Блог

Защита от инсайдерских угроз: аналитические инструменты и их практическое применение

Инсайдерские угрозы остаются одним из наиболее актуальных и сложных вызовов для информационной безопасности в 2024 году. Современные системы ИБ в первую очередь ориентированы на защиту ИТ-инфраструктур от внешних атак. Но что делать, если угроза исходит изнутри организации — от человека, имеющего легальный доступ к критически важной информации?
Последствия инсайдерских угроз могут быть гораздо более разрушительными, чем атаки извне, поскольку люди, работающие в организации, часто обладают глубоким знанием внутренней инфраструктуры и могут их использовать для достижения своих целей. Обнаружение инсайдерской активности затруднено, так как атаки, исходящие от людей с легальным доступом, могут быть тщательно замаскированы под обычную деятельность.
Традиционные методы защиты, такие как мониторинг активности пользователей, управление доступами и обучение сотрудников, не всегда достаточно эффективны и не могут дать актуальную картинку при переменах в поведении сотрудников. Поэтому для минимизации рисков, связанных с инсайдерскими угрозами, специалисты по ИБ внедряют новые подходы и инструменты, включая психометрический и поведенческий анализ. В статье на Cyber Media Андрей Шабалин, аналитик по информационной безопасности NGR Softlab, подробно разбирает эти методы и возможности их применения на практике.

Психометрический анализ

Психометрический анализ — это метод оценки психологических особенностей человека с помощью тестов, выявляющих его личностные качества, когнитивные способности и эмоциональные характеристики. В сфере информационной безопасности этот подход применяется для прогнозирования инсайдерских угроз и выявляет психологические факторы, повышающие вероятность неблагонадежного поведения сотрудника.
Для этого используются психометрические тесты типа «большой пятерки» (оценка пяти основных личностных факторов), тесты на эмоциональный интеллект, позволяющие понять психологический профиль сотрудника. Например, повышенный уровень агрессии, низкий самоконтроль или склонность к риску могут сигнализировать о потенциальной угрозе. Эти данные можно использовать при найме сотрудника, чтобы оценить соответствие кандидата должности, а также в процессе работы, чтобы заранее идентифицировать и минимизировать возможные риски.
Логично предположить, что максимальной эффективности психометрический анализ достигает в сочетании с другими методами, например поведенческим анализом. Однако на практике все не так просто. Во-первых, результаты психометрического исследования могут быть использованы скорее как дополнительный контекст при разборе конкретных происшествий или принятии решений, т.к. не являются прямым доказательством чего-либо, а лишь указывают на склонность человека к определенному поведению. Во-вторых, на рынке еще нет комплексных решений, позволяющих легко интегрировать психометрический анализ в бизнес-процессы организации, что напрямую связано с третьей причиной — сложностью и разнообразием подходов и методов в этой области.
Существуют также этические вопросы и субъективность интерпретации результатов психометрического анализа, что ограничивает его широкое применение в сфере безопасности.
Таким образом, этот метод может быть полезным инструментом для управления инсайдерскими рисками, но на текущем этапе его эффективность максимальна при профайлинге сотрудников, например при приеме на работу.

Поведенческий анализ

В отличие от психометрического анализа, который фокусируется на внутренних психологических характеристиках, поведенческий анализ сосредотачивается на действиях сотрудников в цифровой среде. Он позволяет построить модель нормального поведения для отдельного человека или группы, чтобы в дальнейшем выявлять аномалии.
Существует два ключевых подхода к этому виду анализа: статистический и основанный на машинном обучении (ML). Первый предполагает использование различных математических функций на основе больших статистических данных и поведении сотрудников. В качестве индикаторов поведения могут выступать активность в Сети, частота и характер доступа к данным, взаимодействие с коллегами или с корпоративными ресурсами. Набор необходимых индикаторов может варьироваться в зависимости от бизнес-процессов организации, мониторинг которых требуется для обеспечения безопасности. Сначала на основе выделенных аналитиками параметров происходит профилирование, т. е. создается модель нормального поведения, а затем запускается поиск аномалий. Преимуществами статистического подхода является его универсальность и возможность решения узконаправленных задач минимальными средствами. Однако он требует значительных предварительных аналитических исследований.
ML-based-подход более прост в плане интеграции и предварительной настройки. Средства защиты, использующие под капотом машинное обучение для выявления аномального поведения, как правило, поставляются с набором готовых моделей, которые способны на больших потоках данных определять угрозу быстрее продуктов, использующих исключительно статистические методы. Однако обучение таких моделей требует огромного количества данных, что не всегда возможно для новых и актуальных угроз. Особую сложность представляет определение инсайдерских угроз, в частности преднамеренных, из-за их значительной разнородности.
Для повышения эффективности и снижения количества ложноположительных срабатываний можно использовать эти подходы вместе. Однако продуктов, имеющих подобный гибридный функционал, на российском рынке сейчас практически нет.

Анализ инсайдерских угроз на практике

В отличие от психометрического метода, который пока не нашел широкого применения в продуктах информационной безопасности, поведенческий анализ уже прочно вошел в арсенал средств защиты.
На российском рынке решения класса UEBA (User and Entity Behavior Analytics) по большей части вырастают из смежных продуктов, находящихся в портфеле вендора. С этим чаще всего связана их узкая специализация, например поиск отклонения от нормального поведения в сетевом трафике, детектирование аномалий процессной активности, мониторинг пользовательской активности и т. д. Это приводит к некоторым расхождениям в трактовке и понимании поведенческого анализа как среди вендоров подобных решений, так и среди заказчиков. Поэтому при подборе продукта класса UEBA необходимо четко определить, какие именно задачи по обеспечению безопасности нужно решать. Как и в других сферах ИБ, эффективность таких программных комплексов напрямую зависит от наборов экспертизы, поставляемой вместе с продуктом: поведенческие признаки, модели, программные анализаторы. На текущем этапе развития данного направления все еще наблюдается некоторый «контентный голод», что, в свою очередь, заметно сдерживает прогресс. Тем не менее развитие UEBA в России происходит быстрыми темпами.
Хорошим стартом для знакомства с поведенческим анализом могут стать UEBA-модули, расширяющие функционал классических систем защиты информации (СЗИ). Подобные решения можно встретить в отечественных SIEM-системах и продуктах класса DLP. Например, мы в нашу SIEM-платформу Alertix по умолчанию включили модуль поведенческого анализа, который позволяет отслеживать аномалии, связанные с сетевым трафиком и пользовательской активностью. Таким образом офицер ИБ может задействовать в работе только интересующие его аспекты поведения, а также указать степень критичности для аномалий по каждому из них.
Если бизнесу нужны средства поведенческого анализа с большей «самостоятельностью», чем UBA-модули классических СЗИ, стоит обратить внимание на аналитические платформы с функциями профилирования и статистического анализа. При выборе продукта важно оценить количество используемых функций, а также с какими данными и источниками она может работать. Часто такие решения обладают гибкостью и способны значительно обогатить контекст представления даже при минимальной предобработке данных.
Например, внезапный рост активности сотрудника в нерабочее время, частые попытки доступа к файлам, к которым он обычно не обращается, или слишком большие объемы загружаемых данных могут быть признаками того, что сотрудник намерен совершить нелегальные действия или уже вовлечен в них. Анализ таких аномалий позволяет оперативно реагировать на потенциальные угрозы, проводя дополнительное расследование и принимая превентивные меры.
Стоит отметить, что подобные поведенческие признаки можно и нужно совмещать. Иногда они могут находиться в разных предметных областях, а профилирование активности может строиться на основании событий от различных источников, из-за чего корреляция конкретных признаков может оказаться менее явной. Например, увеличение среднего времени работы ПК в сочетании с повышением частоты обращений к внутренней CRM-системе может трактоваться неоднозначно. Однако добавление такого индикатора, как, например, количество обрабатываемых пользователем заявок, позволяет понять, связаны ли аномалии в поведении с увеличением рабочей эффективности или же с попытками получения доступа к конфиденциальной информации. Подобный анализ также полезно проводить в привязке к отдельным группам сущностей.
Задачу же составления более сложных моделей мы например, решили с помощью функционала профилей и метапрофилей в модуле поведенческой аналитики xBA нашей платформы UEBA Dataplan. Пользователь может объединить ряд интересующих его признаков поведения (те самые «профили») в единую сущность метапрофиля, задав каждому профилю свой вес. В этом случае сводится к минимуму возможность возникновения ложноположительных уведомлений об аномалиях за счет применения данных из разных источников. Также повышается точность срабатываний из-за корректировки развесовки поведенческих признаков «на лету» и проверки тех или иных гипотез без необходимости подготовки новой модели.
Кроме того, если UEBA-платформа дает возможность использовать разные виды статистики, как в Dataplan: индивидуальную (по отношению к собственной истории поведения), групповую и смешанную, — это повышает качество аналитики и особенно полезно в ситуациях, когда аномальность в рамках группы и конкретного поведенческого признака имеет больше значения для анализа, нежели в разрезе всех имеющихся сущностей. Например, коэффициент аномальности поведения служебной учетной записи по отношению к обычным сотрудникам будет высок из-за большого риска совершаемых ею операций. При этом ее индивидуальная аномальность в разрезе всей организации не будет являться критичной, однако если поведение начинает динамично изменяться в пределах группы сервисных учетных записей — это может выглядеть подозрительным.
Важно понимать, что UEBA-алгоритмы в первую очередь обогащают инцидент или подозрение на инцидент контекстом. Принимать решения на основе изменений поведенческих профилей было бы опрометчиво, поэтому не следует забывать и про классические вышеупомянутые средства защиты. Кроме того, почти все платформы способны генерировать сообщения об аномалиях (алерты) и делиться ими со смежными системами. Это позволяет пользователю выстраивать более сложную детектирующую логику, например, включив уведомление о конкретных аномалиях в правила корреляции своей SIEM-системы. Корректное использование такого подхода значительно сокращает количество ложных срабатываний и, как следствие, снижает нагрузку на аналитический штат.

Резюме

Инсайдерские угрозы действительно представляют собой уникальный и сложный вызов для современных систем информационной безопасности. Ведь несмотря на развитие технологий и усиление внешних рубежей защиты, именно человеческий фактор остается одной из наиболее уязвимых точек в обороне любой организации. В условиях, когда традиционные методы защиты не всегда справляются с задачей предотвращения инсайдерских атак, на помощь приходят психометрический и поведенческий анализ.
Поведенческий анализ в контексте информационной безопасности является очень перспективным направлением, которому в силу его относительной молодости требуется время для выработки некоторых универсальных решений и формирования наборов экспертизы. Однако, учитывая стремительное развитие отрасли, можно быть уверенными в том, что этот вектор не будет заброшен. Рынок UEBA будет продолжать расти, а решения — становиться все более эффективными.
Источник: Cyber Media