к  информации  конфиденциального  характера,  обойтись  простыми  средствами  защиты  информации  не  всегда  получается  эффективно  с  точки  зрения  безопасности. 

Аналитика

Согласно  исследованиям  компании  ЗАО  «InfoWatch»  опубликованным  в  2013  году,  в  ходе  которого  руководителям  и  сотрудникам  подразделений  Информационных  Технологий  (далее  —  ИТ)  и  Информационной  Безопасности  (далее  —  ИБ)  было  предложено  ответить  на  вопрос:  «Какие  угрозы  (внутренние  или  внешние)  представляют  наибольшую  угрозу  для  их  организации»,  —  предпочтение  респонденты  отдали  внутренним  угрозам.

На  рисунках  1  и  2  представлены  результаты  исследования,  которые  показывают  уровень  уверенности  респондентов  в  Средствах  Обеспечения  Информационной  Безопасности  (далее  —  СОИБ)  перед  внутренними  угрозами  организации.

Рисунок  1.  Уровень  в  надежности  СОИБ  собственной  компании  сотрудников  ИТ  и  ИБ

Рисунок  2.  Уровень  в  надежности  СОИБ  собственной  компании  руководителей  ИТ  и  ИБ

Данные  результаты  исследования  наглядно  показывают  заинтересованность  сотрудников  и  руководителей  ИТ  и  ИБ  в  защите  информации  от  утечек  не  только  в  больших  компаниях,  но  и  в  малых.

Так  же  респондентам  было  предложено  проранжировать  источники  внутренних  угроз  в  организации. 

Рисунок  3.  Карта  нарушителей.  Типы  нарушителей  по  тяжести  предполагаемых  потерь  для  бизнеса.  Средние  баллы

На  рисунке  3  представлены  результаты  опросов  респондентов,  из  которого  видно,  что  наибольшее  недоверие  они  испытывают  к  пользователям  расширенных  уровней  доступа,  в  том  числе  и  администраторов  систем  и  баз  данных  [1].

Однако  сводная  карта  инцидентов  полученная  программными  продуктами  ЗАО  «InfoWatch»  дает  иную  картину.  Наибольшее  число  инцидентов  было  связано  с  Топ-менеджерами  или  подрядчиками  организации.

Рисунок  4.  Общеотраслевая  карта  инцидентов

Так  же  сотрудниками  Аналитического  Центра  ЗАО  «InfoWatch»  было  предложено  участникам  исследования,  принадлежащих  Банковскому  сектору,  проранжировать  (в  баллах  от  1  до  6)  шесть  типов  внутренних  угроз  по  тяжести  возможного  ущерба  для  бизнеса  их  компаний.  В  своих  ответах  представители  финансового  сектора  наивысшую  опасность  связывают  с  утечкой  платежных  данных  22—5,723  балла.  Далее  по  тяжести  возможных  последствий  располагаются  злоупотребление  доступом  —  5,1  и  утечка  коммерческой  тайны  —  4,9.  (см.  рисунок  5)  [1]. 

Рисунок  5.  Карта  угроз  банковского  сектора  по  тяжести  предполагаемых  материальных  потерь  для  бизнеса

Карта  инцидентов,  зафиксированных  программными  продуктами  InfoWatch  в  финансовых  организациях,  представлена  ниже  (см.  рисунок  6)  [1]. 

Рисунок  6.  Отраслевая  карта  инцидентов

Значительная  часть  случаев  нарушения  ИБ  в  финансовой  сфере  связана  с  утечкой  платежных  и  персональных  данных  (более  85  %).  Интересно,  что  потерю  персональных  данных  менеджеры  ИТ  и  ИБ  воспринимают  как  меньшую  угрозу,  нежели  утечка  платежных  данных,  поскольку  ущерб  от  утечки  платежных  данных  более  очевиден.  Это  уже  не  просто  возможность  злоупотреблений,  как  в  случае  с  персональными  данными,  но  инструмент  для  мошенников.  Как  следствие  —  прямой  ущерб  для  клиентов  банка,  финансовые  потери  и  репутационные  издержки  для  банка.  Однако  и  утечка  персональных  данных  грозит  серьезными  потерями,  например,  если  база  данных  клиентов  оказывается  в  руках  конкурирующего  банка. 

Помимо  платежных  и  персональных  данных,  в  финансовом  секторе  «уходит»  коммерческая  тайна  (данные  о  межбанковских  операциях,  маршруты  инкассаторских  автомобилей,  маркетинговые  планы,  расчеты  себестоимости  банковских  продуктов,  стратегии  развития),  зарегистрированы  случаи  нелояльного  поведения  сотрудников  и  злоупотребления  доступом  к  информации. 

Таким  образом  можно  сделать  выводы,  что  вопрос  обеспечения  от  внутренних  угроз  является  актуальным  как  для  малых  организаций,  так  и  для  больших.  Среди  потенциальных  источников  утечки  информации  большее  внимание  стоит  уделять  не  только  топ-менеджерам  и  сотрудникам  обладающих  расширенным  уровнем  доступа  к  конфиденциальной  информации,  но  и  к  пользователям  обладающих  доступом  к  персональным  и  платежным  данным  клиентов.

Системы  защиты  от  утечек  информации

Эффективность  работы  по  защите  от  утечек  конфиденциальной  информации  определятся  количеством  своевременно  выявленных  утечек  информации.  Работа  в  данном  направлении  во  многом  автоматизирована  с  помощью  современных  систем  защиты  информации  таких,  как  DLP  системы,  SIEM,  tipwire,  системы  обнаружения  аномалий.  К  сожалению  все  эти  системы  нельзя  считать  панацей  от  утечек. 

Рассмотрим  несколько  случаев  из  практики:

1.  В  организации  имеется  рабочий  ноутбук  Топ-менеджера,  на  котором  хранятся  стратегические  инициативы  развития  и  который  случайным  образом  был  утерян  в  командировке.  Такое  событие  можно  рассматривать  как  утечку  информацию,  потому  что  имеется  больший  риск,  что  конфиденциальные  сведения  могут  попасть  в  руки  прямых  конкурентов.  В  такой  ситуации  может  спасти  лишь  шифрование  диска,  обычные  системы  защиты  от  утечки  информации  тут  бессильны  [2].

2.  Сотрудник  обслуживающий  VIP  клиента,  отправляет  клиенту  свой  e-mail  адрес  с  просьбой  обращаться  к  нему  по  любым  вопросам  и  в  любое  время  суток,  а  сам  через  пару  недель  увольняется,  уводя  вслед  за  собой  VIP  клиента  в  новую  организацию.  Никакой  утечки  информации  нет,  а  ущерб  организации  причинен.

В  такой  ситуации  DLP  перехватит  сообщение  переданное  сотрудником  клиенту,  благодаря  современным  технологиям  отнесет  сообщение  к  определенной  категории,  но  фактически  никакого  инцидента  ни  система,  ни  офицер  безопасности  в  этом  вряд  ли  не  увидит.

Для  решения  подобных  задач  DLP  система  должна  применяться  в  комплексе  с  SIEM  системами,  которые  способны  проводить  анализ  событий  и  группировать  их  в  один  инцидент,  как  в  нашем  случае:  передача  сообщения  и  заявление  на  увольнение  через  пару  недель.

Не  малую  проблему  в  защите  от  утечек  информации  в  организациях  создают  мобильные  устройства  сотрудников,  принесенные  на  рабочие  места.  В  таком  случае  совместно  с  DLP  система  должна  использоваться  MDM  система  (Mobile  Device  Management),  которая  осуществляет  контроль  мобильных  устройств  (смартфоны,  ноутбуки,  планшеты).

Таким  образом,  DLP  система  не  является  панацеей  от  утечек  информации  в  организации,  но  построение  эффективной  системы  защиты  от  утечек  без  DLP  вряд  ли  возможен.  Наибольшая  эффективность  процесса  обеспечения  защиты  от  утечки  информации  достигается  при:

1.  применение  DLP  совместно  с  другими  техническими  решениями;

2.  создания  полноценного  процесса  управления  рисками  потери  конфиденциальной  информации  и  построение  сопутствующих  организационных  процессов  [2]. 

Так  как  рассмотренные  выше  системы  не  решают  полностью  задачу  перспективным  направление  для  развития  систем  защиты  информации  от  утечек  предлагается  создание  систем,  прогнозирующие  возможность  утечки  конфиденциальной  информации.

Системы  прогнозирования  утечки  информации  сводится  к  построению  профиля  пользователя,  выявлению  аномального  поведения  (отклонения  от  профиля)  пользователя  в  корпоративной  среде  и  прогнозированию  на  основе  полученной  информации  возможности  возникновения  утечки  информации.

Список  литературы:

1.Глобальное  исследование  утечек  конфиденциальной  информации  в  2013  году  —  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://www.infowatch.ru/report2013 

2.Существует  ли  панацея  от  утечек  —  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://futurebanking.ru/post/2535