[go: up one dir, main page]

RU2811731C2 - Method for optimizing information security policies based on user behaviour patterns - Google Patents

Method for optimizing information security policies based on user behaviour patterns Download PDF

Info

Publication number
RU2811731C2
RU2811731C2 RU2022117679A RU2022117679A RU2811731C2 RU 2811731 C2 RU2811731 C2 RU 2811731C2 RU 2022117679 A RU2022117679 A RU 2022117679A RU 2022117679 A RU2022117679 A RU 2022117679A RU 2811731 C2 RU2811731 C2 RU 2811731C2
Authority
RU
Russia
Prior art keywords
information security
user
level
users
behavior
Prior art date
Application number
RU2022117679A
Other languages
Russian (ru)
Other versions
RU2022117679A (en
Inventor
Максим Сергеевич Бузинов
Original Assignee
Общество с ограниченной ответственностью "Солар Секьюрити"
Filing date
Publication date
Application filed by Общество с ограниченной ответственностью "Солар Секьюрити" filed Critical Общество с ограниченной ответственностью "Солар Секьюрити"
Publication of RU2022117679A publication Critical patent/RU2022117679A/en
Application granted granted Critical
Publication of RU2811731C2 publication Critical patent/RU2811731C2/en

Links

Abstract

FIELD: information security.
SUBSTANCE: risk management tools in enterprise information security, as well as decision support systems in the field of information security. A method for optimizing information security policies based on user behaviour patterns includes the following actions: ranking assessment of the resources of user workstations available for information security tools (hereinafter referred to as IST); monitoring user behaviour, vulnerability index and behaviour anomalies in real time; detection of behaviour patterns; assessing complexity of information security policies; optimization of hardware and software information protection systems. To do this, all user workstations are first ranked according to the level of available hardware resources. Also, for workstations, an additive level of complexity of information security policies and the level of response of the information security service are introduced. Then, a list of user behaviour patterns is entered, i.e. such categories of users that require an increase in the level of information security policies or the level of response. Optimization criteria for these levels are introduced for the previously measured assessment of free hardware resources of workstations.
EFFECT: reduced level of requirements for enterprise information security hardware resources and reduced labour costs of information security officers and administrators in providing response measures to incidents identified by information security.
2 cl, 6 dwg

Description

Область техникиField of technology

Изобретение относится к средствам управления рисками в информационной безопасности предприятия, а также к системам поддержки принятия решений в области информационной безопасности, а именно является средством оптимизации работы автоматизированных средств защиты информации в соответствии с уровнем фактического риска среди разных групп пользователей информационной инфраструктуре предприятия. В качестве наиболее перспективных областей применения способа выступают различные системы защиты информации, такие как системы защиты от утечек, антивирусные системы, системы контроля доступа, системы управления событиями и инцидентами и другие. Особенно это актуально на средних и крупных по числу сотрудников системообразующих предприятиях, банках, государственных компаниях, крупные и средние промышленные предприятия, предприятия медицинской отрасли и сферы услуг.The invention relates to risk management tools in enterprise information security, as well as to decision support systems in the field of information security, namely, it is a means of optimizing the operation of automated information security tools in accordance with the level of actual risk among different groups of users of the enterprise information infrastructure. The most promising areas of application of the method are various information security systems, such as leak protection systems, anti-virus systems, access control systems, event and incident management systems and others. This is especially true in medium-sized and large systemically important enterprises, banks, state-owned companies, large and medium-sized industrial enterprises, enterprises in the medical industry and the service sector.

Уровень техникиState of the art

Из существующего уровня техники известны системы защиты информации, анализирующие события безопасности и инциденты безопасности, поступающие со стороны информационной инфраструктуры предприятия (ИИП). К таким подсистемам относят антивирусное и антифишинговое программное обеспечение, межсетевые экраны, программы мониторинга действий пользователя, сканеры жестких дисков и файловых хранилищ, системы управления событиями и инцидентами и иные решения. Каждая такая система имеет множество правил обработки событий и реагирования, параметров и настроек, определяющих то, с какой тщательностью и в каком объеме они могут работать, все это обычно называется политикой безопасности средств защиты информации (СЗИ).From the existing level of technology, information security systems are known that analyze security events and security incidents coming from the enterprise information infrastructure (IIP). Such subsystems include anti-virus and anti-phishing software, firewalls, user activity monitoring programs, hard drive and file storage scanners, event and incident management systems and other solutions. Each such system has many event processing and response rules, parameters and settings that determine with what care and to what extent they can work, all of this is usually called the security policy of information protection tools (IPS).

Международные и отечественные нормы рекомендуют детально классифицировать угрозы и риски. Ввиду их большого спектра, политика безопасности СЗИ превращается часто в сложный комплекс из множества вариантов правил и настроек. Для обеспечения работоспособности политик СЗИ расходуются значительные ресурсы как рабочих станций пользователей, так и сетевого оборудования, замедляя их работу. Это может вызывать сбои в работе как отдельных сотрудников, так и целых подразделений.International and domestic standards recommend classifying threats and risks in detail. Due to their wide range, the security policy of information security often turns into a complex complex of many options for rules and settings. To ensure the functionality of information security policies, significant resources are spent on both user workstations and network equipment, slowing down their work. This can cause disruptions in the work of both individual employees and entire departments.

Помимо нехватки вычислительных мощностей также актуальна проблема нерационального использования трудовых ресурсов офицеров и администраторов безопасности, так как объективно оценить тип угрозы и уровень риска конкретной рабочей станции, пользователя или группы пользователей представляется затратной задачей для офицера безопасности, особенно в крупных организациях. Поэтому службы информационной безопасности вынуждены заведомо завышать риски утечки информации и назначать для большинства пользователей максимально строгие и сложные политики СЗИ. По этой причине меры реагирования назначаются нерационально и, следовательно, повышаются трудозатраты службы информационной безопасности.In addition to the lack of computing power, the problem of irrational use of labor resources of security officers and administrators is also relevant, since objectively assessing the type of threat and risk level of a specific workstation, user or group of users seems to be a costly task for a security officer, especially in large organizations. Therefore, information security services are forced to deliberately overestimate the risks of information leakage and assign the most stringent and complex information security policies to most users. For this reason, response measures are prescribed irrationally and, consequently, the labor costs of the information security service increase.

Как известно, основным источником угроз информационной безопасности является пользователь, его действия, мотивы и цели. А это, в свою очередь, проявляется в его поведении. В настоящее время существуют системы, позволяющие оценивать действия пользователей и определять связанные риски. Однако они обладают рядом недостатков.As you know, the main source of threats to information security is the user, his actions, motives and goals. And this, in turn, is manifested in his behavior. Systems now exist to evaluate user actions and identify associated risks. However, they have a number of disadvantages.

Например, в изобретении по патенту №US7865958B2 (заявка №US36615009A) не анализируются персональные качества пользователя и его вовлеченность в бизнес-процессы предприятия. Что делает затруднительным выявление пользователей, выбивающихся относительно остальных сотрудников предприятия в рамках должности, подразделения или функциональной роли (т.н. outlierusers). А ведь именно такие пользователи требуют со стороны информационной безопасности особого контроля.For example, the invention under patent No. US7865958B2 (application No. US36615009A) does not analyze the personal qualities of the user and his involvement in the business processes of the enterprise. This makes it difficult to identify users who stand out relative to other employees of the enterprise within a position, department or functional role (so-called outliers). But it is precisely such users who require special control from information security.

Техническое решение, описанное в заявке №US201615253263A по патенту №US2016373477A1, использует оценку поведения пользователя на основе его действий. Но такая оценка базируется на предварительно вручную настроенных (predefined) правилах политики СЗИ. Таким образом, предложенный способ не позволяет определять нормальное поведение каждого пользователя и требует настройки системы правил СЗИ заранее. Кроме того, пользователи не распределяются по категориям поведения (паттернам) в реальном времени, что не позволяет проводить масштабные меры безопасности и экономить трудовые ресурсы службы безопасности. The technical solution described in application No. US201615253263A under patent No. US2016373477A1 uses the assessment of user behavior based on his actions. But such an assessment is based on manually predefined rules of the information security policy. Thus, the proposed method does not allow determining the normal behavior of each user and requires setting up a system of information security rules in advance. In addition, users are not classified into behavior categories (patterns) in real time, which does not allow for large-scale security measures and saving security staff resources.

Недостатком технического решения, описанного в заявке №CN201710044237A по патенту №CN106845272A, является отсутствие учета технических особенностей аппаратного обеспечения рабочих станций пользователей, с методикой соответствующего оптимального распределения свободных ресурсов необходимых для пользовательских политик СЗИ.The disadvantage of the technical solution described in application No. CN201710044237A under patent No. CN106845272A is the lack of consideration of the technical features of the hardware of user workstations, with a methodology for the corresponding optimal distribution of free resources necessary for user information security policies.

В изобретении по заявке №2012156444/08 (патент № RU 2534935
C2) используются схожие исходные данные, однако отсутствует оценка профиля нормального поведения пользователя в соотношении с другими пользователями. Кроме того, перечень рассматриваемых рисков ограничен угрозами просмотра нежелательного контента и времени работы за ПК. Таким образом, существующее решение подходит для скорее для личного использования, например, родителями ребёнка, но не подходит для использования в масштабах промышленного предприятия.In the invention according to application No. 2012156444/08 (patent No. RU 2534935
C2) similar input data is used, but there is no assessment of the user's normal behavior profile in relation to other users. In addition, the list of risks considered is limited to the threats of viewing inappropriate content and time spent working on a PC. Thus, the existing solution is suitable for personal use, for example, by the parents of a child, but is not suitable for use on an industrial scale.

Наиболее близким к заявляемому изобретению техническим решением является изобретение по заявке №US201113191201A (патент №US9275065B1). Общими признаками заявляемого изобретения и указанного являются:The technical solution closest to the claimed invention is the invention according to application No. US201113191201A (patent No. US9275065B1). The common features of the claimed invention and the said one are:

техническая реализация сбора данных о пользователе с рабочей станции на регулярной основе, близко к реальному времени;technical implementation of collecting user data from the workstation on a regular basis, close to real time;

наличие характерного для пользователя профиля поведения;the presence of a behavior profile characteristic of the user;

определение отклонения от нормы поведения пользователя (аномального поведения);determination of deviation from the norm of user behavior (abnormal behavior);

наличие частично автоматического механизма реагирования на аномалии поведения;the presence of a partially automatic mechanism for responding to behavioral anomalies;

интеграция с системами типа DataLeakPrevention (DLP).integration with systems such as DataLeakPrevention (DLP).

При этом основными недостатками рассматриваемого технического решения (заявка №US201113191201A (патент №US9275065B1) являются:At the same time, the main disadvantages of the technical solution under consideration (application No. US201113191201A (patent No. US9275065B1) are:

отсутствие относительной оценки поведения пользователя в сравнении с другими пользователями для дифференцированного применения мер безопасности к группам пользователей с различным поведением;lack of relative assessment of user behavior in comparison with other users in order to differentiate the application of security measures to groups of users with different behavior;

отсутствие механизма автоматической категоризации пользователей для дальнейшей оптимизации политик средств защиты информации, и отсутствие соответствующих способов реагирования СЗИ в отношении инцидентов, связанных с такими группами;the lack of a mechanism for automatically categorizing users for further optimization of information security policies, and the lack of appropriate ways to respond to information security systems in relation to incidents related to such groups;

отсутствие способа оптимизации ресурсов аппаратного обеспечения информационной безопасности предприятия.lack of a way to optimize enterprise information security hardware resources.

Во всех вышеуказанных технических решениях отсутствует способ оптимизации вычислительных ресурсов рабочих станций пользователей и аппаратного обеспечения СЗИ для тех или иных групп пользователей. All of the above technical solutions lack a way to optimize the computing resources of user workstations and information security hardware for certain user groups.

Настоящее изобретение позволяет устранить указанные недостатки существующих технических решений и вышеуказанные проблемы информационной безопасности.The present invention eliminates the indicated disadvantages of existing technical solutions and the above information security problems.

Следовательно, техническим результатом заявляемого изобретения является снижение уровня требований к ресурсам аппаратного обеспечения информационной безопасности предприятия, а также снижение трудозатрат офицеров и администраторов СЗИ по обеспечению мер реагирования на инциденты, выявляемые СЗИ.Consequently, the technical result of the claimed invention is to reduce the level of requirements for enterprise information security hardware resources, as well as to reduce the labor costs of security information officers and administrators in providing response measures to incidents detected by information security.

Заявляемое техническое решение также позволяет обеспечить снижение уровня требований к ресурсам аппаратного обеспечения информационной безопасности предприятия достигается за счет предложенного способа оптимизации системы политик средств защиты информации (СЗИ) под любую комбинацию паттернов поведения пользователей, перечень и способ детектирования которых определены в настоящей заявке, а также позволяет снизить трудозатраты офицеров и администраторов СЗИ по обеспечению мер реагирования на инциденты, выявляемые СЗИ за счет использования ранговых шкал оценки показателей поведения и автоматического перестроения политик СЗИ под ту или иную категорию пользователей.The claimed technical solution also makes it possible to reduce the level of requirements for enterprise information security hardware resources, which is achieved through the proposed method for optimizing the system of information security policies (ISIS) for any combination of user behavior patterns, the list and method of detection of which are defined in this application, and also allows reduce the labor costs of information security officers and administrators in providing response measures to incidents detected by information security through the use of ranking scales for assessing behavior indicators and automatically rebuilding information security policies for a particular category of users.

Раскрытие сущности изобретения Disclosure of the invention

Для решения вышеуказанных проблем заявляется способ оптимизации аппаратных и программных средств защиты информации (СЗИ) на основе паттернов поведения пользователей, который включает:To solve the above problems, a method is proposed for optimizing hardware and software information security (IS) based on user behavior patterns, which includes:

ранговую оценку доступных для СЗИ ресурсов рабочих станций пользователей; ranking assessment of the resources of user workstations available for information security;

мониторинг поведения пользователей, индекса уязвимости и аномалий поведения в реальном времени;monitoring user behavior, vulnerability index and behavior anomalies in real time;

детектирование паттернов поведения;detection of behavior patterns;

оценку сложности политик СЗИ; assessing the complexity of information security policies;

оптимизацию аппаратных и программных СЗИ.optimization of hardware and software information protection systems.

Для этого все рабочие станции пользователей сначала ранжируются по уровню доступных аппаратных ресурсов. Также для рабочих станций вводится аддитивных уровень сложности политик СЗИ и уровень реагирования службы информационной безопасности. Затем вводится перечень паттернов поведения пользователей, т.е. таких категорий пользователей, которые требуют повышения уровня политик СЗИ или уровня реагирования. Для каждой категории пользователей определяются точные условия попадания в нее. Эти условия используют показатели поведения пользователей и их динамику в реальном времени. Затем для каждой категории пользователей (паттерна) и для произвольной комбинации паттернов определяется аддитивное повышение уровня сложности политик СЗИ и уровень реагирования. Вводятся критерии оптимизации этих уровней для ранее измеренной оценки свободных аппаратных ресурсов рабочих станций.To do this, all user workstations are first ranked according to the level of available hardware resources. Also, for workstations, an additive level of complexity of information security policies and the level of response of the information security service are introduced. Then a list of user behavior patterns is entered, i.e. such categories of users that require an increase in the level of information security policies or the level of response. For each category of users, the exact conditions for entering it are determined. These conditions use real-time user behavior metrics and dynamics. Then, for each category of users (pattern) and for an arbitrary combination of patterns, an additive increase in the level of complexity of information security policies and the level of response are determined. Criteria for optimizing these levels are introduced for the previously measured assessment of free hardware resources of workstations.

Краткое описание чертежейBrief description of drawings

Фигура 1. Способ оптимизации политик средств защиты информации на основе паттернов поведения пользователей. Общая схема.Figure 1. A method for optimizing information security policies based on user behavior patterns. General scheme.

Фигура 2. Схема базового аппаратного и программного обеспечения СЗИ.Figure 2. Diagram of the basic hardware and software of the information protection system.

Фигура 3. Пример определения порога рабочей нагрузки.Figure 3. Example of determining the workload threshold.

Фигура 4. Пример профиля поведения пользователя.Figure 4. Example of a user behavior profile.

Фигура 5. Способ детектирования паттернов пользователей.Figure 5. Method for detecting user patterns.

Фигура 6. Пример определения уровня сложности политики СЗИ и мер реагирования для конкретного пользователя.Figure 6. An example of determining the level of complexity of an information security policy and response measures for a specific user.

Осуществление изобретенияCarrying out the invention

В современной информационной инфраструктуре предприятия применяется множество автоматизированных систем защиты информации (далее СЗИ). Примерная схема СЗИ представлена на фигуре 2. Наиболее часто применяются следующие:In the modern information infrastructure of an enterprise, many automated information security systems (hereinafter referred to as ISIS) are used. An approximate diagram of the information protection system is presented in Figure 2. The most commonly used are the following:

антивирусные системы (Antivirus);antivirus systems (Antivirus);

антиспам и анти-фишинг решения (Antispam);antispam and anti-phishing solutions (Antispam);

межсетевые экраны (Firewall или NGFW);firewalls (Firewall or NGFW);

предотвращение утечек информации (DataLeakPrevention);prevention of information leaks (DataLeakPrevention);

управление идентификацией и доступом (IAM/IDM)к информационным системам предприятия.Identity and access management (IAM/IDM) to enterprise information systems.

Для каждой такой системы характерно использование системы правил (политик) безопасности, включающие условия применения и способы реагирования. Например, для антивирусной системы правила могут звучать так:Each such system is characterized by the use of a system of security rules (policies), including conditions of use and methods of response. For example, for an anti-virus system the rules may sound like this:

если рабочая станция находится во внутреннем контуре безопасности, то синхронизация с антивирусной базой должна происходить раз в неделю;if the workstation is located in the internal security loop, then synchronization with the anti-virus database should occur once a week;

если рабочая станция принадлежит сотруднику, работающему удаленно, то запуск сканирования должен производится с учетом местного времени и характером работы сотрудника. if the workstation belongs to an employee working remotely, then the scan should be launched taking into account local time and the nature of the employee’s work.

Также каждая автоматизированная СЗИ обычно оперирует понятием инцидента или нарушения, которые характеризуются уровнем серьезности или критичности. Их может быть несколько. Мы, не теряя общности подхода, будем использовать реализацию с использованием двух уровней серьезности или критичности: средний и высокий. Also, each automated information security system usually operates with the concept of an incident or violation, which is characterized by a level of severity or criticality. There may be several of them. Without losing the generality of the approach, we will use an implementation using two levels of severity or criticality: medium and high.

Основным источником угрозы и риска в информационной безопасности является пользователь. Поэтому именно от особенностей поведения пользователя в информационной инфраструктуре в основном зависит какая система правил должна использоваться в отношении него. The main source of threat and risk in information security is the user. Therefore, it is the characteristics of user behavior in the information infrastructure that mainly determine which system of rules should be used in relation to him.

Вместе с этим для функционирования любой системы правил СЗИ задействуются аппаратное обеспечение: сетевое оборудование и рабочие станции пользователей. Любое правило системы СЗИ связано с функциями СЗИ, отнимающими аппаратные ресурсы. И чем сложнее и объемнее система правил СЗИ, тем больше аппаратных ресурсов необходимо для ее бесперебойной работы.At the same time, for the functioning of any system of information security rules, hardware is used: network equipment and user workstations. Any rule of the information security system is associated with information security functions that consume hardware resources. And the more complex and voluminous the system of information security rules, the more hardware resources are needed for its uninterrupted operation.

1. Ранговая оценка доступных для СЗИ ресурсов рабочих станций пользователей1. Rank assessment of user workstation resources available for information security

Для оптимизации технической инфраструктуры рабочие станции пользователей и сетевые хосты (серверы) подлежат оценке на предмет быстродействия и свободных ресурсов. Для этого на протяжении достаточного периода, например, одного месяца на каждой рабочей станции и отдельно сетевых хостах замеряются показатели рабочей нагрузки:To optimize the technical infrastructure, user workstations and network hosts (servers) are subject to evaluation for performance and available resources. To do this, over a sufficient period, for example, one month, workload indicators are measured on each workstation and separately on network hosts:

использования памяти, memory usage,

использование постоянной памяти,use of permanent memory,

нагрузка процессора.CPU load.

Далее определяется достаточное для подавляющего большинства рабочих задач значение каждого показателя. Значение порога рабочей нагрузки считается достаточным, если на протяжении 100-v% времени функционирования рабочей станции показатель не выходит за его рамки (см. схему). В частности, рекомендуется v принимать равным 5%. Пример определения порога рабочей нагрузки представлен на схеме (фигура 3).Next, the value of each indicator sufficient for the vast majority of work tasks is determined. The value of the workload threshold is considered sufficient if during 100-v% of the time the workstation is functioning the indicator does not go beyond it (see diagram). In particular, it is recommended to take v equal to 5%. An example of determining the workload threshold is presented in the diagram (Figure 3).

Таким образом, для каждого пользователя определяется профиль достаточной рабочей нагрузки, состоящий из конкретных измеренных значений показателей рабочей нагрузки.Thus, for each user, a profile of sufficient workload is determined, consisting of specific measured values of workload indicators.

Далее, для каждого показателя производится оценка по ранговой шкале относительно всех остальных пользователей ИИП. Производится это с помощью эмпирической функции распределения, принимающей значения от 0 до 1, или от 0 до 100%. Затем это значение вычитается из 100% и получается процент доступных ресурсов по каждому показателю нагрузки. Общая величина или индекс доступных ресурсов рабочей станции пользователя определяется как корень из суммы квадратов всех значений ранговой оценки показателей профиля нагрузки, деленной на корень из N, где N - число показателей рабочей нагрузки.Next, for each indicator, an assessment is made on a ranking scale relative to all other IIP users. This is done using an empirical distribution function that takes values from 0 to 1, or from 0 to 100%. This value is then subtracted from 100% to obtain the percentage of available resources for each load metric. The total value or index of available resources on a user's workstation is defined as the root of the sum of the squares of all workload profile metric rank values divided by the root of N, where N is the number of workload metrics.

2.Мониторинг поведения пользователей и аномалий поведения в реальном времени2.Monitoring user behavior and behavior anomalies in real time

К пользователям относятся:Users include:

- технические устройства: принтеры, сканеры, USB-накопители,- technical devices: printers, scanners, USB drives,

- роботизированные контакты: рассылки, автоматические уведомители и т.д.,- robotic contacts: mailings, automatic notifications, etc.,

- участники коммуникаций,- participants in communications,

- пользователи рабочих станций.- workstation users.

В свою очередь участников коммуникации можно разделить на внутренних и внешних. Внутренние участники определяются контуром безопасности ИИП. Все остальные участники коммуникаций являются внешними по отношению к ИИП. Любой обмен информации между участниками коммуникации будем называть информационным сообщением.In turn, communication participants can be divided into internal and external. Internal participants are defined by the SMPS security loop. All other communication participants are external to the IIP. We will call any exchange of information between communication participants an information message.

По способу, реализуемому с помощью программы для ЭВМ «Solar Dozor 7» (rt-solar.ru/dozor7, свидетельство о регистрации программы для ЭВМ № 2020660833) на основе действий и коммуникаций пользователей рассчитываются его основные поведенческие показатели и определяется профиль нормального поведения. Что подразумевает мониторинг действий и коммуникаций каждого пользователя в реальном времени. Рассматриваются следующие источники сбора исходных данных о коммуникациях пользователя:According to the method implemented using the computer program “Solar Dozor 7” (rt-solar.ru/dozor7, certificate of registration of the computer program No. 2020660833), based on the actions and communications of users, its main behavioral indicators are calculated and a profile of normal behavior is determined. Which means monitoring the actions and communications of each user in real time. The following sources for collecting initial data on user communications are considered:

- рабочая станция пользователя, - user workstation,

- центральный почтовый сервер,- central mail server,

- сетевое оборудование.- network hardware.

При этом оценка поведения каждого пользователя учитывается поведение всех пользователей, действующих в ИИП. Это позволяет сделать единая ранговая шкала измерений для всех сотрудников. С ее помощью можно ранжировать показатели поведения всех пользователей относительно друг друга. Для каждого пользователя, согласно способу, реализуемому с помощью программы для ЭВМ «Solar Dozor 7»: In this case, the assessment of the behavior of each user takes into account the behavior of all users operating in the IIP. This allows us to create a single ranking measurement scale for all employees. With its help, you can rank the behavior indicators of all users relative to each other. For each user, according to the method implemented using the “Solar Dozor 7” computer program:

- фактические показатели поведения,- actual indicators of behavior,

- нормальные показатели поведения,- normal behavior indicators,

- рамки поведения (доверительный интервал показателей поведения),- framework of behavior (confidence interval of behavior indicators),

- индекс уязвимости пользователя.- user vulnerability index.

Пример профиля поведения пользователя представлен на фигуре 4.An example of a user behavior profile is presented in Figure 4.

3. Выявление особых контактов пользователя и профиля особых контактов3. Identifying the user's special contacts and special contacts profile

Взаимодействие участников коммуникации Aи B можно представить в виде разности индикаторов сообщений, отправленных A к B и индикаторов сообщений, отправленных B к А. Для такого взаимодействия Aи B можно выделить преобладающие частоты, определяющие регулярность коммуникации. Для качественной оценки регулярности используется ранговая шкала. Регулярность статистически нормируется по всем участникам коммуникации одного типа с помощью эмпирической функции распределения и принимает значения от 0 до 1. Если значения близки к нулю, то регулярность низкая, а если близки к единице, то высокая.The interaction of communication participants A and B can be represented as the difference between the indicators of messages sent by A to B and the indicators of messages sent by B to A. For such interaction between A and B, the predominant frequencies that determine the regularity of communication can be identified. To qualitatively assess regularity, a ranking scale is used. Regularity is statistically normalized for all communication participants of the same type using an empirical distribution function and takes values from 0 to 1. If the values are close to zero, then the regularity is low, and if close to one, then it is high.

Одним из свойств взаимодействия участников коммуникаций A и B является внимание. Внимание от A к B определяется как единица, деленная на медиану количества получателей по отправленным A сообщениям, где в получателях присутствует B. Для качественной оценки внимания используется ранговая шкала. Внимание статистически нормируется по всем участникам коммуникации одного типа с помощью эмпирической функции распределения и принимает значения от 0 до 1. Если значения близки к нулю, то внимание низкое, а если близки к единице, то высокое.One of the properties of interaction between communication participants A and B is attention. Attention from A to B is defined as one divided by the median number of recipients for messages sent by A, where B is present in the recipients. A ranking scale is used to qualitatively assess attention. Attention is statistically normalized for all communication participants of the same type using an empirical distribution function and takes values from 0 to 1. If the values are close to zero, then attention is low, and if close to one, then it is high.

Разница внимания от A к B и отправленных сообщений, определяют баланс коммуникации. Он варьируется от -1 до 1. Если баланс равен -1, то A не проявляет внимания к B, если равен 1, то A проявляет к B максимально возможное внимание, если близок к 0, то A и B взаимодействуют в равной степени.The difference in attention from A to B and the messages sent determine the balance of communication. It varies from -1 to 1. If the balance is -1, then A does not show attention to B, if it is 1, then A shows the maximum possible attention to B, if it is close to 0, then A and B interact equally.

Взаимность коммуникации между участниками A и B определяется как минимум внимания от A к B и от B к A. Например, если внимание A к B равно 0.6, а внимание B к A равно 0.8, то взаимность равна 0.6. Максимальное внимание между участниками коммуникации A и B называется потенциалом коммуникации. Далее с использованием внимания, взаимности, баланса и потенциала коммуникаций определяются особые контактов пользователя: The reciprocity of communication between participants A and B is determined by the minimum of attention from A to B and from B to A. For example, if the attention of A to B is 0.6, and the attention of B to A is 0.8, then the reciprocity is 0.6. Maximum attention between communication participants A and B is called communication potential. Next, using attention, reciprocity, balance and communication potential, the user's special contacts are determined:

- рабочая эго-сеть пользователя;- user's working ego network;

- приватная эго-сеть пользователя;- private ego network of the user;

- уникальные (не)известные контакты пользователя.- unique (un)known user contacts.

В качестве варианта реализации рекомендуется использовать указанные значения в процентах.As an implementation option, it is recommended to use the specified values as percentages.

Среди всех участников коммуникаций, в рабочий тесный круг общения (эго-сеть) участника коммуникаций попадают другие участники коммуникаций, если: Among all communication participants, other communication participants fall into the working close circle of communication (ego-network) of a communication participant if:

- регулярность коммуникации с ними превышает 60%;- regularity of communication with them exceeds 60%;

- баланс коммуникации с ними ниже 40%;- the balance of communication with them is below 40%;

- взаимность коммуникации с ними превышает 60%;- reciprocity of communication with them exceeds 60%;

- они не относятся к неизвестным контактам пользователя.- they do not apply to unknown user contacts.

Участник коммуникации тесного круга общения (эго-сети) пользователя является внутренним, если он принадлежит ИИП. Иначе он является внешним.A communication participant in the user’s close social circle (ego network) is internal if it belongs to the IIP. Otherwise it is external.

Уникальным (неизвестным) контактом участника коммуникации является другой участник коммуникации если:A unique (unknown) contact of a communication participant is another communication participant if:

- потенциал коммуникации с ним больше нуля,- the potential for communication with him is greater than zero,

- у всех остальных участников потенциал коммуникации с ним равен нулю.- all other participants have zero communication potential with him.

Участник коммуникации из неизвестных контактов пользователя является внутренним, если он принадлежит ИИП. Иначе он является внешним.A communication participant from unknown user contacts is internal if it belongs to the IIP. Otherwise it is external.

Среди всех участников коммуникаций, в нерабочий тесный круг участника коммуникаций попадают другие участники коммуникаций, если: Among all communication participants, other communication participants fall into the non-working close circle of a communication participant if:

- они являются неизвестными контактами,- they are unknown contacts,

- регулярность коммуникации с ними превышает 60%,- regularity of communication with them exceeds 60%,

- баланс коммуникации с ними ниже 40%,- the balance of communication with them is below 40%,

- взаимность коммуникации с ними превышает 60%.- reciprocity of communication with them exceeds 60%.

4. Далее описываются условия детектирования важных для информационной безопасности паттернов поведения пользователей. Способ детектирования представлен на фигуре 44. The following describes the conditions for detecting patterns of user behavior important for information security. The detection method is shown in figure 4

В качестве варианта реализации рекомендуется использовать указанные изменения уровня сложности политик СЗИ и уровня реагирования.As an implementation option, it is recommended to use the specified changes in the complexity level of information security policies and the level of response.

401. К пользователям с подозрительным поведением в соответствии с предлагаемым способом относятся паттерны:401. Users with suspicious behavior in accordance with the proposed method include the following patterns:

- пользователи с аномальным всплеском внешней активности;- users with an abnormal surge of external activity;

- пользователи с аномально большой отправкой защищаемой информации;- users with abnormally large sending of protected information;

- пользователи с признаками инсайдерской деятельности;- users with signs of insider activity;

- пользователи с признаками увольнения.- users with signs of dismissal.

Ниже представлены критерии (комбинация логически связанных условий) попадания в эти паттерны. А также меры по адаптации политики СЗИ, включающие повышение уровня сложности политик СЗИ и уровня реагирования службы информационной безопасности.Below are the criteria (a combination of logically related conditions) for falling into these patterns. As well as measures to adapt the information security policy, including increasing the level of complexity of information security policies and the level of response of the information security service.

ПаттернPattern Набор условийCondition set Уровень сложности политикиPolicy complexity level Уровень реагированияResponse level Пользователи с аномальным всплеском внешней активностиUsers with an abnormal surge in external activity Наличие за последние 30 дней аномалии «Всплеск внешней активности»Presence of an anomaly “Surge in external activity” over the past 30 days Antivirus: -
Antispam: +1
Firewall: -
DLP: +1
IAM/IDM: -
Итого: +2Antivirus: -
Antispam: +1
Firewall: -
DLP: +1
IAM/IDM: -
Total: +2 Antivirus: -
Antispam: +1
Firewall: +1
DLP: +1
IAM/IDM: -
Итого: +3Antivirus: -
Antispam: +1
Firewall: +1
DLP: +1
IAM/IDM: -
Total: +3 Пользователи с аномально большой отправкой защищаемой информацииUsers with abnormally large uploads of protected information Наличие за последние 30 дней аномалии «Всплеск отправки информационных объектов»Presence of the anomaly “Spike in sending information objects” over the last 30 days Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: -
Итого: +1Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: -
Total: +1 Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: -
Итого: +1Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: -
Total: +1 Пользователи с признаками инсайдерской деятельностиUsers with signs of insider activity Нормальный «деловой диапазон» > 2.5
И
Наличие непустой приватной эго-сети
И
Нормальная «внешняя активность» > 0.0
И
(
Нормальный «Получение инф. объектов» > 0.0
ИЛИ
Нормальный «Отправка инф. объектов» > 0.0
)Normal "business range"> 2.5
AND
Presence of a non-empty private ego network
AND
Normal "external activity"> 0.0
AND
(
Normal "Getting information"objects"> 0.0
OR
Normal “Sending info. objects"> 0.0
) Antivirus: -
Antispam: -
Firewall: +1
DLP: +1
IAM/IDM: +1
Итого: +3Antivirus: -
Antispam: -
Firewall: +1
DLP: +1
IAM/IDM: +1
Total: +3 Antivirus: -
Antispam: -
Firewall: +1
DLP: +1
IAM/IDM: +1
Итого: +3Antivirus: -
Antispam: -
Firewall: +1
DLP: +1
IAM/IDM: +1
Total: +3

Для паттерна пользователей с признаками увольнения используется четыре варианта модели увольняющегося.For the pattern of users with signs of leaving, four variants of the quitter model are used.

Модель увольняющегосяResigning model Набор условийCondition set Уровень сложности политикиPolicy complexity level Уровень реагированияResponse level Сотрудник, ведущий исключительно внутреннюю деятельность. Увольнение запланировано.An employee who conducts exclusively internal activities. The dismissal is planned. Нормальная «внешняя активность» = 0.0
И
Нормальная «Внутренняя активность» > 1.0
И
Постепенный спад нормальной «внутренней активности» > 0.5
И
Сужение рабочего графика > 30% за месяц.
И
Аномалия «Появление внешней активности» за 30 дней
И
(
Аномалия «Непредвиденные внешние неизвестные – иногда» за 30 дней
ИЛИ
Аномалия
«Непредвиденный информационный объект»
)Normal "external activity" = 0.0
AND
Normal "Internal Activity"> 1.0
AND
Gradual decline in normal “internal activity” > 0.5
AND
Narrowing of the work schedule > 30% per month.
AND
Anomaly “Occurrence of external activity” for 30 days
AND
(
Anomaly “Unexpected external unknowns - sometimes” for 30 days
OR
Anomaly
"Unexpected information object"
) Antivirus: -
Antispam: -
Firewall: -
DLP: -
IAM/IDM: +1
Итого: +2Antivirus: -
Antispam: -
Firewall: -
DLP: -
IAM/IDM: +1
Total: +2 Antivirus: +1
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Итого: +3Antivirus: +1
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Total: +3 Аналогично. Но увольнение не запланировано.Likewise. But no layoffs are planned. Нормальная «внешняя активность» = 0.0
И
Нормальная «Внутренняя активность» > 1.0
И
Фактическая «внешняя активность» и «внутренняя активность» неустойчивы за 30 дней
И
Аномалия «Появление внешней активности» за 30 дней
И
(
Аномалия «Непредвиденные внешние неизвестные – иногда» за 30 дней
ИЛИ
Аномалия
«Непредвиденный информационный объект»
)Normal "external activity" = 0.0
AND
Normal "Internal Activity"> 1.0
AND
Actual "external activity" and "internal activity" are unstable over 30 days
AND
Anomaly “Occurrence of external activity” for 30 days
AND
(
Anomaly “Unexpected external unknowns - sometimes” for 30 days
OR
Anomaly
"Unexpected information object"
) Antivirus: -
Antispam: -
Firewall: -
DLP: -
IAM/IDM: +1
Итого: +1Antivirus: -
Antispam: -
Firewall: -
DLP: -
IAM/IDM: +1
Total: +1 Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Итого: +2Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Total: +2 Сотрудник, ведущий обычно и внешнюю, и внутреннюю деятельность. Увольнение запланировано.An employee who usually conducts both external and internal activities. The dismissal is planned. Нормальная «внешняя активность» > 1.0
И
Постепенный спад нормальной «внешней активности» > 0.5
И
Постепенный спад нормальной «внутренней активности» > 0.5
И
(
Аномалия «исчезновение внешней активности» за 30 дней
ИЛИ
Аномалия «Непредвиденные внешние неизвестные – иногда» за 30 дней
ИЛИ
Аномалия
«Непредвиденный информационный объект»
)Normal "external activity"> 1.0
AND
Gradual decline in normal “external activity” > 0.5
AND
Gradual decline in normal “internal activity” > 0.5
AND
(
Anomaly “disappearance of external activity” for 30 days
OR
Anomaly “Unexpected external unknowns - sometimes” for 30 days
OR
Anomaly
"Unexpected information object"
) Antivirus: -
Antispam: -
Firewall: +1
DLP: +1
IAM/IDM: +1
Итого: +3Antivirus: -
Antispam: -
Firewall: +1
DLP: +1
IAM/IDM: +1
Total: +3 Antivirus: +1
Antispam: -
Firewall: +1
DLP: +1
IAM/IDM: +1
Итого: +4Antivirus: +1
Antispam: -
Firewall: +1
DLP: +1
IAM/IDM: +1
Total: +4 Аналогично. Но увольнение не запланировано.Likewise. But no layoffs are planned. Нормальная «внешняя активность» > 1.0
И
Нормальная «внутренняя активность» > 1.0
И
Фактическая «внешняя активность» и «внутренняя активность» неустойчивы за 30 дней
И
(
Аномалия «исчезновение внешней активности» за 30 дней
ИЛИ
Аномалия «Непредвиденные внешние неизвестные – иногда» за 30 дней
ИЛИ
Аномалия
«Непредвиденный информационный объект»
)Normal "external activity"> 1.0
AND
Normal "internal activity"> 1.0
AND
Actual "external activity" and "internal activity" are unstable over 30 days
AND
(
Anomaly “disappearance of external activity” for 30 days
OR
Anomaly “Unexpected external unknowns - sometimes” for 30 days
OR
Anomaly
"Unexpected information object"
) Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Итого: +3Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Total: +3 Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Итого: +3Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Total: +3

402. К пользователям с ненормированных рабочим графиком относятся сотрудники, работающие ночью, а также сотрудники, работающие в выходные дни. В первом случае, это могут быть работники с посменной занятостью, а во втором сотрудники, использующие время отдыха для работы. 402. Users with irregular working hours include employees who work at night, as well as employees who work on weekends. In the first case, these may be workers with shift work, and in the second, employees who use their rest time to work.

Ниже представлены критерии (комбинация логически связанных условий) попадания в эти паттерны. А также меры по адаптации политики СЗИ, включающие повышение уровня сложности политик СЗИ и уровня реагирования службы информационной безопасности.Below are the criteria (a combination of logically related conditions) for falling into these patterns. As well as measures to adapt the information security policy, including increasing the level of complexity of information security policies and the level of response of the information security service.

ПаттернPattern Набор условийCondition set Уровень сложности политикиPolicy complexity level Уровень реагированияResponse level Работа ночьюWork at night Рамки суточной активности пересекают ночное время с 22:00 до 6:00, с регулярностью один раз в неделю на протяжении как минимум трех недель.The daily activity frame crosses the night time from 22:00 to 6:00, with regularity once a week for at least three weeks. Antivirus: -
Antispam: -
Firewall: -
DLP: -
IAM/IDM: +1
Итого: +1Antivirus: -
Antispam: -
Firewall: -
DLP: -
IAM/IDM: +1
Total: +1 Antivirus: -
Antispam: -
Firewall: -
DLP: -
IAM/IDM: +1
Итого: +1Antivirus: -
Antispam: -
Firewall: -
DLP: -
IAM/IDM: +1
Total: +1 Работа в выходные дниWork on weekends Рамки суточной активности пересекают нерабочие дни сотрудника, с регулярностью один раз в неделю на протяжении как минимум трех недель.The daily activity frame crosses the employee’s non-working days, with regularity once a week for at least three weeks. Antivirus: -
Antispam: -
Firewall: -
DLP: -
IAM/IDM: +1
Итого: +1Antivirus: -
Antispam: -
Firewall: -
DLP: -
IAM/IDM: +1
Total: +1 Antivirus: -
Antispam: -
Firewall: -
DLP: -
IAM/IDM: +1
Итого: +1Antivirus: -
Antispam: -
Firewall: -
DLP: -
IAM/IDM: +1
Total: +1

403. К пользователям, подверженным фишингу и компрометации учетных данных относятся:403. Users susceptible to phishing and credential compromise include:

- сверхпопулярные пользователи, имеющиезначительно больше входящих коммуникаций чем все остальные пользователи;- super popular users who have significantly more incoming communications than all other users;

- пользователи, имеющие большое число неизвестных (уникальных) входящих контактов;- users who have a large number of unknown (unique) incoming contacts;

- пользователи, имеющие непустые приватные эго-сети.- users who have non-empty private ego networks.

Ниже представлены критерии (комбинация логически связанных условий) попадания в эти паттерны. А также меры по адаптации системы правил СЗИ попадание в паттерн пользователя. Им соответствуют следующие правила СЗИ, при этом рассмотрен стандартный набор автоматизированных СЗИ в качестве варианта реализации:Below are the criteria (a combination of logically related conditions) for falling into these patterns. As well as measures to adapt the system of information security rules to fit into the user’s pattern. The following information security rules correspond to them, and a standard set of automated information security systems is considered as an implementation option:

ПаттернPattern Набор условийCondition set Уровень сложности политикиPolicy complexity level Уровень реагированияResponse level СверхпопулярныеSuper popular Нормальная «популярность» > 4.0Normal “popularity” > 4.0 Antivirus: -
Antispam: +1
Firewall: +1
DLP: -
IAM/IDM: +1
Итого: +3Antivirus: -
Antispam: +1
Firewall: +1
DLP: -
IAM/IDM: +1
Total: +3 Antivirus: -
Antispam: +1
Firewall: -
DLP: +1
IAM/IDM: +1
Итого: +3Antivirus: -
Antispam: +1
Firewall: -
DLP: +1
IAM/IDM: +1
Total: +3 С большим числом неизвестных (уникальных) входящих внешних контактовWith a large number of unknown (unique) incoming external contacts Число неизвестных контактов > 10Number of unknown contacts > 10 Antivirus: +1
Antispam: +1
Firewall: +1
DLP: -
IAM/IDM: -
Итого: +3Antivirus: +1
Antispam: +1
Firewall: +1
DLP: -
IAM/IDM: -
Total: +3 Antivirus: +1
Antispam: +1
Firewall: +1
DLP: -
IAM/IDM: -
Итого: +3Antivirus: +1
Antispam: +1
Firewall: +1
DLP: -
IAM/IDM: -
Total: +3 С приватными эго-сетямиWith private ego networks Число контактов в приватной эго-сети > 0Number of contacts in private ego network > 0 Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: -
Итого: +1Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: -
Total: +1 Antivirus: +1
Antispam: -
Firewall: +1
DLP: +1
IAM/IDM: -
Итого: +3Antivirus: +1
Antispam: -
Firewall: +1
DLP: +1
IAM/IDM: -
Total: +3

404. Определение роботизированных пользователей и бесхозных рабочих учетных записей, т.н. «мертвых душ».404. Identification of robotic users and orphaned work accounts, so-called. "dead souls"

Ниже представлены критерии (комбинация логически связанных условий) попадания в эти паттерны. А также меры по адаптации политики СЗИ, включающие повышение уровня сложности политик СЗИ и уровня реагирования службы информационной безопасности.Below are the criteria (a combination of logically related conditions) for falling into these patterns. As well as measures to adapt the information security policy, including increasing the level of complexity of information security policies and the level of response of the information security service.

ПаттернPattern Набор условийCondition set Уровень сложности политикиPolicy complexity level Уровень реагированияResponse level Роботы, технические рассылки и автоматыRobots, technical newsletters and machines Наличие за последние 30 дней аномалии «Всплеск внешней активности»Presence of an anomaly “Surge in external activity” over the past 30 days Antivirus: -
Antispam: +1
Firewall: -
DLP: +1
IAM/IDM: -
Итого: +2Antivirus: -
Antispam: +1
Firewall: -
DLP: +1
IAM/IDM: -
Total: +2 Antivirus: -
Antispam: +1
Firewall: +1
DLP: +1
IAM/IDM: -
Итого: +3Antivirus: -
Antispam: +1
Firewall: +1
DLP: +1
IAM/IDM: -
Total: +3 Бесхозные рабочие учетные записи, т.н. «мертвые души»Orphan work accounts, so-called. "dead Souls" Максимальное значение фактической «Внутренней активности» за 60 дней > 0.0
И
Максимальное значение фактической «Внешней активности» за 60 дней > 0.0Maximum value of actual “Internal activity” for 60 days > 0.0
AND
Maximum value of actual “External Activity” for 60 days > 0.0 Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Итого: +2Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Total: +2 Antivirus: -
Antispam: -
Firewall: -
DLP: -
IAM/IDM: -
Итого: -Antivirus: -
Antispam: -
Firewall: -
DLP: -
IAM/IDM: -
Total: -

405. Определение пользователей, наиболее прочих накапливающих или распространяющих защищаемую информацию.405. Identification of users who most often accumulate or distribute protected information.

Ниже представлены критерии (комбинация логически связанных условий) попадания в эти паттерны. А также меры по адаптации политики СЗИ, включающие повышение уровня сложности политик СЗИ и уровня реагирования службы информационной безопасности.Below are the criteria (a combination of logically related conditions) for falling into these patterns. As well as measures to adapt the information security policy, including increasing the level of complexity of information security policies and the level of response of the information security service.

ПаттернPattern Набор условийCondition set Уровень сложности политикиPolicy complexity level Уровень реагированияResponse level Рабочие станции и пользователи наиболее прочих накапливающих защищаемую информациюWorkstations and users most often accumulate protected information Нормальный показатель «Отправка информационных активов» > 4.0
И
(
Нормальная «внешняя активность» > 0.0
ИЛИ
Нормальная «внутренняя активность» > 0.0
)Normal Information Asset Sending > 4.0
AND
(
Normal "external activity"> 0.0
OR
Normal "internal activity"> 0.0
) Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Итого: +2Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Total: +2 Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Итого: +2Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Total: +2 Рабочие станции и пользователи наиболее прочих наиболее прочих распространяющих защищаемую информациюWorkstations and users of the most other most other disseminating protected information Нормальный показатель «Отправка информационных активов» > 4.0
И
(
Нормальная «Популярность» > 0.0Normal Information Asset Sending > 4.0
AND
(
Normal “Popularity” > 0.0 Antivirus: +1
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Итого: +3Antivirus: +1
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Total: +3 Antivirus: +1
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Итого: +3Antivirus: +1
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Total: +3

406.Определение пользователей с высокой вовлеченностью в бизнес-процессы.406.Identification of users with high involvement in business processes.

Ниже представлены критерии (комбинация логически связанных условий) попадания в эти паттерны. А также меры по адаптации политики СЗИ, включающие повышение уровня сложности политик СЗИ и уровня реагирования службы информационной безопасности.Below are the criteria (a combination of logically related conditions) for falling into these patterns. As well as measures to adapt the information security policy, including increasing the level of complexity of information security policies and the level of response of the information security service.

ПаттернPattern Набор условийCondition set Уровень сложности политикиPolicy complexity level Уровень реагированияResponse level Рабочие станции и пользователи с высокой вовлеченностью в бизнес-процессыWorkstations and users with high involvement in business processes Нормальный показатель «Отправка информационных активов» > 4.0
И
(
Нормальная «Популярность» > 0.0
)Normal Information Asset Sending > 4.0
AND
(
Normal “Popularity” > 0.0
) Antivirus: +1
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Итого: +3Antivirus: +1
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Total: +3 Antivirus: +1
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Итого: +3Antivirus: +1
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Total: +3

407. Определение пользователей с преобладанием внешней активности.407. Identification of users with a predominance of external activity.

Ниже представлены критерии (комбинация логически связанных условий) попадания в эти паттерны. А также меры по адаптации политики СЗИ, включающие повышение уровня сложности политик СЗИ и уровня реагирования службы информационной безопасности.Below are the criteria (a combination of logically related conditions) for falling into these patterns. As well as measures to adapt the information security policy, including increasing the level of complexity of information security policies and the level of response of the information security service.

ПаттернPattern Набор условийCondition set Уровень сложности политикиPolicy complexity level Уровень реагированияResponse level Пользователи с преобладанием внешней активностиUsers with a predominance of external activity Нормальная «Внутренняя активность» < 0.8*Нормальная «Внешняя активность»
И
(
Нормальная «Внешняя активность» >2.5Normal “Internal activity” < 0.8*Normal “External activity”
AND
(
Normal “External Activity” >2.5 Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Итого: +2Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Total: +2 Antivirus: -
Antispam: -
Firewall: -
DLP: -
IAM/IDM: -
Итого: -Antivirus: -
Antispam: -
Firewall: -
DLP: -
IAM/IDM: -
Total: -

408. Определение пользователей – новых сотрудников.408. Definition of users - new employees.

Ниже представлены критерии (комбинация логически связанных условий) попадания в эти паттерны. А также меры по адаптации политики СЗИ, включающие повышение уровня сложности политик СЗИ и уровня реагирования службы информационной безопасности.Below are the criteria (a combination of logically related conditions) for falling into these patterns. As well as measures to adapt the information security policy, including increasing the level of complexity of information security policies and the level of response of the information security service.

ПаттернPattern Набор условийCondition set Уровень сложности политикиPolicy complexity level Уровень реагированияResponse level Новые сотрудникиNew employees Нормальная «Внутренняя активность» до момента 1.5 месяца назад отсутствует
И
Нормальная «Внешняя активность» до момента 1.5 месяца назад отсутствует
И
Нормальная «Популярность» до момента 1.5 месяца назад отсутствует
И
(Текущая нормальная «Внутренняя активность» > 0.0
ИЛИ
Текущая нормальная «Внешняя активность» > 0.0There was no normal “Internal activity” until 1.5 months ago
AND
There is no normal “External activity” until 1.5 months ago
AND
There is no normal “Popularity” until 1.5 months ago
AND
(Current normal "Internal Activity"> 0.0
OR
Current normal "External Activity"> 0.0 Antivirus: -
Antispam: -
Firewall: -
DLP: -
IAM/IDM: -
Итого: -Antivirus: -
Antispam: -
Firewall: -
DLP: -
IAM/IDM: -
Total: - Antivirus: +1
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Итого: +2Antivirus: +1
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: +1
Total: +2

409. Определение пользователей с характерным использованием мессенджеров или почты.409. Identification of users with typical use of instant messengers or mail.

Ниже представлены критерии (комбинация логически связанных условий) попадания в эти паттерны. А также меры по адаптации политики СЗИ, включающие повышение уровня сложности политик СЗИ и уровня реагирования службы информационной безопасности.Below are the criteria (a combination of logically related conditions) for falling into these patterns. As well as measures to adapt the information security policy, including increasing the level of complexity of information security policies and the level of response of the information security service.

ПаттернPattern Набор условийCondition set Уровень сложности политикиPolicy complexity level Необходимый уровень реагированияRequired level of response Преобладание почты в коммуникацияхThe predominance of mail in communications (Нормальная текущая «Внутренняя активность в почте» + Нормальная текущая «Внешняя активность в почте») >1.5*(Нормальная текущая «Внутренняя активность в мессенджерах» + Нормальная текущая «Внешняя активность в мессенджерах»)(Normal current “Internal activity in mail” + Normal current “External activity in mail”) >1.5*(Normal current “Internal activity in messengers” + Normal current “External activity in messengers”) Antivirus: -
Antispam: -
Firewall: -
DLP: -
IAM/IDM: -
Итого: -Antivirus: -
Antispam: -
Firewall: -
DLP: -
IAM/IDM: -
Total: - Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: -
Итого: -Antivirus: -
Antispam: -
Firewall: -
DLP: +1
IAM/IDM: -
Total: - Преобладание мессенджеров в коммуникацияхThe predominance of instant messengers in communications (Нормальная текущая «Внутренняя активность в мессенджерах» + Нормальная текущая «Внешняя активность в мессенджерах») > 1.5*(Нормальная текущая «Внутренняя активность в почте» + Нормальная текущая «Внешняя активность в почте»)(Normal current “Internal activity in messengers” + Normal current “External activity in messengers”) > 1.5*(Normal current “Internal activity in mail” + Normal current “External activity in mail”) Antivirus: +1
Antispam: -
Firewall: +1
DLP: +1
IAM/IDM: +1
Итого: +4Antivirus: +1
Antispam: -
Firewall: +1
DLP: +1
IAM/IDM: +1
Total: +4 Antivirus: +1
Antispam: -
Firewall: +1
DLP: +1
IAM/IDM: -
Итого: +3Antivirus: +1
Antispam: -
Firewall: +1
DLP: +1
IAM/IDM: -
Total: +3

5. Оценка сложности политики и уровня реагирования автоматизированных СЗИ для конкретного пользователя на основе характерных паттернов поведения5. Assessing the complexity of the policy and the level of response of automated information security systems for a specific user based on characteristic behavior patterns

Итак, на основе правил, изложенных выше, для каждого пользователя в реальном времени определяется набор характерных паттернов поведения. Далее для набора паттернов определяется суммарный уровень сложности политики СЗИ путем обычного суммирования по набору паттернов пользователя.  Затем определяется необходимый суммарный уровень реагирования службы ИБ путем обычного суммирования по набору паттернов пользователя.So, based on the rules outlined above, a set of characteristic behavior patterns is determined for each user in real time. Next, for a set of patterns, the total level of complexity of the information security policy is determined by the usual summation over a set of user patterns. Then the required total level of response of the information security service is determined by the usual summation over a set of user patterns.

 Затем эти две величины с помощью эмпирической (выборочной) функции распределения по всем пользователям приводятся к единой ранговой шкале, принимающей значения от 0 до 1, или от 0% до 100%,  см. фигуру 5. Таким образом рассчитываются уровень сложности политик и необходимый уровень реагирования.Then these two values, using an empirical (sample) distribution function for all users, are brought to a single ranking scale, taking values from 0 to 1, or from 0% to 100%, see Figure 5. In this way, the level of complexity of policies and the required level are calculated response.

6. Оптимизация аппаратных ресурсов доступных для СЗИ6. Optimization of hardware resources available for information security

На основе п. 1 для каждого пользователя определяются фактический индекс доступных ресурсов, а на основе п. 4, 5 необходимый уровень сложности политики. Разность уровня сложности политик СЗИ и индекса доступных ресурсов должна стремиться к нулю. Если уровень сложности политики значительно выше индекса доступных ресурсов, то это говорит о недостатке аппаратных мощностей для бесперебойной работы автоматизированных СЗИ. Если же, напротив, доступный ресурс значительно превышает необходимую сложность политики, то можно говорить о том, что аппаратные мощности используются вхолостую. И в том, и в другом случае приходится говорить о нерациональном использовании ресурсов аппаратного обеспечения. Based on point 1, the actual index of available resources is determined for each user, and based on points 4, 5, the required level of policy complexity is determined. The difference between the complexity level of information security policies and the index of available resources should tend to zero. If the level of policy complexity is significantly higher than the index of available resources, then this indicates a lack of hardware capacity for the uninterrupted operation of automated information security systems. If, on the contrary, the available resource significantly exceeds the required policy complexity, then we can say that the hardware capacity is being wasted. In both cases, we have to talk about irrational use of hardware resources.

Для всех пользователей рассчитывается величина невязки индекса доступных ресурсов и сложности политик как корень из суммы (по всем пользователям) квадратов разности индекса доступных ресурсов и уровня сложности политики по каждому пользователю. For all users, the value of the discrepancy between the index of available resources and the complexity of policies is calculated as the root of the sum (for all users) of the squares of the difference between the index of available resources and the level of policy complexity for each user.

В качестве управляющих мер рекомендуется перераспределять аппаратные ресурсы информационной инфраструктуры предприятия так, чтобы эта величина стремилась к нулю. As control measures, it is recommended to redistribute the hardware resources of the enterprise information infrastructure so that this value tends to zero.

7. Оптимизация трудозатрат для реализации мер по защите информации7. Optimization of labor costs for implementing information protection measures

Традиционное управление СЗИ на предприятии включает назначение каждому пользователю в каждой системе защиты информации уровня риска Каждому такому уровню риска можно поставить в соответствие уровень реагирования со стороны службы информационной безопасности. Это зависит от нахождения пользователя в группах особого контроля, особых прав доступа пользователя, специфики бизнес-процессов и прочее. Обычно выделяют от 3-х до 5-ти уровней. Стоит отметить, что данный способ актуален для любого числа таких уровней. Traditional management of information security in an enterprise includes assigning a risk level to each user in each information protection system. Each such risk level can be associated with a level of response from the information security service. This depends on the user’s location in special control groups, the user’s special access rights, the specifics of business processes, etc. Usually there are from 3 to 5 levels. It is worth noting that this method is relevant for any number of such levels.

Таким образом, для каждого пользователя можно провести оценку текущего уровня реагирования на предприятии. Для этого по всем СЗИ суммируются уровни реагирования и затем эта величина ранжируется по всем пользователями с помощью эмпирической функции распределения. Тем самым определяется фактический текущий уровень реагирования, принимающий значения от 0 до 1, или от 0% до 100%.In this way, for each user, the current level of response in the enterprise can be assessed. To do this, response levels are summed up for all information security systems and then this value is ranked among all users using an empirical distribution function. This determines the actual current level of response, taking values from 0 to 1, or from 0% to 100%.

На основе п. 4, 5 для каждого пользователя и его паттернов поведения определяются необходимый уровень реагирования. Разность текущего уровня реагирования и необходимого уровня реагирования должна стремиться к нулю. Если необходимый уровень реагирования значительно выше текущего уровня реагирования, то это говорит о недостаточности предпринимаемых мер со стороны информационной безопасности. Если же, напротив, текущий уровень реагирования значительно превышает необходимый, то можно говорить о чрезмерных трудозатратах службы информационной безопасности. И в том, и в другом случае приходится говорить о нерациональном использовании ресурсов трудозатрат службы информационной безопасности.Based on points 4 and 5, the required level of response is determined for each user and his behavior patterns. The difference between the current level of response and the required level of response should tend to zero. If the required level of response is significantly higher than the current level of response, this indicates that the information security measures taken are insufficient. If, on the contrary, the current level of response significantly exceeds the required level, then we can talk about excessive labor costs of the information security service. In both cases, we have to talk about the irrational use of labor resources of the information security service.

Для всех пользователей вычисляется невязка текущих мер реагирования и необходимых мер реагирования, как корень из суммы (по всем пользователям)  квадратов разностей текущего уровня реагирования и необходимого уровня реагирования по каждому пользователю. For all users, the discrepancy between the current response measures and the required response measures is calculated as the root of the sum (for all users) of the squared differences between the current response level and the required response level for each user.

В качестве управляющих мер рекомендуется изменять режим работы СЗИ, повышая скорость обработки инцидентов для пользователей с большим необходимым уровнем и снижая его для пользователей с меньшим необходимым уровнем реагирования. Критерием успешности принимаемых управляющих мер является снижение рассмотренной в этом пункте невязки.As control measures, it is recommended to change the operating mode of the information security system, increasing the speed of incident processing for users with a higher required level and reducing it for users with a lower required level of response. The criterion for the success of the control measures taken is the reduction of the discrepancy discussed in this paragraph.

Claims (2)

1. Способ отслеживания действий пользователя для изменения аппаратных и программных средств защиты информации на основе паттернов поведения пользователей, включающий в себя следующие действия: проводят ранговую оценку доступных для средств защиты информации аппаратных ресурсов рабочих станций пользователей; на каждой рабочей станции и отдельных сетевых узлах замеряют показатели рабочей нагрузки, определяют показатели достаточной рабочей нагрузки и величину свободных аппаратных ресурсов; при этом для каждого показателя производят оценку по ранговой шкале путем сопоставления их значений, измеренных для всех пользователей с помощью эмпирической функции распределения; проводят мониторинг поведения пользователей и аномалий поведения в реальном времени; выявляют в коммуникациях пользователя особые контакты, требующие внимания службы информационной безопасности; для этого определяют коммуникантов с заданными заранее значениями свойств коммуникаций; для этого используют расчет ранжированных статистик сообщений, пересылаемых между пользователем и другими участниками коммуникаций; при этом производят измерение показателей поведения пользователя и профиля его контактов, для этого измеряют фактически наблюдаемые коммуникации между пользователем и всеми участниками коммуникаций с учетом направления сообщений, числа получателей, интенсивности и частоты коммуникаций; измеренные значения упорядочивают по ранговой шкале путем сопоставления значений, измеренных для всех пользователей; в зависимости от измеренных по ранговой шкале текущих и собранных значений показателей поведения и состава профиля контактов, пользователя относят к тому или иному набору паттернов поведения; затем для паттернов поведения, характерных для пользователя, устанавливают уровень сложности системы правил политик средств защиты информации на предприятии по ранговой шкале путем сопоставления значений уровня, измеренных для всех пользователей; далее для каждого пользователя сравнивают уровень доступных аппаратных ресурсов и необходимый уровень сложности системы правил политик средств защиты информации, и затем перераспределяют аппаратные ресурсы таким образом, чтобы минимизировать разницу этих уровней.1. A method for tracking user actions to change hardware and software information security tools based on user behavior patterns, which includes the following actions: conduct a ranking assessment of the hardware resources of user workstations available for information security tools; at each workstation and individual network nodes, workload indicators are measured, indicators of sufficient workload and the amount of free hardware resources are determined; in this case, for each indicator an assessment is made on a ranking scale by comparing their values measured for all users using an empirical distribution function; monitor user behavior and behavior anomalies in real time; identify special contacts in user communications that require the attention of the information security service; For this purpose, communicators with predetermined values of communication properties are determined; For this purpose, they use the calculation of ranked statistics of messages sent between the user and other participants in communications; at the same time, indicators of the user’s behavior and the profile of his contacts are measured; for this purpose, actually observed communications between the user and all participants in communications are measured, taking into account the direction of messages, the number of recipients, the intensity and frequency of communications; the measured values are ordered on a rank scale by comparing the measured values for all users; depending on the current and collected values of behavior indicators measured on a rank scale and the composition of the contact profile, the user is assigned to one or another set of behavior patterns; then, for behavioral patterns characteristic of the user, the level of complexity of the system of rules of information security policies in the enterprise is established on a ranking scale by comparing the level values measured for all users; Then, for each user, the level of available hardware resources and the required level of complexity of the system of information security policy rules are compared, and then the hardware resources are redistributed in such a way as to minimize the difference between these levels. 2. Способ по п.1, в котором детектирование паттернов поведения включает в себя следующие действия: определяют критерии детектирования наиболее уязвимых с точки зрения безопасности паттернов поведения пользователей, состоящие из комбинаций логически связанных условий наличия аномалий поведения и наперед заданных значений показателей поведения; назначают для каждого паттерна изменение уровня сложности системы условий и правил обработки потока инцидентов для политик средств защиты информации с помощью системы условий обработки потока инцидентов; назначают для каждого паттерна изменение уровня реагирования автоматизированных средств защиты информации.2. The method according to claim 1, in which detection of behavioral patterns includes the following actions: determining criteria for detecting the most vulnerable user behavior patterns from a security point of view, consisting of combinations of logically related conditions for the presence of behavioral anomalies and predetermined values of behavior indicators; assign for each pattern a change in the complexity level of the system of conditions and rules for processing the flow of incidents for policies of information security tools using the system of conditions for processing the flow of incidents; assign for each pattern a change in the level of response of automated information security tools.
RU2022117679A 2022-06-29 Method for optimizing information security policies based on user behaviour patterns RU2811731C2 (en)

Publications (2)

Publication Number Publication Date
RU2022117679A RU2022117679A (en) 2023-12-29
RU2811731C2 true RU2811731C2 (en) 2024-01-16

Family

ID=

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130305357A1 (en) * 2010-11-18 2013-11-14 The Boeing Company Context Aware Network Security Monitoring for Threat Detection
RU2534935C2 (en) * 2012-12-25 2014-12-10 Закрытое акционерное общество "Лаборатория Касперского" System and method of adaptive control and monitoring of user actions based on user behaviour
US9275065B1 (en) * 2010-12-14 2016-03-01 Symantec Corporation Behavioral engine for identifying anomalous data access patterns
WO2021171128A1 (en) * 2020-02-28 2021-09-02 Kioxia Corporation Systems and methods for protecting ssds against threats
US11120132B1 (en) * 2015-11-09 2021-09-14 8X8, Inc. Restricted replication for protection of replicated databases

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130305357A1 (en) * 2010-11-18 2013-11-14 The Boeing Company Context Aware Network Security Monitoring for Threat Detection
US9275065B1 (en) * 2010-12-14 2016-03-01 Symantec Corporation Behavioral engine for identifying anomalous data access patterns
RU2534935C2 (en) * 2012-12-25 2014-12-10 Закрытое акционерное общество "Лаборатория Касперского" System and method of adaptive control and monitoring of user actions based on user behaviour
US11120132B1 (en) * 2015-11-09 2021-09-14 8X8, Inc. Restricted replication for protection of replicated databases
WO2021171128A1 (en) * 2020-02-28 2021-09-02 Kioxia Corporation Systems and methods for protecting ssds against threats

Similar Documents

Publication Publication Date Title
US10417613B1 (en) Systems and methods of patternizing logged user-initiated events for scheduling functions
US9529621B2 (en) System and method for real-time analysis of network traffic
US8488772B2 (en) Grouping of contact center agents
RU2510982C2 (en) User evaluation system and method for message filtering
US10142391B1 (en) Systems and methods of diagnosing down-layer performance problems via multi-stream performance patternization
US20080263556A1 (en) Real-time system exception monitoring tool
US11556445B2 (en) Mechanism for monitoring and alerts of computer systems applications
EP0999489A2 (en) Method and system for evaluating information security
US20090164289A1 (en) Call center schedule compliance management
WO2020252902A1 (en) Cloud server self-detection method, apparatus and device, and computer-readable storage medium
CN104378364B (en) A kind of Cooperative Analysis method at information security management center
Shah et al. A methodology for ensuring fair allocation of CSOC effort for alert investigation
US8447848B2 (en) Preparing execution of systems management tasks of endpoints
CN118540275B (en) A computer system and method for optimizing service
RU2811731C2 (en) Method for optimizing information security policies based on user behaviour patterns
US20110055168A1 (en) System, method, and computer-readable medium to facilitate application of arrival rate qualifications to missed throughput server level goals
US12430597B2 (en) Optimizing resource allocation for an organization
Shah et al. Adaptive alert management for balancing optimal performance among distributed CSOCs using reinforcement learning
CN119276572A (en) An Internet security supervision method and system based on SD-WAN
CN112381517A (en) Labor employment supervision comprehensive service platform
Bavadiya EFFICIENT CLOUD RESOURCE MANAGEMENT THROUGH AUTOMATED INFRASTRUCTURE SCALING ON AWS
CN120658823B (en) A 400 call operation control method and system based on task assignment
RU2022117679A (en) A method for optimizing information security policies based on user behavior patterns
CN120561973B (en) Department data resource scheduling management method and system
US12375395B2 (en) Predictive monitor for region-switching events between inter-connected computer systems