Одной из основных функций системы защиты информации является идентификация любого субъекта доступа с целью возможности расследования инцидентов информационной безопасности (ИБ). В ходе выполнения процедур сканирования и эксплуатации уязвимостей квалифицированные злоумышленники регулярно производят смену идентифицирующих признаков. Подобные действия не только обфусцируют данные в подсистемах аудита, затрудняя возможность восстановления хронологии событий эксперту ИБ, но и ставят под сомнение неопровержимость доказательной базы причастности конкретного злоумышленника к конкретным противоправным действиям. В статье приводится анализ применения современных подходов идентификации злоумышленников в веб-ресурсах, не требующих проведения аутентификации для основной пользовательской аудитории (методы fingerprinting, анализ поведенческих признаков). Авторами рассмотрены признаки пользователя, которые могут быть использованы для решения задачи его последующей идентификации. С использованием широко применяемых в задачах веб-аналитики «тепловых карт», адаптированного профиля пользователя и компьютерной модели динамики системы «пользователь-мышь» авторами предлагается проводить идентификацию субъектов инцидента ИБ в общедоступных информационных ресурсах сети Интернет. Основная идея предполагаемого подхода заключается в том, что при построении тепловой карты должны учитываться не только плотность расположения данных, а также определяемые экспертом статистические параметры (дистанция градиента интенсивности, дистанция перекрытия и т.д.). Авторами предлагается учитывать и динамику действий пользователя (например, вычисление среднего времени ввода данных в интерактивные элементы). В статье содержится пошаговое описание каждого шага соответствующей методики, а также информация по ее практической реализации. Робастность данного подхода подтверждается практическим экспериментом. Предложенная методика не является универсальным средством идентификации злоумышленника – во внимание принимаются только ручные таргетированные атаки, не учитывается использование злоумышленниками cURL инструментов и т.д. Поэтому рекомендуется использовать его исключительно в дополнение к действующим системам защиты (WAF, IPS, IDS).
Обнаружение аномалий в перемещениях сотрудников является важной задачей, которая связана с обеспечением киберфизической безопасности предприятий, включая критические инфраструктуры. В работе представлен подход к анализу перемещений сотрудников критической инфраструктуры, отличающийся сочетанием алгоритмов интеллектуального анализа данных и интерактивных методик визуализации. Он включает в себя два этапа – определение групп сотрудников с похожим поведением и обнаружение аномалий. Группировка пользователей по их поведению осуществляется с помощью самоорганизующихся карт Кохонена; для отображения пространственно-временных шаблонов поведения используется разработанная авторами модель визуализации BandView. Для обнаружения аномалий в поведении сотрудников предлагается механизм оценки значений пространственно-временных атрибутов движения. Отображение отклонений осуществляется с помощью тепловой карты, позволяющей аналитику с легкостью определить зону и интервал времени с подозрительной активностью. Подход апробирован на наборе данных, предоставленном в рамках конкурса VASTMiniChallenge-2 2016, который описывает перемещения сотрудников внутри здания организации.
1 - 2 из 2 результатов