Embed Size (px)
Citation preview
Insiders: Aspects
of Their Activity
within a Company
© ХАРЬКОВСКИЙ ИНСТИТУТ ГВУЗ УБД, Харьков, Украина
зав. кафедры ИТ, д.э.н., к.т.н., Ph.D. Кавун С.В.Email: [email protected] Skype: serg_kavun
АНКЕТИРОВАНИЕ
РЕГЛАМЕНТ1. Что вообще в мире
происходит…2. Кто такие инсайдеры?
Классификация.
3. Что нам от них?
4. Немного статистики…5. Механизмы детектирования
и предотвращения.
6. Пищевая цепочка…7. И что же ученые могут?
Кто же автор?
empty родные за рубежом (англ.)
статьи 7 2
монографии 6 2
выступления на
конференциях2 4
A bit(g)? data
0
5
10
15
20
25
30
35
2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020
0,1 0,3 0,40,9 1,2 1,4
2,4
4,25,1
6,8
9,9
13,5
17,2
24,5
35
Worldwide digital data created and replicated,
Zettabytes = 270 1021 bytes (sourse: IDC)
In business 40%
Тенденция спроса (интереса)
тенденция роста с 2013 г.
- более 300%
корреляция
(англ.)&(рус)=0,92
Тенденция спроса (интереса)
Paul Kane, chief executive officer of CommunityDN in England
Dan Kaminsky, chief scientist at Recursion Ventures in New York
City
Jiankang Yao of China
Moussa Guebre of Burkina FasoBevil Wooding from Trinidad and Tobago
Ondrej Sury of the Czech Republic
Norm Ritchie of Canada
Overload of the
INTERNET
A bit(g)? data
Кто такие инсайдеры?лицо, благодаря своему служебному положению или родственным связям имеет доступ к конфиденциальной информации о деятельности банка, недоступна широкой общественности, и может использовать ее в собственных целях с целью обогащения, получения неконкурентных преимуществ, привилегий и т.п.
служащие компании, директора и акционеры, владеющие более 10 % акционерного капитала компании
лицо, имеющее в силу своего служебного или семейного положения доступ к конфиденциальной информации в организации
лица с существенной и публично нераскрытой служебной информацией компании, которая в случае ее раскрытия способна негативно повлиять на ее развитие
КЛАССИФИКАЦИЯумышленно совершающие противоправные действия
неумышленно совершающие противоправные действия
сочувствующие совершаемым противоправным действиям
имеющий необоснованные привилегии к ресурсам
желающие получить легальный доступ к ресурсам
желающие получить НЕ легальный доступ к ресурсам
имеющие легальный доступ к ресурсам
Секунды Минуты Часы Дни Недели Месяцы Годы
Дискретизация
бренда10% 75% 12% 2% 0% 1,5% 1,5%
Утечки
информации8% 38% 14% 25% 7,5% 7,5% 0%
Детектирование
утечки0% 0% 2% 13% 29% 54% 2%
Обнаружение,
локализация и
ликвидация
0% 1% 9% 32% 38% 16,5% 3,5%
Действия за
МИНУТЫ !!
Локализация и
ликвидация за
НЕДЕЛИ и
МЕСЯЦЫ !!!
ЧТО НАМ ОТ ИНСАЙДЕРОВ ?
менеджеров готовы продать
коммерческую информацию конкурентам
персонала провоцирует
утечки ценной информации из-за халатности
менеджеров держат ценную информацию на собственных съемных устройствах
персонала копируют и крадут
собственные разработки компании
КАК ПРОИСХОДЯТ УТЕЧКИ ?
персонала уже забрали
уникальные разработки, которые были созданы в
команде
персонала скопировали
клиентские базы и контакты партнеров
уволенных сотрудников
забрали конфиденциальную информацию о своем
предприятии
КАК ПРОИСХОДЯТ УТЕЧКИ ?
еще немного статистикиперсонала не уверены в
выявлении утечки данных
внутренние инциденты с
инсайдерами за год
случаев, когда инсайдеры
скомпрометировали корпоративную сеть
крупнейших кредитно-
финансовых организаций мира используют мониторинг
действий инсайдеров
Механизмы детектированияАналитический: комплексный мониторинг data-at-rest (данные в местах хранения), data-in-motion(каналы передачи данных) и data-in-use (данные во время обработки)
Дезинформация: формирование ложных сведений и анализ результатов – «ловля на живца»
Эвристический: прогнозирование (на основе шаблонов, элементов искусственного интеллекта)
Математический: разрабатывается учеными –нами
Психологический: использование полиграфа или тест-системы (на основании действующих нормативных актов)
Механизмы детектирования
Task of insiders detection on the company
Ways or methods of decision
Technical
Technological
Psychological
Personnel
Others
Based
only on
some
conseque
nces after
insiders
activity
Our approach based on prevention&prediction(mathematical base)
Системы физического доступа (технические)
Тренинги сотрудников (организационные)
Математические, алгоритмические, моделирование, предсказание (научные)
Стимулирование сотрудников (финансовые)
Теория незаконного присвоения (США) !!
НИКАКИЕ …и это 63% случаев
Механизмы предотвращения
Пищевая цепочка
Бизнес-структуры
Продукты-сервисы
Разработчики
Алгоритмисты
Ученые (наука)
И чтоже мыможем?
Схемадействийинсайдеровв компании
И что же мы можем?
Декомпозиция 1-го уровня моделидействий инсайдеров
И что же мы можем?
Декомпозиция 2-го уровня моделидействий инсайдеров
И что же мы можем?
Декомпозиция 2-го уровня моделидействий инсайдеров
И что же мы можем?
Этапы фильтрации авторскогоMCRIM-метода
И что же мы можем?
Матрица динамического учетаMCRIM-метода
№
Month (day), 𝑑𝑟
Job categories, 𝑑𝑘𝑗
January February
…
December
∑𝑈𝑗 1 2 … 31 1 2 … 28 1 2 … 31
1 𝑑𝑘1 2 1 … 4 1 3 … 0 0 5 … 1 17
2 𝑑𝑘2 0 1 … 0 0 0 … 2 1 2 … 0 5
… ……. …. .. … .. .. .. … .. .. .. … .. ..
n 𝑑𝑘𝑛 0 0 … 0 0 0 … 0 1 1 … 0 2
Proof. Assume that inequalities m > n and m 2n are valid, or else KiCW 3 for the іth node on the graph G. Let
a and b be the nodes of the graph G, which are adjacent to the ith node on this graph. Consider the set V ={ i}, then NKi
S = f (Vib + Via + Vbi + Vai) is a function depending on time. Further, consider a node for whichnodes c and d are adjacent, while c, d V = { i}. Then the right side of that the dependence Va = g (Vac +Vad + Vca + Vda), is also a function depending on time. Since f g, then their dependence is not linear andnot direct and has several variations of the distribution.■
So, the problem of insider detecting on the enterprise can be represented as an integer programming
problem:(7)
where xij is the corresponding element of matrix Мc.
Based on the further mathematical interpretation of the use of a known mathematical method for solv ingthis task and, on base of these methods, an optimal solution can be found.
1 1
n m i iij
IRA ijS CWi j
N Nmin K KCW V x
For any further possible accounting, the coefficient iKCW must be normalized. Then one comes to the
expression
(4)Therefore, using formula (4) yields the following values (base on the data from the example in Table 2) NKCW =
{NKiCW} = {0,2; 0,2; 0,1; 0,15; 0,25; 0,05; 0,05}.
For the further use of the factor of importance of different indicators of physical nature, expression (1) will be transformed into the following form
CWijIRA = Vij NKi
S iKCW, (5)
where NKiS is the normalized importance factor of the information with restricted access, calculated by the
following expression
(6)
Thus, based on formulas (4) and (6), what can be considered is the possibility of using the dynamic coefficients obtained from the experts.
1
1
ii CW
nCWj
CWj
N KK
K
.N
1
1
1
1
1
n
i
n
j
ij
S
n
j
ij
Si
S
K
KK
Математическая модель
И что же мы можем?
И что же мы можем?
Картографический анализ результатовмоделированияMCRIM-метода
И что же мы можем?
Картографический 3D-анализ результатовмоделированияMCRIM-метода
И что же мы можем?
Картографический 3D-анализ результатовMCRIM-метода (повышение активности)
И что же мы можем?
Картографический 3D-анализ результатовMCRIM-метода (понижениеактивности)
И что же мы можем?
Индивидуальнаякарта (ID-карта),
состояние - норм
И что же мы можем?
Индивидуальнаякарта (ID-карта),
состояние – инсайдер активен
И что же мы можем?
Индивидуальнаякарта (ID-карта),
состояние – инсайдер активен
И что ? оно работает?
ДЕМОНСТРАЦИЯ………..
Что же дальше?
Типовая оргструктура предприятия
?
Что же дальше?
Предлагаются рекомендации…
Что жедальше
?
Предлагаютсяновые
алгоритмы…
А есть лианалоги вмире?
https://habrahabr.ru/company/edison/blog/280434/
Спасибо за ваше вниманиеБуду рад
будущему общению
д.э.н., к.т.н., Ph.D.
Кавун С.В.Email: [email protected]
Skype: serg_kavun
