誤検知。 1つの石で2羽の鳥を捕まえる新しい手法

誤検知の問題。 正確さと完全性。

DLPシステムに普遍的な問題点がある場合、これらは間違いなく誤検知です。 ポリシー設定の誤りが原因である可能性がありますが、ポイントは、インテグレーターが試行し、すべてが正しく実装されていても、誤検知が消えないことです。 そして、それらはたくさんあります。 誰かがそれらを持たないと聞いた場合、「誰もが嘘をついている」と信じないでください。 私たちはこの業界に長い間携わっており、すべての深刻な競合ソリューションを定期的にテストしています。 誤検知は、すべての最新のDLPの惨事であり、主に顧客に影響を及ぼします。



この記事では、情報セキュリティリスクに対する情報トラフィックフィルタリングポリシーへの新しいアプローチについて説明します。 この方法は、2段階のろ過の使用に基づいており、従来の単一レベルのろ過とは区別されます。 このアプローチにより、誤検知の問題をより効果的に解決できます。 ゴミと見逃した事故の両方を減らす。



今日は少し理論があり、一週間で-多くの練習があります。



まず、情報フィルタリングメカニズムの品質を決定する2つのプロパティ、つまり、 精度と完全性 （統計の言語での精度と再現-第1種および第2種のエラー）を思い出します。



情報トラフィックのある特定の会社を想像してください。 多くのA-貴重なドキュメントで構成されるドキュメントの特定の選択があります。 フィルタリングメカニズムは、情報トラフィックでそれらを識別する必要があります。 精度とは、フィルターによってマークされたすべてのドキュメントのうち、重要とマークされたドキュメントの割合であり、完全性とは、重要なドキュメントAの所定のセットから正しく検出されたドキュメントの割合です。 これを数式の形式でペイントして、もう少しわかりやすくしましょう。

たとえば、 A = 10の商用オファー。 このフィルターは、 B = 8文書が真であり、 C = 4偽であるため、 D = 2文書が見つかりませんでした。 次に：

$$

$$精度= \ frac {B} {（B + C）} = \ frac {8} {（8 + 4）} = 67 \％$$

$$

$$完全性= \ frac {B} {（B + D）} = \ frac {8} {（8 + 2）} = 80 \％$$

当然、正確さと完全性は互いに対立します。 これを、フィルター条件の簡単な例で説明します。



情報セキュリティのリスクに関する情報を検出するための条件は、キーワード、投資の数、受信者の数、ファイル形式、語彙の調性、およびその他の100万の条件です。 一般性を失うことなく、このような条件としてファイルVのサイズを選択します。



組織によっては、ファイルサイズごとの貴重な情報とガベージファイルの数の分布は次のとおりです。







次に、 正確さのたたかいは、そのような検索結果（サイズがVを超えるファイルを見つける）を提供します。







当然、このようなフィルタリングポリシーは最も一般的な理由には適していません。重要な情報の大部分が見当たらないため、容認できません。 ただし、同時に、このポリシーには大きな利点があります。 重大度の高いISインシデントはすぐに分析されることが知られており、不必要なゴミを出さずに最も重大なインシデントをすぐに受け取るようなアプローチにより、応答速度を上げることができます。



完全性を求める闘争は次のようになります（サイズがVより大きいファイルが見つかりました）。







国内の現実により馴染みのあるこの状況では、情報セキュリティポリシーは、ほぼすべてのインシデントを保持しながら、より多くのトラフィックをマークします。 ただし、この場合でも、そのようなアプローチを効果的に呼び出すことはできません。 この理由はやはり時間の要因です。 セキュリティ担当者は多数の誤検知に直面しているため、重大度の高いインシデントへの対応が遅くなります。



一般的に言えば、分析されるデータのランダムな性質により、100％の精度と100％の完全性を達成することはほとんど不可能です。 ベンダーの製品の偽陰性のほぼネガティブな数に関するマーケティングの声明は何に基づいていますか？ DLPの開発者は、指標の1つを意図的に覆い隠して検出品質として偽装する場合があり、それによって算術を情報の偏った表現の不本意な使用人にします。



同時に、高い精度と完全性は、原則として、正確な科学（物理学、化学、生物学）に見られます。 たとえば、タンパク質鎖の単一の状態から、一意の（人が双子またはクローンを持っていない場合）DNA鎖とそのキャリアを決定できます。 固有の指紋によって加害者を特定でき、固有の吸収スペクトルによって物質の化学組成を決定できます。 情報の検出には、そのような決定の余地もあります。 これは、一意に基づいて情報を検索します（MD5の合計、またはその相対-デジタル指紋）。 上記のすべての状況において、目的のオブジェクトを「ゴミ」から一意に分離する「プロパティ」があります。



ただし、明らかな理由から、この技術は不変ファイルの保護にのみ有効であり、現実には十分ではありません。



情報伝達のプロセスは古典的な正確な科学の研究の対象ではないことに注意する価値がありますが、70年以上前にコミュニケーション理論の研究で クロード・シャノンが書いた情報理論の強力な数学的装置をすでに持っています（「 秘密システムにおけるコミュニケーション理論 」、 「 コミュニケーションの数学的理論 」）。



正確性と完全性は、記事のタイトルで言及されているまさに2匹のウサギであると推測するのは簡単です。 第2部では、それらのうちの1つを逃さない方法を説明し、すべてのDLPシステムの「いまいましい質問」-誤検知の問題を解決します。



著者：

マキシム・ブジノフ、上級数学者、ソーラーセキュリティ。

Galina Ryabova、Solar Dozor、ソーラーセキュリティ責任者。