|
Library
|
Your profile |
This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License.|
Software systems and computational methods
Reference:
Kornienko A.A., Polyanichko M.A.
A method for insiders detection in the organization
// Software systems and computational methods.
2019. № 1.
P. 30-41.
DOI: 10.7256/2454-0714.2019.1.29048 URL: https://en.nbpublish.com/library_read_article.php?id=29048
A method for insiders detection in the organization
DOI: 10.7256/2454-0714.2019.1.29048Received: 21-02-2019Published: 28-02-2019Abstract: Detecting insider threats is a task that analysts and information security administrators address in the commercial sector and in government organizations. Up to 75% of incidents involving insider actions are still detected manually. Detection of insider threats in an organization can be carried out using a set of organizational and technical measures. To identify them, the authors propose the use of behavioral and technical indicators. The aim of the article is to increase the effectiveness of countering random and malicious insider information security threats by developing a method for detecting insider activity in an organization. To achieve this goal authors used set-theoretic modeling, a hierarchy analysis method, a fuzzy logic apparatus and a fuzzy inference system. As a result of the study authors developed a method that allows detecting insider activity in an organization based on evaluating an employee's predisposition to insider activity and identifying an insider as a result of recording an information security incident. The developed method can be used to create an automated system for identifying insiders in an organization. Keywords: internal threats, information security, insider, insider detection, counteraction, threats, security, organization, automated systems, modelingThis article written in Russian. You can find original text of the article here . Определение случайных и преднамеренных инсайдерских угроз – задача, которую решают аналитики и администраторы информационной безопасности как в коммерческом секторе, так и в государственных организациях [20]. До 75 % инцидентов, связанных с действиями инсайдеров до сих пор обнаруживается в ручном режиме и только 19 % действий выявляются с помощью сочетания автоматизированных средств и ручных процедур [5, 21]. Вместе с тем, отчеты компаний – разработчиков программных средств обеспечения информационной безопасности показывают, что количество инцидентов, связанных с инсайдерской активностью растет [4, 7]. В данной работе в основу процесса обнаружения инсайдерской деятельности в организации положена парадигма оценивания потенциальной склонности (предиспозиции) сотрудника организации к инсайдерской деятельности и выявление инсайдера по результатам регистрации инцидента информационной безопасности, связанного с инсайдерской деятельностью, и его расследования с учетом рисков предиспозиции. Предиспозиция – готовность, предрасположенность субъекта к поведенческому акту, действию, поступку, их определенной последовательности [12]. Проблемы, связанные с инсайдерскими угрозами сложнее поддаются решению, чем технические проблемы. Люди проявляют себя по-разному (полиморфное поведение), зачастую, они склонны скрывать свои истинные эмоции от окружающих, меняют своё поведение в зависимости от ситуации. Инсайдер будет постоянно анализировать и оценивать риск быть пойманным. В связи с этим, решение задачи выявления потенциальных и реальных инсайдеров требует создание метода, сочетающего в себе технические и организационные меры [17, 18]. Предлагаемый метод обнаружения инсайдерской деятельности комбинирует применение организационных и технических подходов и агрегирует разнородные данные [19]. Для выявления инсайдерской деятельности в организации предлагается следующий метод (Рис. 1):
Рис. 1. Метод обнаружения инсайдерской деятельности Метод предполагает анализ трех групп показателей: · Стационарных; · Периодически актуализируемых; · Динамических. Анализ данных показателей позволяет определить, склонен ли работник к совершению нарушения, то есть определяется его предиспозиция. К стационарным показателям относятся психологические и коммуникативные показатели, зависящие от личности человека. Психологические показатели (экстраверсия, способность прийти к согласию, сознательность, невротизм, открытость опыту) определяются на основе пятифакторного личностного опросника «Большая пятерка» (Big five), разработаного американскими психологами Р. МакКрае и П. Коста [6]. Коммуникативные показатели (уровень общительности, склонность к соперничеству, сотрудничеству, компромиссу, склонность к избеганию проблем или приспособлению). Значения стационарных показателей определяются с использованием теста на уровень общительности В.Ф. Ряховского [14] и методики диагностики поведения личности в конфликтной ситуации (опросник Кеннета Томаса «Определение способов регулирования конфликтов»). К периодически актуализируемым относятся личностные показатели, поведенческие показатели, скрининговые показатели (данные полиграфа) и контекстные показатели. Данные показатели представляют собой многомерный набор количественных и качественных показателей, значения которых определяются на основе высказываний экспертов. Для обработки значений применяется нечеткое обобщение метода анализа иерархий [1–3, 8–10, 23]. К динамическим показателям относятся технические показатели (собираются DLP, IDS или SIEM), значения которых могут быть автоматизировано собраны на основе данных вычислительной сети организации и ее информационных систем [11]. Данные показатели отражают события, связанные с печатью документов, осуществлением доступа к ресурсам, скачиванием информации и т. п. Оценки предиспозиции для первых двух групп определяются по следующим показателям: Личностные показатели - Нахождение в состоянии депрессии; - Наличие алкогольной зависимости; - Наличие наркотической зависимости; - Наличие зависимости от азартных игр; - Недавняя смерть близкого человека; - Недовольство условиями труда; - Наличие хронических заболеваний; - Наличие хронических заболеваний у близких; - Нахождение в состоянии расставания или развода. Поведенческие показатели - Нарушение установленных правил и процедур; - Преднамеренное вредительство; - Нарушение трудового распорядка; - Добровольчество, дающее доступ к конфиденциальным данным; - Сверхурочная работа; - Резкие высказывания, шутки или хвастовство; - Проявление агрессии. Контекстные показатели - Участие в деятельности отдельных лиц или групп, выступающих против основных убеждений организации; - Наличие судимости; - Доступ к финансовым активам организации; - Участие в деятельности, которая может вызвать конфликт интересов; - Ведение собственного бизнеса; - Наличие кредитов и иных финансовых обязательств; - Активное присутствие в социальных сетях. Скрининговые показатели - Наличие алкогольной зависимости; - Наличие наркотической зависимости; - Наличие зависимости от азартных игр; - Наличие хронических заболеваний; - Наличие хронических заболеваний у близких; - Кражи по предыдущим местам работы; - Наличие кредитов и иных финансовых обязательств; - Искажение данных о себе (документы, записи в трудовой книжке, анкетные данные) при поступлении на работу; - Наличие связей в криминальном мире; - Передача конфиденциальной информации посторонним лицам; - Совершение противоправных действий, в том числе оставшихся нераскрытыми. Для оценки каждого показателя
Данная иерархия может быть представлена деревом декомпозиции (Рис. 2):
Рис. 2. Дерево декомпозиции для i-ой предиспозиции Оценка предиспозиции вычисляется на основе следующего алгоритма [10]: - Шаг 1. Формирование группы экспертов Для каждого эксперта должен быть назначен вес - Шаг 2. Оценка приоритетов важности для вопросов Экспертным путём выполняются попарные сравнения вопросов по отношению к степени их влияния на оценку определяемой предиспозиции - Шаг 3. Формирование нечетких приоритетов важности для вопросов Нечеткий приоритет вопроса - Шаг 4. Определение нечетких значений баллов
- Шаг 5. Оценка приоритетов важности для ответов внутри вопросов Аналогично шагу 2 алгоритма. Каждый экспертом выполняются попарные сравнения ответов - Шаг 6. Формирование нечетких приоритетов важности для ответов внутри вопросов - Нечеткий приоритет вопроса - Шаг 7. Определение абсолютных значений баллов
- Шаг 8. Определение значений баллов, влияющих положительно или отрицательно на оценку предиспозиции Отрицательные значения баллов противоположны их абсолютным значениям. - Шаг 9. Получение от эксперта вариантов ответов Эксперты дают ответ - Шаг 10. Нормирование общего количества баллов Баллы, набранные за ответы на вопросы теста
- Шаг 11. Определение оценки предиспозиции Оценка предиспозиции равняется Для обнаружения инсайдерской деятельности требуется оценивание показателей, характеризующих склонность к случайному и злонамеренному инсайдерскому поведению и обобщенного динамического показателя. Необходимым условием формирования данных оценок и обобщенного технического показателя, является создание лингвистических переменных. Это обусловлено рядом преимуществ использования лингвистических переменных: - лингвистические переменные позволяют оперировать непрерывно изменяющимися во времени динамическими входными данными; - возможность перехода к единой качественной шкале измерений [24]; - проведение качественной оценки как входных данных, так и выходных результатов. Лингвистическая переменная – в теории нечётких множеств, это переменная, которая может принимать значения фраз из естественного или искусственного языка [13, 22]. Лингвистической переменной называется набор [15]:
Обнаружение потенциальной инсайдерской деятельности осуществляется на основе последовательного применения баз правил нечеткого вывода для различных показателей:
Рис. 3. Схема нечеткого вывода обобщенного показателя Каждая база нечетких правил, которая также может называться лингвистической моделью, состоит из множества нечетких правил
В результате работы предлагаемой схемы вывода, оцениваемый работник организации получает несколько оценок, характеризующих его склонность к случайной или преднамеренной инсайдерской деятельности и оценку обобщенного технического показателя, чувствительного к выполнению подозрительных операций. По каждому работнику вычисляется три оценки: - Оценка склонности к случайному инсайдерскому поведению AccInsider; - Оценка склонности к злонамеренному инсайдерскому поведению MalInsider; - Оценка обобщенного динамического показателя ITSummary. На завершающем этапе метода, все работники приоритезируются по степени актуальности угрозы на основании вычисленных оценок. Для приоритезации работников предлагается использовать критерий Лапласса [16]:
Частный вид критерия Лапласа для случайного инсайдерского поведения:
Частный вид критерия Лапласа для злонамеренного инсайдерского поведения:
Допустим, что по результатам работы метода обнаружения инсайдерской угрозы были получены оценки склонности к случайному инсайдерскому поведению и обобщенный технический показатель для четырех работников:
Таким образом, после вычисления критерия Лапласа будут получены следующие приоритеты:
По результатам работы метода определено, что наибольшую угрозу представляет работник, имеющий оценку склонности к непреднамеренному инсайдерскому поведению выше среднего и самую высокую оценку обобщенного технического показателя. В результате проведенного исследования был разработан метод, позволяющий осуществлять обнаружение инсайдерской деятельности в организации, основанный на оценивании предиспозиции сотрудника к инсайдерской деятельности и выявление инсайдера по результатам регистрации инцидента информационной безопасности. References
1. Anikin I.V. Information Security Risks Assessment Method Based on AHP and Fuzzy Sets // 2nd Intl’ Conference on Advances in Engineering Sciences and Applied Mathematics (ICAESAM’2014) May 4-5, 2014.
2. Dong M. Approaches to group decision making with incomplete information based on power geometric operators and triangular fuzzy AHP / M. Dong, S. Li, H. Zhang // Expert Systems and Applicatinons.-2015.-Vol. 42, Issue 21.-pp. 7846-7857.
3. Fu S., Zhou H. The information security risk assessment based on AHP and fuzzy comprehensive evaluation, 2011 IEEE 3rd International Conference on Communication Software and Networks, Xi’an, 2011, pp. 124-128.
4. Insider Threat Report: 2018-CA Technologies // CA Technologies URL: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf (data obrashcheniya: 18.07.2018).
5. Keeney M., Kowalski, E., Cappelli, D., Moore, A., Shimeall, T. and S. Rogers. (2005, May). Insider threat study: Computer system sabotage in critical infrastructure sectors. CMU/SEI and U.S. Secret Service.
6. McCrae R.R., John O.P. An introduction to the five factor model and its applications 1992. (60). C. 175–215.
7. Verizon 2015 Data Breach Investigations Report // Information Security. 2015. C. 1–70.
8. Xuepeng H., Wei X. Method of Information Security Risk Assessment Based on Improved Fuzzy Theory of Evidence Establishing index system of information security risk assessment // International Journal of Online Engineering. 2018. (14). C. 188–196.
9. Anikin A.V. Metodika formirovaniya anket dlya zadach otsenki vozmozhnosti realizatsii ugroz i uyazvimostei // Sbornik trudov 3-i ezhegodnoi nauchno-prakticheskoi konferentsii «Infokommunikatsionnye tekhnologii global'nogo informatsionnogo obeshchstva»: Kazan', 8-9 sentyabrya 2005.-S. 333-342.
10. Anikin Igor' Vyacheslavovich. Metody i algoritmy kolichestvennoi otsenki i upravleniya riskami bezopasnosti v korporativnykh informatsionnykh setyakh na osnove nechetkoi logiki: dissertatsiya ... doktora tekhnicheskikh nauk, , Kazan', 2017.
11. Anikin I.V. Tekhnologiya intellektual'nogo analiza dannykh dlya vyyavleniya vnutrennikh narushitelei v komp'yuternykh sistemakh // Nauchno-tekhnicheskie vedomosti SPbGPU. Informatika. Telekommunikatsii. Upravlenie. 2010. №6 (113).
12. Dal' V.I. Tolkovyi slovar' zhivogo velikorusskogo yazyka: v 4-kh t. T. 2. Russkii yazyk / V.I. Dal'. – M., 1998. – 779 s.
13. Zade L. Ponyatie lingvisticheskoi peremennoi i ego primenenie k prinyatiyu priblizhennykh reshenii. — M.: Mir, 1976.
14. Karelin A. A. , Bol'shaya entsiklopediya psikhologicheskikh testov, M.: Eksmo, 2007, ISBN 978-5-699-13698-8.
15. Kofman A. Vvedenie v teoriyu nechetkikh mnozhestv. — M.: Radio i svyaz', 1982. — 432 c.
16. Kuznetsov Yu. N., Kuzubov V. I., Voloshchenko A. B. Matematicheskoe programmirovanie — M.: «Vysshaya shkola», 1980, str. 291. / Kuznetsov,.
17. Mamochka E.A. Tipy lichnosti prestupnika-insaidera // Territoriya novykh vozmozhnostei. Vestnik vladivostokskogo gosudarstvennogo universiteta ekonomiki i servisa. 2016. № 3. C. 70–78.
18. Polyanichko M.A., Korolev A.I. Kriterii klassifikatsii insaiderov // Estestvennye i tekhnicheskie nauki. 2018.-№9., Vypusk (123).-2018-s. 149-151.
19. Polyanichko M.A., Korolev A.I. Podkhod k vyyavleniyu insaiderskikh ugroz v organizatsii // Estestvennye i tekhnicheskie nauki. 2018.-№9., Vypusk (123).-2018-s. 152-154.
20. Polyanichko M.A., Punanova K.V. Osnovnye problemy prakticheskogo primeneniya cheloveko-orientirovannogo podkhoda k obespecheniyu informatsionnoi bezopasnosti // «Fundamental'nye i prikladnye razrabotki v oblasti tekhnicheskikh i fiziko-matematicheskikh nauk» Sbornik nauchnykh statei po itogam raboty tret'ego mezhdunarodnogo kruglogo stola.-M.: Obshchestvo s ogranichennoi otvetstvennost'yu «KONVERT». 2018. C. 57–60.
21. Polyanichko M.A. Sovremennoe sostoyanie metodov obnaruzheniya i protivodeistviya insaiderskim ugrozam informatsionnoi bezopasnosti // Colloquium-Journal. 2018. № 9–1 (20). C. 44–46.
22. Rutkovskaya D., Pilin'skii M., Rutkovskii L. Neironnye seti, geneticheskie algoritmy i nechetkie sistemy: Per. s pol'sk. I.D. Rudinskogo, Tom 452. — Moskva: Goryachaya liniya-Telekom, 2006.
23. Saati T. Prinyatie reshenii. Metod analiza ierarkhii / T. Saati. – M.: Radio i svyaz', 1993. – 278 s.
24. Khovanov N.V. Matematicheskie osnovy teorii shkal izmereniya kachestva. — L.: LGU, 1982.
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
© 1998 – 2024 Nota Bene. Publishing Technologies. NB-Media Ltd.
Eng
, влияющего на предиспозицию 
формируется соответствующий опросный лист 
с множеством ответов 
.
– показатели предиспозиции.
. Количество экспертов равно 
. В зависимости от того, оценку какой предиспозиции необходимо вычислить в группе экспертов могут включаться работники ИТ отделов, работники, отвечающие за информационную безопасность или отдел кадров.
. Для каждого эксперта вычисляется вектор приоритетов 
, вопросов 
, где номер эксперта – 
.
.
– нечеткие значения баллов, отводимые на каждый отдельный вопрос 
, 
и вычисляются векторы приоритетов 
, где номер эксперта – 
представляется в виде нечеткого числа 
.
в виде нечетких чисел, зависящих от выбранного экспертом ответа. Количество баллов 
.
на каждый из вопросов 
нормируются по следующей формуле:
;
;
– минимальное значение баллов при ответе на вопрос;
– максимальное значение баллов при ответе на вопрос.
,
, где G(T) ‑ множество полученных термов, называется расширенным терм-множеством лингвистической переменной;
, вида
,
– нечеткие множества 
;
– нечеткие множества 
;
– входные лингвистические переменные, где
=
– выходные лингвистические переменные, где 
=
.
– значение показателя.
