Несанкционированный доступ и утечка данных могут нанести компании значительный экономический ущерб, привести к снижению ее рентабельности и оттоку клиентов. Именно поэтому в любом крупном предприятии стоит вопрос защиты конфиденциальных данных и оперативного обнаружения информационных угроз.

Информационные угрозы принято разделять на внешние и внутренние. В случае внешних угроз, злоумышленник пытается получить доступ к конфиденциальным данным компании, отыскивая уязвимости в аппаратной и программной архитектуре информационной системы. Примерами таких атак являются:

– Внедрение кода (XSS, SQL Injection и т.д.)

– Сетевая разведка

– Атака «Человек посередине» и пр.

Под внутренними угрозами понимаются угрозы, исходящие от действий сотрудников компании. Это могут быть как умышленные, так и неумышленные действия сотрудников, приводящие к компрометации конфиденциальной информации.

Применяются различные способы защиты как от внешних, так и от внутренних угроз информационной безопасности. Однако если стратегии защиты от внешних угроз регулируются архитектурой информационной системы и применением «лучших» практик по защите от распространенных атак, то внутренние атаки не так просто распознать и предотвратить. При этом согласно исследованию, проведенному компанией InfoWatch в 2018г., на долю внутренних нарушителей приходится около 64,5% всех инцидентов утечки информации.

Для выявления подозрительной активности со стороны сотрудников используются системы поведенческого анализа. Решения этого класса занимаются разбором действий конкретного пользователя и составлением модели его «типичного» поведения в информационной системе. Анализируется его работа с данными, устройствами, а также сетевое взаимодействие.

Разработка систем поведенческого анализа сводится к следующим этапам:

1) Определение источников информации о действиях сотрудников в системе

2) Агрегация данных из разных источников и приведение их к единому виду

3) Разработка обучающих алгоритмов, позволяющих выстроить стандартную поведенческую линию каждого пользователя

4) Предоставление отчетов по аномальным активностям пользователей.

Рассмотрим каждый этап подробнее.

1. Определение источников информации о действиях сотрудников в системе

При разработке систем поведенческого анализа необходимо обратить внимание на различные типы источников информации о действиях сотрудников, которые позволят составить более точный профиль пользователя и определить его модель поведения. В качестве стандартных источников информации выступают логи доступа к серверным компонентам и журналы персональных компьютеров, информация об использовании сетевого трафика, а также транзакции баз данных.

2. Агрегация данных из разных источников и приведение их к единому виду.

Данные о действиях сотрудников, поступающие из разных источников, имеют различную структуру. Поэтому необходимо преобразовать их к единому формату, пригодному для статистического анализа. С этой целью применяют ETL или ELT процессы. (с англ. Extraction, Transformation, Loading – выгрузка, преобразование, загрузка). Данные выгружаются из предопределенных источников по заданному расписанию; каждый тип исходных данных трансформируется таким образом, чтобы формат соответствовал формату данных для составления статистики. По завершении этапа трансформации, данные из всех источников агрегируют и загружают в целевую аналитическую систему.

3. Разработка обучающих алгоритмов, позволяющих выстроить стандартную поведенческую линию каждого пользователя.

Для того, чтобы выявить закономерности в поведении пользователя или групп пользователей, применяют математическое моделирование и машинное обучение. Разработанные алгоритмы позволяют на основании большого объема статистических данных сформировать линию поведения пользователя и оперативно отслеживать любые ее отклонения. Например, если сотрудник всегда работал в стандартные часы, а в один из дней был обнаружен в доступе к системе в ночное время, алгоритм сочтет такое поведение за аномалию и зарегистрирует событие как инцидент информационной безопасности.

4. Предоставление отчетов по аномальным активностям пользователей.

Основная цель систем поведенческого анализа – это предоставление актуальной информации о нарушении безопасности в системе и несанкционированном доступе к данным. Эта информация должна быть представлена в виде, доступном для конечного пользователя – офицера информационной безопасности. С этой целью используются отчеты в виде таблиц, круговые диаграммы, столбчатые и др. Они объединяются на обзорной панели системы поведенческого анализа, предоставляя полноценную информацию о текущем состоянии системы и наличии инцидентов.

Литература:

1. Gorka Sadowski, Avivah Litan, Toby Bussa, Tricia Phillips, Market Guide for User and Entity Behavior Analytics, 2018 г. – 11 с.
2. Макаренко, С.И., Информационная безопасность, 2009г. – 24-26 с.