Концептуальное моделирование инсайдерской деятельности в системах информационной безопасности

Инсайдерские угрозы в последние годы приобрели характер серьезной проблемы при решении задач обеспечения информационной безопасности компаний, требуя разработки системного инструментария для своего анализа, прогнозирования и управления.

Распределение инсайдерских угроз в российских компаниях по их источникам [1] представлено на рис. 1.

Из рис. 1 следует, что наибольший вклад в инсайдерские угрозы, как и ожидалось, вносят действующие сотрудники (66%), внешние злоумышленники, занимая второе место, создают 29,7% вносимых угроз. Далее, отличаясь на порядок, располагаются в порядке убывания угрозы со стороны подрядчиков, бывших сотрудников, руководителей и системных администраторов (в общей доле – 4,3%).

Если говорить о распространенности самих инсайдерских угроз, то в своем большинстве они проявляются в виде утечки данных и искажениях в документации, примерно по четверти от их количества составляют утрата информации и сбои в работе информационных систем, по одной пятой – кражи оборудования и саботаж, и, наконец, не более 10–15% другие внутренние угрозы [2]. При этом до 80% информации, на которую посягают инсайдеры, – персональные данные и платежная информация.

Из анализа приведенных показателей можно сделать два вывода, важных для создания эффективных моделей инсайдерской деятельности.

Первый – основное внимание при концептуальном обосновании моделей необходимо обратить на возможность описания системы информационного взаимодействия между всеми участниками корпоративного процесса в компании, учитывающего предпринимательские, психологические, финансово-экономические и иные риски и мотивы.

Второй – для максимального снижения вероятности реализации инсайдерских угроз и минимизации их последствий необходимо разработать такую стратегию защиты, которая органично сочетает организационные и программно-технические средства и методы.

Рис. 1. Распределение инсайдерских угроз в российских компаниях по их источникам, %

ВЕСТНИК РОСНОУ. Серия «Сложные системы…»

Говоря об организационных мерах , необходимо отметить, что они охватывают широкий спектр методов противодействия инсайдерской деятельности и разрабатываются в зависимости от типа информации, используемой в работе организации. К организационным мерам предупреждения инсайда относят и работу с персоналом на этапах приема на работу, в ходе работы в должности, при увольнении. Работа с кадрами включает оценку благонадежности кандидатов, анализ психофизических типов работников, повышение их лояльности и т. д.

Программно-технические меры против инсайдерских действий предполагают применение систем предотвращения утечек данных – Data Loss Prevention системы (DLP-системы), – обеспечивающих высокий уровень защиты информации.

Говоря о модели предметной области – противоправной деятельности инсайдеров, подчеркнем, что процесс ее моделирования начинается с выявления абстракций, существующих в реальном мире формирования и реализации злонамеренных планов внутренних нарушителей информационной безопасности (ИБ) организаций. Поэтому первый этап моделирования заключается в создании концептуальной модели инсайдерской деятельности, которая отражает семантику предметной области в виде совокупности понятий (сущностей), их характеристик (атрибутов) и связей (ассоциативных отношений между сущностями).

При концептуальном моделировании предметной области [3] одной из важных задач при построении системы защиты (СЗ) организации является создание поведенческих моделей инсайдера-нарушителя на основе визуализации информации, которая легко воспринимается, позволяя лучше понять причинно-следственные о собенности и динамику развития потенциального внутреннего инцидента ИБ.

Опыт авторов показал, что в качестве метода для визуализации поведения внутреннего нарушителя ИБ (инсайдера) целесообразно использовать системно-динамические модели [4], предполагающие разработку ориентированного графа исследуемой системы на базе статистических данных ее функционирования или экспертного мнения о ее поведении.

Поведение инсайдера существенно отличается в зависимости от того, какую угрозу ИБ он реализует. Поэтому целесообразно производить моделирование каждой внутренней угрозы ИБ в отдельности. В качестве угрозы в данной статье рассматривается угроза кражи информации инсайдером.

Классификация типов инсайдеров

Выделим в соответствии с рекомендациями работ [5; 6] шесть типов инсайдеров: «халатный» и «манипулируемый» – из категории лояльных, а также «обиженный», «нелояльный», «подрабатывающий» и «внедренный» – из категории злонамеренных. В таблице приведены более подробные сведения об умысле, мотивации и действиях каждого из перечисленных типов. Рассмотрим кратко характеристику каждого из представленных в таблице типов инсайдеров. Группу лояльных нарушителей составляют «халатные» и «манипулируемые» инсайдеры.

Классификация типов инсайдеров

Тип инсайдера	Умысел	Корысть	Кем ставится задача	Действия
Халатный	нет	нет	никем	сообщение
Манипулируемый	нет	нет	никем	сообщение
Обиженный	да	нет	самостоятельно	отказ
Нелояльный	да	нет	самостоятельно	имитация
Подрабатывающий	да	да	самостоятельно/извне	отказ/имитация/взлом
Внедренный	да	да	извне	взлом

«Халатный» (известен и как «неосторожный») – является наиболее распространенным типом инсайдера. Как правило, такие сотрудники относятся к рядовому составу и нарушения с его стороны в отношении конфиденциальной информации носят немотивированный характер, не имеют конкретных целей, умысла, корысти. Самые частые инциденты с их участием – вынос конфиденциальной информации из расположения компании для работы с ней дома, в командировке, утеря носителя или доступ посторонних к этой информации. Несмотря на отсутствие зловредных намерений, ущерб от подобных утечек может быть сравним с промышленным шпионажем. Против таких лояльных нарушителей действенными являются простые технические средства предотвращения каналов утечек: контентная фильтрация исходящего трафика в сочетании с контролем устройств ввода/вывода.

«Манипулируемый» инсайдер используется для получения обманным путем персональной информации: паролей, пин-кодов, номеров кредитных карт, адресов и т. п. Например, путем телефонного правдоподобного запроса конфиденциальных данных от «авторитетного» лица. Кем на самом деле является звонивший, остается только догадываться.

Злонамеренные нарушители, в отличие от сотрудников, описанных выше, осознают, что своими действиями они наносят вред компании, в которой работают.

«Обиженные» (по существу – саботажники) – это сотрудники, стремящиеся по личным мотивам (недостаточный размер материальной компенсации, неподобающий статус в корпоративной иерархии, отсутствие моральной мотивации) нанести, в частности, «информационный» вред своей компании. При этом, исходя из собственных представлений о наносимом вреде, они определяют, какую информацию похитить и кому ее передать – пресса, криминальные структуры и т. п.

«Нелояльные» инсайдеры – это прежде всего сотрудники, принявшие решение сменить место работы или решившие открыть собственный бизнес. Стало обычным, что уходящий сотрудник коммерческого отдела уносит с собой копию базы клиентов, а финансового – финансовой базы. Увеличивается количество инцидентов, связанных с хищением интеллектуальной собственности компаний. Нередко похищенная информация используется как гарант компенсации комфортного увольнения.

Для «подрабатывающих» и «внедренных» нарушителей цель определяет заказчик похищения информации, заставляя их как можно надежнее завуалировать свои действия. В зависимости от ситуации они могут прекратить зловредную для компании деятельность, имитировать производственную необходимость, а при особо неблагоприятных случаях пойти на взлом, подкуп коллег и иные меры, чтобы получить доступ к информации.

Результаты концептуального моделирования

Используя платформу имитационного моделирования Anylogic, визуализируем систему основных элементов поведения инсайдера и их взаимодействия применительно к двум случаям: когда он действует в одиночку, и когда ему помогают сообщники.

Первый случай. Исходя из статистических данных, типичными инсайдерами-одиночками выступают рядовые сотрудники, занимающие позицию программистов, инженеров, менеджеров и т. п. Как правило, их атаки являются технически простыми в исполнении, с использованием легальных прав и полномочий. Объектом атаки выступает все то, что, по мнению инсайдера, может иметь ценность для получения им в будущем тех или иных преимуществ (в том числе – предпринимательских: исходники программного обеспечения, производственные секреты, бизнес-планы, клиентские базы, бухгалтерские отчеты). Активная деятельность такого инсайдера продолжается от одного до трех месяцев. В этот период могут входить такие события, как принятие решения об увольнении, период преступной активности, заметание следов.

ВЕСТНИК РОСНОУ. Серия «Сложные системы…»

Для наглядности портрет одиночного внутреннего нарушителя и особенности его поведения при формировании угрозы кражи в системе информационной безопасности организации, развивая результаты работ [5; 6], представим в виде диаграммы причинно-следственных связей (рис. 2). На рисунке знаком плюс обозначены положительные связи, знаком минус – отрицательные, символом L – неоднозначные логические связи.

«Обучение ИБ>

«Уровень технического

Заметание следов^

Лояльность инсайдера к организации "

Вклад инсайдера . в организацию

контроля> страх инсайдера быть обнаруженным

1 Желание инсайдера покинуть организацию

«Система

X Желание *— совершить кражу

Чувство обладания |+ правами на продукт доверие

Уровень доступа инсайдера

защить»

Попытка

Совершение L кражи.

Обучение ИБ

|рганизации инсайдеру'

совершения кражи

Уровень доступа, необходимый для получения информации

Использование информации

Осведомленность организации об инсайдерской деятельности

Получение7 информации о

Система защиты

Уровень технического контроля

поведении инсайдера технических действиях инсайдера

Рис. 2. Диаграмма причинно-следственных связей при формировании угрозы кражи информации со стороны одиночного инсайдера

Второй случай . В этом варианте картина причинно-следственных связей, в целом оставаясь похожей, учитывает взаимодействия с сообщниками при формировании умысла и самой кражи информации в организации (рис. 3).

Выводы

• 1.    Инсайдерские угрозы, становясь все более значимой проблемой для самых различных компаний, требуют создания системного инструментария для своего анализа, прогнозирования и управления.

• 2.    Для создания концептуальной модели инсайдерской деятельности необходимо:

  – формализовать сложную систему информационного взаимодействия между участниками корпоративного процесса в компании, учитывающего предпринимательские, психологические, финансово-экономические и иные риски и мотивы;

  – разработать стратегию информационной защиты, которая сочетает организационные и программно-технические средства и методы, включая системы предотвращения утечек данных (DLP-системы) [7; 8].

• 3.    Одной из основных задач при построении системы информационной защиты компании является создание поведенческих моделей инсайдера-нарушителя на основе визуализации информации. В качестве метода визуализации поведения целесообразно использовать системно-динамические модели.

• 4.    Перспективной платформой имитационного моделирования, с помощью которой может быть осуществлена визуализация системы основных элементов поведе-

• Рис. 3. Диаграмма причинно-следственных связей при формировании угрозы кражи информации со стороны инсайдера c соучастниками

• 5.    С помощью Anylogic наглядно, компактно и логически четко представлены диаграммы причинно-следственных связей при формировании угрозы кражи информации со стороны инсайдера в одиночку и когда ему помогают сообщники.

• 6.    Дальнейшее развитие концептуальных моделей связано с описанием зависимостей между элементами диаграмм на основе дифференциальных моделей, отражающих настройки системы защиты информации от внутреннего нарушителя, планирующего совершить кражу в одиночку или с соучастниками.

ния инсайдера и их взаимодействия, является среда имитационного моделирования Anylogic.