信頼式

今日は、DLPシステムの重要な機能の1つである信頼レベルについてお話します。 これは、社内の各人に割り当てられる指標であり、この従業員が違反者になる可能性を反映しています。



現在、DLPソリューションでは分析が前面に出ています。 数年前、すべてのロシアのベンダーは、従業員の他の不正行為（詐欺、キックバック、共謀など）を特定して防止する方向で、リークとの戦いからDLPシステムを徐々に「展開」しようとし始めました。 しかし、一人一人が一日に大量の情報を生成するため、大企業はもちろんのこと、中規模の企業でもそれぞれの行動を追跡することは不可能です。 したがって、自動モードで高品質の分析を実行し、「疑わしい」人の輪を描くシステムの能力は、明らかな利点です。 そのため、信頼のレベルを作成するというアイデアが生まれました。その主な目的は、社内の脅威に対する状況の透明性でした。



DLPシステムのデータを長時間分析することなく、セキュリティガードに迅速に、誰が会社を詳しく調べるべきかを理解してもらいたかったのです。 非常にシンプルでエレガントなコンセプトですね。 アイデアは表面にあるように思えます。 ただし、膨大な数の誤検出を引き起こさないような信頼式を作成するには、多くの作業が必要であり、ソーシャルエンジニアリング、統計、ビジネス分析の結果を1つの全体にまとめる必要があります。 この記事では、意図的または偶発的な漏洩に対する保護の観点から、従業員に対する信頼の量を正式に表現する方法について説明します。 インシデントの実際の統計から判断すると、この式は非常に正確であることが判明しました。

理論のビット

DLPシステムでの人の自動プロファイリングのアイデアは空中にあるだけでなく、多くの場合、国際標準および安全に関する推奨事項にも現れています。 しかし、今日の実装には、一般に受け入れられている方法論がありません。 自然な方法は、大量のデータ（ビッグデータ）の分析に基づいてこのようなインジケーターを作成することです。 テクノロジーのビッグデータ言語では、この問題は評判と信頼の管理に関連しています（「信頼と評判の管理」[1]）。



プロファイリングは、本質的に行動分析に関連しています。 ビジネス行動の観点から、現代​​の心理学、生理学、および社会学の方法がここで適用されます[2、3]。



数学的統計、ランダムプロセス、および統計物理学の方法は、コンピューティングデバイスと見なされます[4-9]。 モデルの別のブランチは、ニューラルネットワークの理論に基づいています[10、11]。

信頼の式-正確さとシンプルさ

漏洩に対する情報保護の分野の専門家との協議により、社会学、数理統計学、ビジネス分析などの理論的手法の中で最も効果的なものを選び出すことが可能になりました。 こうした方法のセットでさえ非常に広範囲であり、これらの方法を組み合わせることは刺激的な仕事であるという事実にもかかわらず、それらの検証は非常に時間がかかります。 したがって、私たちは目的に最も適した方法を選択することから始めました。 選択の主な基準は、正確さとシンプルさでした。



精度の最良の指標は、セキュリティ担当者によって検出された実際の侵入者の数からシステムが潜在的な違反者として自動的に識別できる人数であると判断しました。 したがって、セキュリティ担当者の作業の結果とさまざまな方法の計算を比較しました。



2番目の基準- シンプルさ -は、信頼レベルのモデルに冗長な変数（因子）がないことの原因です。 事実は、追加要因ごとに不確実性が生じるため、結果の透明性が失われます。 つまり、人に割り当てられた信頼のレベルが劇的に変化した場合、セキュリティガードがこれらの変化の原因を理解することはより困難になります。 これは、主な目標であるDLP分析データをユーザーにとって可能な限り明確かつ透過的にするという目標を達成するための取り組みを無効にします。



これらの基準に従って、最適なアルゴリズムが採用され、その後DLPシステムに組み込まれました。

ソースデータ

実際のセキュリティインシデントに関する非常に膨大なデータがあります。 各実装およびパイロットプロジェクト中に、イベントおよびインシデントに関するレポートが生成されます。 これらのレポートには、違反者に関する情報も含まれます-人事情報、この従業員に関連するイベントのリスト、リスクの高いグループに人を配置するための兆候。



実際のデータは、8つの業界のインシデントデータです。

• 産業
• IT＆テレコム、
• 政府機関
• 電力工学
• 缶
• 石油およびガス産業
• 貿易とサービス
• 輸送。

以下を含むいくつかの測定可能な要因も考慮されました。

• 通信の量;
• ISイベントおよびインシデントの数。
• 特別な管理者のグループ間でのイベントの分布。
• 通信チャネルを介したメッセージの配布。
• 重大度レベルによるイベントの分布。
• パイロットレポートまたは展開レポートに含まれる人は、セキュリティインシデントの実際の参加者です。
• その他。

その結果、信頼の公式を作成するための3つのツール、統計、社会学、ビジネスの詳細を選択しました。 これら3つの「C」は、従業員の活動に関する3次元のビジョンを提供することになっています。

「C」No.1-統計

統計ツールとして、ホワイトノイズの形式でエラーのある従来の自己回帰モデルを選択しました。 このモデルを使用すると、考慮される要因の依存関係のグラフ上で最適な線（法則）を選択できます。 このモデルは、多くの同様のタスクで良好な結果を示しています。



因子分析は、個人の通信の量とこの通信で検出されたイベントの数を比較することから始めました。 イベントが対応の量に線形に依存すると仮定すると、メッセージの数に対するイベントの依存の次の法則が得られます。







ある意味では、この法則の「精度」（R ²の値）は、この法則がすべての人にとってある程度受け入れられると考えるには不十分であるため、依存関数のグラフは点線で示されています。 通常、精度の基準として、この値0.8の下限しきい値を受け入れます。



統計でできる次のステップは、人々を「盲目的に」グループに分けることです。 分割は二分されます-すべての人を2つのグループに分割し、モデルの精度が十分になったら、そのような分割を受け入れます。 それ以外の場合は、各サブグループをさらに2で分割します。 実際には、1〜2回の反復で十分です。



すでに最初の反復で人のグループに統計的に分割されたため、説得力のある「精度」が得られました-90％以上。 当然、このような結論に対するサンプルサイズの十分性の問題は、個別に解決されます。







かなり良いサンプルがあれば、回帰線（依存の法則）をあらゆる人の予測として使用できます。 そして、この法律からの人の逸脱は、統計の観点から、異常に起因する可能性があります。



すべては問題ありませんが、ビジネスの感覚に裏付けられていない統計は、実際の状況に不適切な結果をもたらすことがよくあります。

「C」第2-社会学

第3段階では、モデルをわずかに調整しました。 統計的に選択された各グループ内の人をつなぐものを理解する必要がありました。 したがって、統計パーティションと一致するフィーチャを検索する必要が生じました。 このために、社会学とビジネス分析の方法を使用しました。



社会学的研究のモニタリングとその実際の評価により、人のカテゴリに対して次のオプションが与えられました。

• 無視されたユーザー。
• 慎重なユーザー;
• 上級ユーザー;

各グループには独自の行動パターンがあり、人々は意図せずに行動します。 さらに、各動作パターンに基づいて、特定の予測脅威モデルを構築できます。 たとえば、データの転送と保存を怠ったユーザーのアクションは、通信チャネルに関係なく、情報を誤って侵害するリスクが高くなります。 対照的に、慎重なユーザーは意図的な脅威の原因になる可能性が高くなります。 それらの活動は通常、企業ルールに記載されていない通信チャネルに影響します。



上級ユーザーは、ITインフラストラクチャに精通しており、特にデータの変更と置き換えが高度です。 このグループでは、OSカーネルレベルでワークステーションと使用プログラムの特別な制御が必要です。 上級ユーザーと軽視されているユーザーのコミュニケーションも重要です。前者は、後者の不十分な情報セキュリティ能力を利用できるからです。 サイバーセキュリティインシデント、雪崩イベント、企業のドキュメント管理システムおよびデータベースに関連するイベントは、上級ユーザーグループの間で一般的です。

「C」No。3-ビジネス仕様

ビジネス要因に関しては、モデルの非効率的な複雑化を回避するために、詳細レベルを決定することが特に重要です。



もちろん、理想的な場合、セキュリティ担当者は、商業的に重要なデータが含まれるビジネスプロセス図を持っています。 実際には、これは非常にまれです。

これらの状況では、情報フロー内のドキュメントのタイプを判別し、それらの動きを視覚化するDLPシステムの機能が役立ちます。 さらに、短い観察期間であっても、蓄積された情報は、特定のプロセスのフレームワーク内でデータがどのように転送されるかを明確に示します。 次のような従業員のグループをいくつか特定しました。

• 文書を承認する人;
• 特権アクセス権を持つ人;
• 従業員の責任
• 他のいくつか。

労働特性の観点から、次のグループの人を区別できます。

• アウトソーシングされた従業員、請負業者。
• アクティブなビジネスユーザー
• 保護観察中の従業員、または反対に、退職する従業員。

これらすべてのグループには、情報を操作する特定の機能があるため、個別の制御が必要です。 したがって、アウトソースされた従業員とビジネスに積極的なユーザーは、生成される情報セキュリティイベントの量だけでなく、通信チャネルも異なります。



経済的に責任のある従業員のグループは、特別な地位を享受しています。 それらは、経済安全保障イベントに関連するイベントの優位性によって特徴付けられます。 会計の分野では、通常、いくつかの業界ワークフローが使用されます。これは、自動化されたDLPシステムのポリシーのルールによって正常に考慮することができます。

信頼レベルの最終式

信頼レベルのさまざまなモデルを評価する過程で、以下に依存する必要があることが明らかになりました。

• イベントの数。
• メッセージの送信元と送信者を含むリスクグループ。
• 重大度レベルによるイベントの分布-低から高まで

したがって、信頼レベルは実数値の制限された関数です。 次のように正式に定義できます。



ここで、Sはイベントの数、GR _nはリスクグループのセットでのイベントの分布、nはGR _nの次元、D _Kは臨界レベルのセットでのイベントの分布、Kは臨界レベルの数（この場合はK = 5）、tは考慮中の瞬間です時間。



これらの要因を考慮したモデルを使用して、インシデントの調査と分析中にセキュリティ担当者が独自に特定した違反者の総数の60％以上を自動的に特定することができました。



この結果は、DLPソリューションで動的なレベルの信頼を実現するための強力な議論でした。

おわりに

現在、信頼レベルは正常に機能しており、DLPシステムの分析の重要な要素の1つであるという事実にもかかわらず、私たちは常に式の改善に取り組んでいます。 おそらくいつか将来、「信頼の公式をより正確にした方法を何回か」というタイトルのこの記事の続きを書くことができるでしょう。



おそらく、競争は技術の開発に役立つでしょう。 私たちはこの分野で真剣に取り組んでいるDLPベンダーの1つですが、記事の冒頭で既に述べたように、行動分析は現在トレンドになっているため、他の国内の開発者はすぐにこの方向を検討し始めるでしょう。

ソース

1. オマール・ハサン、ベンジャミン・ハベッガー、ライオネル・ブルーニー、ナディア・ベナニ、エルネスト・ダミアーニ。 リヨン大学、ミラノ大学コンピューター工学科。 ビッグデータテクニックを使用したユーザープロファイリングにおけるプライバシーの課題に関する議論：EEXCESSの使用例。
2. ジョージ・W・フェアウェザー、ルイ・G・トルナツキー。 社会政策研究のための実験的方法。
3. Long Jin、Yang Chen、Tianyi Wang、Pan Hui、Athanasios V. Vasilakos。 オンラインソーシャルネットワークでのユーザーの行動を理解する：調査// IEEE Communications Magazine September 2013。
4. ラヌアル・シャルフェディン・ワディ・ナスリ。 インターネットバンキングの使用に関するチュニジアの銀行の顧客の行動意図//デジタル経済におけるイノベーションの国際ジャーナル、4（1）、16-30、2013年1月から3月。
5. Gunjan Mansingh＆Lila Rao＆Kweku-Muata Osei-Bryson＆Annette Mills インターネットバンキングユーザーのプロファイリング：データマイニングプロセスモデルベースのアプローチでの知識の発見// Springer Science + Business Media New York 2013。
6. ラティンドラ・サラシー、クリシュナムルティ！ムラリダール。 数値データの差分プライバシーを満たすためのラプラスノイズ追加の評価//データプライバシーに関するトランザクション4（2011）1-17。
7. チャン・ムー・リー。 犯罪プロファイリングと産業セキュリティ// Springer Science + Business Media New York 2014。
8. Yanli Yu、Keqiu Li、Wanlei Zhou、Ping Li。 ワイヤレスセンサーネットワークの信頼メカニズム：攻撃の分析と対策// Journal of Network and Computer Applications 35（2012）867–880。
9. WTルークティーシア、マイケルリュック、アレックスロジャーサ、ニコラスR.ジェニングサ。 階層的ベイジアンモデリングを使用した、信頼と評判に対する効率的で汎用的なアプローチ。
10. Weihua Song、Vir V. Phoha。 分散システムにおけるニューラルネットワークベースの評判モデル//電子商取引技術に関するIEEE国際会議の議事録。
11. ボー・ゾン、フェン・スー、ジュン・チャオ、ジアン・LV 人工ニューラルネットワークに基づくブローカー支援の信頼および評判システム//システム、人間、およびサイバネティックスに関する2009年のIEEE国際会議の議事録。

この記事を手伝ってくれたSolar-Alexに感謝します。