Исследование методов определения внутренних злоумышленников в корпоративных сетях и способов реагирования | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 11 декабря, печатный экземпляр отправим 15 декабря.

Опубликовать статью в журнале

Автор:

Научный руководитель:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №17 (359) апрель 2021 г.

Дата публикации: 24.04.2021

Статья просмотрена: 16 раз

Библиографическое описание:

Кожебаев, А. А. Исследование методов определения внутренних злоумышленников в корпоративных сетях и способов реагирования / А. А. Кожебаев. — Текст : непосредственный // Молодой ученый. — 2021. — № 17 (359). — С. 7-9. — URL: https://moluch.ru/archive/359/80334/ (дата обращения: 30.11.2021).



Несмотря на суждение о том, что главную угрозу для компании представляет воздействие внешних нарушителей, действующих из глобальной сети, именуемых хакерами, настоящая опасность современной компании может исходить от нарушителей, находящихся внутри компании.

Если рассматривать в общем смысле, то нарушителем является индивидуум, который по ошибке или преднамеренно совершил попытку взлома защищенной информации, используя разные ходы и методы. Внутренним нарушителем является легитимный представитель компании, который обладает определенными правами на доступ к данным. Здесь стоит отметить, что причинами нарушений могут послужить ошибочные действия персонала или намеренное деяние для получения данных.

Ключевые слова : хакер, cредства защиты информации, защищенность корпоративной сети, злоумышленник.

В зарубежной и отечественной литературе используется определенная терминология, которая применяется к компьютерным преступникам. Компьютерных злоумышленников зачастую называют хакерами или white-hats (белые шляпы), кроме того есть и «черные шляпы» основная задача нанести максимальный урон системе. Для того чтобы не было путаницы, в проекте используется единый термин, определяющий злоумышленника — нарушитель.

Чтобы определить нарушителя, разделим на две категории: это чужой и посторонний Outsiders, то есть в этом случае нарушение происходит из сети интернет, в результате чего происходит атака внутренних ресурсов корпоративной сети. Нарушители могут атаковать сеть удаленно, используя модемную линию, через физическое подключение к каналам связи. Кроме того, есть Insiders, человек, который достаточно хорошо осведомлен, который непосредственно находится внутри корпоративной сети и обладает определенным доступом к серверам.

Нарушители Insiders создают иллюзию правильности работы системы, где на самом деле происходит кавардак, именно в этот момент нарушитель приступает к использованию сети в своих корыстных целях. Если сравнивать их с Outsiders, то изначально они занимают лидирующие позиции, так как у них уже есть определенный доступ к данным.

В отличие от Outsiders, для которых корпоративная сеть, которую они атакуют, является неким черным ящиком, Insiders, владея информацией о корпоративной сети, пользуются удобным моментом и начинаю запретные деяния.

К примеру, по статистическим данным, наибольшая часть злодеяний против банковской системы происходит с использованием инсайдеров, которые сливают всю необходимую информацию.

Наглядным примером является 2001 год, когда двое бывших сотрудников Commerce One использовали в корыстных целях полученные незаконным путем данные администратора, удалили с серверов файлы годового проекта на несколько миллионов долларов [2].

Исходя из этого, проблему защиты данных от внутренних нарушителей необходимо ставить на первом плане при изучении корпоративной сети, так как эта проблема на сегодняшний день является самой актуальной.

Если для обеспечения защиты данных от Outsiders разработаны своеобразные подходы, то методы защиты информации от внутренних нарушителей имеют множество вопросов.

В большинстве случает нет общего представления о методах работы с внутренними нарушителями, нет возможности выявлять их на ранних стадиях. Если рассматривать проблемы защищенности корпоративной сети, то следует начинать с исследования и изучения модели возможного нарушителя.

По оценкам международных специалистов примерно семьдесят процентов информации на данный момент хранится в цифровом формате, это значительно увеличивает правильность ведения бизнеса, но в тот же момент усугубляет ситуацию тем, что приводит к появлению новых угроз.

Как правило, любой нарушитель перед преступлением тщательно анализирует объект нападения как с теоретической стороны, так и с практической. С практической стороны система безопасности вполне может быть как пассивной, так и активной.

Пассивными методами называют методы, при которых не происходит непосредственного воздействия на рабочий процесс корпоративной сети, но вполне возможно, что произойдет нарушение политики безопасности, такое влияние весьма трудно выявить.

Активные методы напрямую влияют на весь рабочий процесс корпоративной сети и полностью нарушают политику, которая в ней действует. Вследствие чего активные методы проще выявить, нежели пассивные.

Проведя статистическое исследование, было выявлено, что лишь в немногих исследованиях рассматривался вопрос о том, какие процессы работают вместе в задачах, требующих нескольких процессов управления. В ходе исследования сообщается о вычислительном исследовании генерации случайных последовательностей и связанных с ними когнитивных процессов управления. Задача, которая, как утверждается, включает в себя несколько процессов управления, производит несколько зависимых мер. Считается, что эти меры дифференцированно зависят от дифференциальной эффективности различных базовых процессов контроля. Первоначальное моделирование показывает, что модель способна воспроизводить производительность объекта по основной задаче.

Значительный объем данных свидетельствует о том, что поведение в сложных задачах зависит от ряда функционально различных функций управления, таких как подавление реакции, обновление памяти, переключение задач и мониторинг.

Одним из исследований, которое хорошо подтверждает эту позицию, является исследование Miyake et al. Мияке, его коллеги использовали подтверждающий факторный анализ показателей эффективности из девяти простых задач для выделения трех факторов, концептуально соответствующих торможению реакции, обновлению памяти и смещению задач [2].

За этим последовало моделирование структурными уравнениями с использованием трех производных факторов для определения участия этих факторов в выполнении сложных задач. Проведенный анализ подтвердил участие различных подмножеств трех разделяемых факторов в выполнении различных сложных задач.

В задачах случайной генерации предоставляется набор ответов, например, целые числа от 0 до 9, необходимый для генерации последовательности ответов из этого набора таким образом, чтобы последовательность была субъективно случайной. Задача представляет интерес, потому что, несмотря на кажущуюся свободную спецификацию задачи, субъекты проявляют сильные предубеждения, производя последовательности, которые отклоняются от истинной случайности надежными способами. Например, повторные ответы, то есть один и тот же ответ в двух последовательных испытаниях обычно генерируются с более низкой, чем ожидалось, частотой.

Существует множество способов измерения, степени случайности последовательности. Таким образом, несколько показателей случайности индексируют «равенство использования ответов» то есть генерируются ли все ответы примерно с одинаковой частотой, или имеется место смещение в сторону одних ответов и против других.

Чтобы понять, почему процессы управления могут быть релевантными, полезно рассмотреть возможную модель процесса случайной генерации. Предположим, кто-то пытается сгенерировать N-й ответ в серии, уже сгенерировав N-1 ответов. Возможный ответ каким-то образом приходит на ум, возможно, потому что он каким-то образом связан с предыдущим ответом (например, если генерируются цифры, а предыдущий ответ был 8, на ум может прийти возможный ответ 4, соответствующий половине 8). Прежде чем дать ответ, необходимо решить, является ли он достаточно случайным, учитывая предыдущие N-1 ответов.

Таким образом, необходимо отслеживать вероятные ответы, вести обновленный учет предыдущих ответов и, возможно, препятствовать потенциальному ответу, если он считается «слишком предсказуемым».

Как бы там не было компьютерное моделирование в реальных стохастических процессах базируется на псевдослучайном компьютерном генераторе. В качестве содержательного исследования были рассмотрены бинарные псевдослучайные генераторы, то есть с множеством значений {0,1}.

Собранный материал вполне может быть использован в образовательном процессе для студентов, магистрантов и докторантов соответствующих специальностей. Полученные результаты могут быть также использованы в качестве дополнения к другим статистическим исследованиям, предназначенным для изучения случайностей.

Литература:

1 Mark A. Richards. Generating Swerling Random Sequences. 2008. — Р. 23–28.

2 Małgorzata Figurska., Maciej Stanczyk., Kamil Kulesza. Humans cannot consciously generate random numbers sequences: Polemic study. 2007. — Р. 45–51.

3 Miklos Santha. Generating Quasi-Random Sequences from Slightly-Random Sources. 1984. — С. 1–3.

4 Беягуев Т. А. Безопасность корпоративных сетей. 2004. — С. 11–19.

5 Reza S. M., Ricardo C. P. Information security governance in big data environments: systematic mapping.

Основные термины (генерируются автоматически): корпоративная сеть, нарушитель, задача, ответ, возможный ответ, какой-то образ, основная задача, предыдущий ответ, рабочий процесс, случайная генерация.


Ключевые слова

злоумышленник, хакер, cредства защиты информации, защищенность корпоративной сети
Задать вопрос