ШПИОН, ВЫЙДИ ВОН: ИНСАЙДЕРСКАЯ УГРОЗА

Проблема инсайдерской угрозы для Пентагона за последнее время приобрела, без преувеличения, стратегическое значение. Достаточно вспомнить скандальные истории с Wikileaks и принять во внимание уровень проникновения информационных технологий в повседневную деятельность ВС США, чтобы осознать масштаб этой угрозы с точки зрения национальной безопасности. К тому же, информационная безопасность оценивается (как и надежность любой сложной системы) по самому слабому и уязвимому элементу системы в целом. И таким элементом, безусловно, всегда был и будет оставаться человек со всеми своими внутренними противоречиями, разобраться в которых порой бывает гораздо сложнее, чем с самым изощренным программным кодом, по одной простой причине: код всегда подчиняется формализованной логике и не обладает эмоциями.

По странному стечению обстоятельств выходу в свет новой инструкции Пентагона DoDI 5240.26 Countering Espionage, International Terrorism, and the Counterintelligence (CI) Insider Threat, посвященной проблеме инсайдерской угрозы, предшествовала публикация рассекреченных архивных материалов АНБ, в которых статус системных администраторов приравнивается к статусу шифровальщиков. Хотя подобное сравнение у некоторых может вызвать вполне закономерные возражения, надо признать, оно дает серьезную пищу для размышлений о степени озабоченности Пентагона существующим положением дел в информационной безопасности. Иными словами, ущерб, который может нанести системный администратор или пользователь, обладающий такими правами, сопоставим с ущербом от раскрытия информации о шифре. Более того, по степени потенциального ущерба со стороны системного администратора, ставшего инсайдером (не важно, по какой причине: деньги, зависть, месть, ревность...) в таких информационных системах, например как GCCS, GCSS, GPS, WIN-T или других (список можно продолжить) в условиях ведения боевых действий последствия могут быть катастрофичными.

Интерес к инсайдерской проблеме резко повысился после целого ряда громких преступлений, совершенных военнослужащими США в ходе войны в Ираке и Афганистане. Анализ поведения таких людей накануне совершения преступлений показывает, что при должном и своевременном внимании к их контактам в социальных сетях со стороны командования трагедий можно было бы избежать. Но как предупредить или предотвратить действия инсайдера? Существуют ли методы обнаружения назревающей внутренней угрозы?

Например, можно воспользоваться данными об отставках в руководстве ВС США за последние несколько лет для поиска закономерности между служебными расследованиями и личными драмами, в которых, как водится, повинны женщины и вино, с одной стороны и видами ВС (Армия, ВМС, Морпех, ВВС) - с другой. Иными словами, будем полагать, что адюльтер и алкоголь - верные спутники начинающих инсайдеров, толкающие людей на авантюры, а конкретный вид ВС - среда, распологающая к приключениям.

Увы, результаты Хи-квадрат теста не дают нам оснований утверждать, что в громких отставках прослеживается связь между любовными интригами, пристрастием к алкоголю и конкретным видом ВС. Напротив, критерий \(\large{\chi{^2}}\) наглядно говорит об обратном, демонстрируя во всех видах ВС примерно равное соотношение между ловеласами и алкоголиками на руководящих постах. Кто из них мог бы стать потенциальным инсайдером или шпионом - тема для отдельного разговора. В любом случае дыма без огня не бывает.

Первое, что приходит в голову, - это формула Байеса: \[\large{P({A_j}|{B})=\frac{P{(A_j)}\cdot P(B|A_j)}{\sum_{i=1}^{N}{P{(A_i)}\cdot P(B|A_i)}}}\] За примерами далеко ходить не надо - воспользуемся официальной статистикой раскрытия дел о шпионаже ФБР. И в этом нет ничего удивительного, поскольку в упомянутой директиве речь идет об аномальном поведении инсайдеров в широком смысле, включая шпионов и террористов. Итак, рассмотрим дерево классификации дел о шпионаже по двум признакам: ведомство (вооруженные силы-вс, спецслужба-сс, прочие-пр) и статус агента-инсайдера (военнослужащий-всл, гражданский-гр).

Первый уровень дерева содержит один узел, обозначающий искомый класс объектов - инсайдеров (агентов), пойманных ФБР с поличным. Второй уровень содержит три узла, соответсвующих трем группам ведомств, в которых трудился в поте лица инсайдер, продавая информацию на сторону. При этом каждый узел второго уровня характеризуется вероятностью принадлежности инсайдера к той или иной группе ведомств. Например, вероятность принадлежности инсайдера к спецслужбам равна 17% или \(Рсс=0.17\). Третий уровень разделяет инсайдеров в каждой группе ведомств по служебному статусу (гражданский, военнослужащий) и характеризуется условной вероятностью принадлежности инсайдера к той или иной категории. Например, вероятность того, что инсайдер,трудившийся в вооруженных силах был гражданским служащим составляет 45% или \(P(гр/вс)=0.45\). Итак, мы имеем набор апостериорных вероятностей несовместных событий на каждом уровне классификации (инсайдер не может одновременно работать в нескольких ведомствах и принадлежать к разным группам по статусу).

Но нас интересует априорная вероятность события, в котором инсайдер принадлежит к той или иной группе ведомств, занимая тот или иной статус. Например, какова вероятность того, что инсайдер работает в вооруженных силах, при условии, что он является военнослужащим. Для этого вначале необходимо определить полную вероятность события, связанного с принадлежностью инсайдера к категории военнослужащих по всем ведомствам: \[Рвсл=Рвс\cdot Р(всл/вс)+Рсс\cdot Р(всл/сс)+Рпр\cdot Р(всл/пр)=0.55\cdot 0.55+0.17\cdot 0.27+0.28\cdot 0=0.35\] Итак, вероятность того, что инсайдер является военнослужащим в общей массе ведомств равна 35%.

А теперь обпределим условную вероятность события - инсайдер принадлежит вооруженным силам, при условии, что он является военнослужащим: \[Р(вс/всл)=\frac{Рвс\cdot Р(всл/вс)}{Рвсл}=\frac{0.55\cdot 0.55}{0.35}=0.86\] А вот это уже интересный результат: оказывается, с вероятностью 86% инсайдер в статусе военнослужащего работает в вооруженных силах. Есть о чем волноваться ребятам из Пентагона.

Если вспомнить сюжет романа Д.Карре “Шпион, выйди он”, то нетрудно понять, каким образом Джордж Смайли вычислил "крота" в цирке (МИ-6): он использовал формулу Байеса, сам не зная об этом. Ну, а что делать, если нужно проанализировать поведение не четырех, а сотен, тысяч человек? Если один из тысячи - потенциальный инсайдер, кто он? Как определить, что поведение этого человека аномально с точки зрения общей массы людей? Практика показывает, что за редким исключением накануне раскрытия информации инсайдер не стремится выделятся среди своих коллег, хорошо понимая, чем он рискует. И все же, имея в своем распоряжение статистический портрет стандартного поведения пользователя, вполне возможно находить существенные отклонения от нормы.

Управление ДАРПА инициировало заявки на две новые программы: SMITE (Suspected Malicious Insider Threat Elimination) - устранение подозрения на враждебную инсайдерскую угрозу и ADAMS (Anomaly Detection at Multiple Scales) - обнаружение аномалий в больших масштабах. Уже известны кандидаты на выполнение новых программ: SAIC, Mitre Corp., Carnegie Mellon’s Software Engineering Institute. Например, в Институте техники программирования (SEI) собрана база данных на 700 дел, связанных с утечкой информации через инсайдеров, с помощью которой удалось разбить всех инсайдеров на два больших класса: недовольных и амбициозных. Недовольные, как правило, готовятся к акции за месяц до своего ухода и в основном сосредотачиваются на узком направлении, в то время как амбициозные собирают информацию по всему проекту для продажи иностранному покупателю.

Однако далеко не все разделяют оптимизм ДАРПА. Среди оппонентов этих масштабных по анализу данных проектов есть и представители Армии США, которые сомневаются в осуществимости подобных подходов, полагая, что для круглосуточного мониторинга армейской бригады нужно держать как минимум роту сисадминов, которые будут проверять Email, загрузку файлов, запросы в поисковых системах и весь остальной трафик на предмет подозрительных действий, собирая таким образом компромат на братьев по оружию в виде базы данных. В высоконагруженных информационных системах накопление подобной информации будет только увеличивать нагрузку на ресурсы, не говоря уже о том, что для анализа собранных данных придется использовать суперкомпьютеры. Единственным выходом является взвешенное сочетание организационно-профилактических и оперативно-технических мер по предотвращению несанкционированной утечки информации.

История Олдрича Эймса - прямое тому подтверждение: если бы руководство ЦРУ проявило чуть больше внимания к своим сотрудникам, то смехотворная сумма в 50 тыс долл, в которой изначально нуждался потенциальный инсайдер, могла бы сэкономить миллионы долларов, потерянные в результате расскрытия информации об агентах. По иронии судьбы или для сохранения баланса (одно другое не исключает), кураторы О.Эймса наступили на те же грабли спустя 25 лет. Во истину, нет пророка в своем отечестве.

Но самым интересным, с точки зрения анализа поведения, является дело Р.Ф.Хансена - рекордсмена среди инсайдеров в спецслужбах США. И в этом нет ничего удивительного - 25 лет вести двойную жизнь, согласитесь, не каждому дано. Конечно, задним числом можно объяснить многие странности в поведении инсайдера, но, как говорится, дорога ложка к обеду. И тем не менее, на примере Р.Ф.Хансена удалось получить уникальный эталон для сравнительного анализа, используя сбалансированную шкалу оценок и регрессионный анализ. Нетрудно убедиться, что сравнение двух крайних противоположностей - одаренного от природы и склонного к авантюрам Р.Ф.Хансена и ничем не выделяющегося заурядного сотрудника - говорит о многом. Но, подход можно было найти и к нему, предложив Хансену интересную и высокооплачиваемую работу.

P.S. Интересно, узнаем ли мы полную правду об оставке директора ЦРУ Дэвида Петрэуса, личную переписку которого по Email с дамой сердца читали бдительные ребята из ФБР? А пока, как говорил один генералисимус - отец народов, будем завидовать товарищу Петрэусу!