Журнал "Системы Безопасности" № 4‘2021

К О М П Л Е К С Н А Я Б Е З О П А С Н О С Т Ь , П Е Р И М Е Т Р О В Ы Е С И С Т Е М Ы 103 аналитика эффективна в отношении автомати- зированных систем и их элементов. Даже если использовать расширенное понятие автомати- зированной системы (в том числе и системы безопасности), мы всегда получаем конечное количество элементов: l аппаратная часть; l программная часть; l СУБД; l каналы связи; l пользователи; l администраторы. Эти элементы укладываются в определенные сценарии поведения и имеют понятную исто- рию работы и инцидентов. Именно в наполне- нии модели данными пригодятся инструменты Data Mining, прежде всего статистика и методы оптимизации, поскольку, например, собрать данные о финансовом ущербе от простоя того или иного элемента – задача нетривиальная, которая потребует переработки и подключения большого количества источников данных внут- ри компании. На базе этого можно выстроить модель, пред- сказывающую выход из строя оборудования или отказ системы. В таком случае прогнозиро- вание позволит предсказать состояние системы при любых исходных параметрах, что, согласи- тесь, весьма неплохо. Риск и вероятность Мы уже обсудили, что при прогнозировании оценка конкретных значений может быть доста- точно сложной. Это связано, как отмечено выше, с количеством возможных вариантов и проблемой недостатка данных. Даже квалифи- цированный эксперт не всегда в состоянии достаточно надежно оценить соответствующие вероятности, когда число вариантов велико. Если мы не можем точно предсказать будущее, то, по крайней мере, сможем предположить хотя бы возможные сценарии этого будущего. Для этого используется подход рисковых сцена- риев (или просто сценариев), предусматриваю- щий исследование при измерении риска ограниченного числа вариантов. Основное предположение подхода сценариев состоит в том, что неопределенность развития будущего связана только с тем, какой сценарий наступит, а в процессе реализации сценарий не меняется. Такое условие приводит к резкому сокращению числа возможных исходов и, соот- ветственно, к уменьшению необходимой исход- ной информации. В этом и заключается основ- ное преимущество расчетов риска на основе сценариев будущего развития по сравнению с другими методами, например методом дерева событий. То есть применительно к безопасности действия потенциальных нарушителей – это и есть рис- ковые сценарии, которые не меняются в случае реализации. Остается только определить объ- екты воздействия и угрозы 3 , и можно отслежи- вать изменения текущей ситуации с целью предупреждения инцидентов. Если с проблемами классической безопасности (активы, угрозы, нарушители) можно справить- ся, используя ручку и бумагу (или, как вариант, таблицу в Excel), то отслеживание текущей ситуации, а особенно определение момента, когда сценарий выходит из равновесного состояния (когда нет предпосылок его реализа- ции), уже невозможно без интеллектуального анализа. Поиск последовательностей Поиск последовательностей – сочетание двух предыдущих пунктов, приложенных к субъектам системы. Именно этот раздел получил наибольшее развитие в анализе, види- мо, потому что разработчики обещали увеличе- ние продаж. С точки зрения безопасности выгода от анализа действий пользователей очевидна: тот, кто делает не как все, попадает под подозрение. Механизмы Data Mining в этом случае помогают объединить данные из систем видео- и аудио- наблюдения, рабочих систем, деловой пере- писки и телефонных переговоров, а машинное обучение – рассчитывать равновесное состоя- ние отклонения от нормы и сигнализировать, когда оно будет нарушено. Группировка Группировка (или корреляция) событий – это метод тщательного расследования, когда идет поиск взаимосвязи между событиями из разных сфер. Например, ваш главный бухгалтер ищет работу, а через месяц у вас налоговая проверка или большой убыток. Качество группировки напрямую зависит от исходных данных. В моей практике был при- мер, когда внутреннюю группу мошенников удалось обнаружить благодаря обычным почтовым сообщениям, так как им требова- лась периодическая связь между собой по внутренним коммуникациям. Все внутренние системы безопасности и анализа были направлены на финансовые и производ- ственные системы, внимание на обычную почту никто не обращал. Добавив дополни- тельный источник данных, их группу быстро изобличили. "Я уже хочу купить" Если результаты интеллектуального анализа вам нужны и вы уже хотите их купить, то вас ждет сложный путь. Методы интеллектуального ана- лиза – это вершина пирамиды, которая рухнет без нижестоящих ярусов. В первую очередь ваша компания должна быть достаточно зрелой в плане ИТ-инфраструктуры и систем. Очень сложно реализовать машинное обучение на бумажных данных. Во-вторых, необходимо заручиться содействи- ем владельцев источников данных. Все уже более или менее свыклись, что вокруг "бегают" безопасники и навязывают им какие-то меры. Но подавляющее большинство не готово дать вам доступ к исходным данным, а именно они являются главным источником для анализа. В-третьих, необходимо точно понимать, какого результата нужно достичь. На рынке нет коро- бочных решений, и каждая инсталляция – это совместный труд заказчика и исполнителя. Не проще, но эффективнее Методы интеллектуального анализа действи- тельно могут качественно изменить работу служб безопасности. Работа не станет проще, но станет эффективнее. Для этого необходимо четко определить нужный результат и трезво оценить имеющиеся ресурсы. Тогда у вас все получится. n www.secuteck.ru август – сентябрь 2021 Ваше мнение и вопросы по статье направляйте на ss @groteck.ru www.elmens.com С точки зрения безопасности выгода от анализа действий пользователей очевидна: тот, кто делает не как все, попадает под подозрение. Механизмы Data Mining в этом случае помогают объединить данные из систем видео- и аудионаблюдения, рабочих систем, деловой переписки и телефонных переговоров, а машинное обучение – рассчитывать равновесное состояние отклонения от нормы и сигнализировать, когда оно будет нарушено 3 Дудко Д. Как прервать цепочку событий от угрозы до происшествия и обеспечить безопасность 24/7 // Системы безопасности. 2021. № 2. С. 108–109.