Несанкционированный доступ и утечка данных могут нанести компании значительный экономический ущерб, привести к снижению ее рентабельности и оттоку клиентов. Именно поэтому в любом крупном предприятии стоит вопрос защиты конфиденциальных данных и оперативного обнаружения информационных угроз.
Информационные угрозы принято разделять на внешние и внутренние. В случае внешних угроз, злоумышленник пытается получить доступ к конфиденциальным данным компании, отыскивая уязвимости в аппаратной и программной архитектуре информационной системы. Примерами таких атак являются:
– Внедрение кода (XSS, SQL Injection и т.д.)
– Сетевая разведка
– Атака «Человек посередине» и пр.
Под внутренними угрозами понимаются угрозы, исходящие от действий сотрудников компании. Это могут быть как умышленные, так и неумышленные действия сотрудников, приводящие к компрометации конфиденциальной информации.
Применяются различные способы защиты как от внешних, так и от внутренних угроз информационной безопасности. Однако если стратегии защиты от внешних угроз регулируются архитектурой информационной системы и применением «лучших» практик по защите от распространенных атак, то внутренние атаки не так просто распознать и предотвратить. При этом согласно исследованию, проведенному компанией InfoWatch в 2018г., на долю внутренних нарушителей приходится около 64,5% всех инцидентов утечки информации.
Для выявления подозрительной активности со стороны сотрудников используются системы поведенческого анализа. Решения этого класса занимаются разбором действий конкретного пользователя и составлением модели его «типичного» поведения в информационной системе. Анализируется его работа с данными, устройствами, а также сетевое взаимодействие.
Разработка систем поведенческого анализа сводится к следующим этапам:
1) Определение источников информации о действиях сотрудников в системе
2) Агрегация данных из разных источников и приведение их к единому виду
3) Разработка обучающих алгоритмов, позволяющих выстроить стандартную поведенческую линию каждого пользователя
4) Предоставление отчетов по аномальным активностям пользователей.
Рассмотрим каждый этап подробнее.
- Определение источников информации о действиях сотрудников в системе
При разработке систем поведенческого анализа необходимо обратить внимание на различные типы источников информации о действиях сотрудников, которые позволят составить более точный профиль пользователя и определить его модель поведения. В качестве стандартных источников информации выступают логи доступа к серверным компонентам и журналы персональных компьютеров, информация об использовании сетевого трафика, а также транзакции баз данных.
- Агрегация данных из разных источников и приведение их к единому виду.
Данные о действиях сотрудников, поступающие из разных источников, имеют различную структуру. Поэтому необходимо преобразовать их к единому формату, пригодному для статистического анализа. С этой целью применяют ETL или ELT процессы. (с англ. Extraction, Transformation, Loading – выгрузка, преобразование, загрузка). Данные выгружаются из предопределенных источников по заданному расписанию; каждый тип исходных данных трансформируется таким образом, чтобы формат соответствовал формату данных для составления статистики. По завершении этапа трансформации, данные из всех источников агрегируют и загружают в целевую аналитическую систему.
- Разработка обучающих алгоритмов, позволяющих выстроить стандартную поведенческую линию каждого пользователя.
Для того, чтобы выявить закономерности в поведении пользователя или групп пользователей, применяют математическое моделирование и машинное обучение. Разработанные алгоритмы позволяют на основании большого объема статистических данных сформировать линию поведения пользователя и оперативно отслеживать любые ее отклонения. Например, если сотрудник всегда работал в стандартные часы, а в один из дней был обнаружен в доступе к системе в ночное время, алгоритм сочтет такое поведение за аномалию и зарегистрирует событие как инцидент информационной безопасности.
- Предоставление отчетов по аномальным активностям пользователей.
Основная цель систем поведенческого анализа – это предоставление актуальной информации о нарушении безопасности в системе и несанкционированном доступе к данным. Эта информация должна быть представлена в виде, доступном для конечного пользователя – офицера информационной безопасности. С этой целью используются отчеты в виде таблиц, круговые диаграммы, столбчатые и др. Они объединяются на обзорной панели системы поведенческого анализа, предоставляя полноценную информацию о текущем состоянии системы и наличии инцидентов.
Литература:
- Gorka Sadowski, Avivah Litan, Toby Bussa, Tricia Phillips, Market Guide for User and Entity Behavior Analytics, 2018 г. – 11 с.
- Макаренко, С.И., Информационная безопасность, 2009г. – 24-26 с.
