Überwachung von Insider-Bedrohungen in Support-Teams
Ein tiefer Einblick in das Tracking von Insider-Risiken in den Workflows von Support-Agenten.
Birkett Huber, Casper Neo, Keiran Sampson, Alex Kantchelian, Brett Ksobiech, Yanis Pavlidis
― 7 min Lesedauer
Inhaltsverzeichnis
Die Welt der Supportmitarbeiter kann ein bisschen wie ein Spiel von Whac-A-Mole sein, wo jedes Ticket ein Maulwurf ist, der auftaucht, und die Agenten müssen sie mit der richtigen Handlung treffen, bevor sie aus dem Ruder laufen. Aber was ist, wenn einer dieser Maulwürfe beschliesst, auf die schiefe Bahn zu geraten? Da fängt unsere Geschichte an.
Supportmitarbeiter sind da, um dir bei deinen Problemen zu helfen, aber sie haben auch Zugang zu sensiblen Daten. Dieser Zugang kann zu Problemen führen, wenn er nicht richtig überwacht wird. Stell dir einen Supportmitarbeiter vor, der sich deine Bankdaten anschaut, weil er einen langsamen Tag hat. Uff! Das ist eine ernsthafte Insider-Bedrohung, und es ist wichtig, dass wir einen Weg finden, um die Dinge im Auge zu behalten.
Der Bedarf an Detektivarbeit
Unsere Mission ist es, denjenigen zu helfen, die diese Welt der Supportmitarbeiter prüfen. Prüfer müssen Handlungen erkennen, die nicht so recht zu den üblichen Aktivitäten passen. Du siehst, Agenten haben Verhaltensmuster, ähnlich wie dein Freund, der jeden Freitag die gleiche Pizza bestellt. Aber manchmal kann das Verhalten eines Agenten ein rotes Alarmzeichen auslösen-wie zum Beispiel, wenn er Ananas als Belag wählt (nur ein Scherz, kein Urteil hier!).
Um dieses Problem anzugehen, analysieren wir Protokolle von den Tools, die Supportmitarbeiter nutzen. Wir erstellen eine grosse Karte (denk an eine Schatzkarte, aber anstatt dass ein X den Punkt markiert, haben wir Handlungen und Entitäten), die zeigt, was Agenten tun und einige Hintergrundinfos. Von dieser Karte ziehen wir kleinere Karten ab, die die Handlungen hervorheben, die möglicherweise fragwürdig sein könnten.
Wie erkennen wir das Problem?
Wenn wir eine verdächtige Handlung sehen, wollen wir den gesamten Kontext darum herum sammeln. Es ist wie wenn du jemanden siehst, der in deiner Nachbarschaft verloren herumläuft. Du möchtest vielleicht wissen, ob er einfach verloren ist oder ob er nach Ärger Ausschau hält. Wir verbinden die Punkte zwischen Handlungen und Entitäten, um ein klareres Bild zu erstellen.
Wir nutzen einige fortschrittliche Techniken, um zu priorisieren, welche Handlungen einen genaueren Blick wert sind. Mit einigen schicken Algorithmen können wir Millionen von Handlungen durchforsten und die wichtigen auf ein paar reduzieren, die das Auge des Prüfers brauchen.
Da Daten rar sind (wie eine Nadel im Heuhaufen), setzen wir einige clevere Tricks ein, um zu verwalten, wie wir aus den Daten lernen, die wir haben. Expertenprüfer entscheiden, welche Handlungen wirklich einer Untersuchung wert sind. Es ist wie zu versuchen herauszufinden, welche Pizzabeläge bei einer Party akzeptabel sind, und sie wollen ganz sicher keine Ananas mehr!
Die Landschaft der Insider-Bedrohungen
Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat eine ziemlich ernste Sicht auf Insider-Bedrohungen. Sie definieren es als jemanden mit Zugang, der etwas Schädliches tut, entweder absichtlich oder versehentlich. Diese Vorfälle können Unternehmen hart treffen und kosten oft Millionen. Die Einsätze sind hoch, was unsere Arbeit wichtig macht, um sensible Informationen zu schützen.
Supportmitarbeiter bearbeiten eine Vielzahl von Anfragen. Sie müssen diese Anfragen in einem Ticketsystem verwalten und können auf sensible Daten zugreifen, um Probleme zu lösen. Mit der Macht, auf Daten zuzugreifen und sie zu manipulieren, stellen sie ein erhebliches Risiko dar.
Was macht unsere Methode anders?
Früher haben Methoden zur Erkennung von Insider-Risiken sich auf Protokolle konzentriert, die den Zugriff auf Dateien und Datenbankabfragen verfolgen. Diese Methoden übersehen oft das grosse Ganze, besonders bei Supportmitarbeitern. Es ist nicht so einfach, zu schauen, wer auf was zugegriffen hat. Stattdessen müssen wir die Verbindung zwischen den Tickets, die sie haben, und den Ressourcen, auf die sie zugreifen, sehen.
Wir nennen diese alten Methoden "grobmaschig", was bedeutet, dass sie nicht genug Aufmerksamkeit darauf legen, was in den Arbeitsabläufen passiert. Unsere Methode ist viel präziser und schaut, wann Handlungen von dem abweichen, was erwartet wird. Stell dir vor, dein Kumpel fängt plötzlich an, Sushi in der Pizzabude zu bestellen. Das ist ein grosses Indiz, dass etwas nicht stimmt!
Wir vermeiden den Stress, Arbeitsabläufe bis ins kleinste Detail auseinanderzunehmen, was sich mit der Zeit und den Aufgaben verändert. Stattdessen verlassen wir uns auf maschinelles Lernen, um aus den Daten zu lernen und es allen Beteiligten etwas einfacher zu machen.
Den Graphen erstellen
Um unsere grosse Karte zu erstellen, bauen wir einen sogenannten bipartiten Graphen. Das ist nur eine schicke Art zu sagen, dass wir zwei Gruppen haben: Aktionen und Entitäten. Entitäten sind Identifikatoren, wie Benutzernamen von Supportmitarbeitern oder Ticket-IDs. Aktionen sind das, was die Agenten tun, wie das Kommentieren eines Tickets oder das Abfragen von Daten.
Wenn wir eine Handlung bemerken, die ein wenig zu neugierig erscheint, erstellen wir eine kleinere Karte basierend darauf. Wir sammeln verwandte Handlungen und Entitäten und stellen sicher, dass sie sich auf die verdächtige Aktivität beziehen. Es ist wie ein Puzzle zusammenzusetzen, aber wir wissen schon, dass ein Teil komisch aussieht!
Das Rangspiel
Um den Prüfern zu helfen, müssen wir sortieren, welche Untergraphen (unsere kleineren Karten) am interessantesten sind. Da die Daten oft begrenzt sind, können wir nicht einfach eine Armee von Beispielen erstellen, um unsere Klassifikatoren zu trainieren. Stattdessen nutzen wir zwei verschiedene Rangiermethoden, um uns zu helfen.
Nächster Nachbar Technik
Unser erster Ansatz besteht darin, nach Untergraphen zu suchen, die anderen interessanten Untergraphen nahe sind. Denk daran, als würdest du deine Freunde fragen, die in der Nachbarschaft wohnen, wo die coolen Partys stattfinden. Diese Methode hilft uns, die nächsten Nachbarn zu finden, die vielleicht eine Party feiern, anstatt ziellos in der Stadt herumzuirren.
Synthetische Mutation Rang
Unsere zweite Methode geht einen anderen Weg. Wir erstellen Variationen von normalen Untergraphen, um sie verdächtiger erscheinen zu lassen. Danach trainieren wir ein Modell, um die Unterschiede zu erkennen. So können wir herausfinden, welche Untergraphen es wert sind, näher angeschaut zu werden, wie das Spotten einer Pizzaschachtel hinter einem verdächtig aussehenden Vorhang.
Einbettungen zur Rettung
Wenn es darum geht, Untergraphen zu untersuchen, können wir etwas verwenden, das Einbettungen genannt wird. Es ist wie das Erstellen eines digitalen Fingerabdrucks für Handlungen. Wir experimentieren mit manuell erstellten Merkmalen und lassen unser maschinelles Lernmodell ebenfalls arbeiten.
Wenn wir handgefertigte Einbettungen einsetzen, zählen wir, wie viele Handlungen mit einem bestimmten Benutzer oder Agenten verbunden sind. Es ist ein einfacher Ansatz, hat aber seine Vorteile. Andererseits können wir fortgeschrittene Graph Neural Networks nutzen, um die Einbettungen zu handhaben. Diese Netzwerke lernen aus Trainingsdaten und helfen uns, ähnliche Handlungen basierend auf bestimmten Agenten und ihren Aktivitäten zu gruppieren.
Alles zusammenbringen
Mit all diesen Techniken in unserem Werkzeugkasten haben wir ein System aufgebaut, das effizient grosse Datenmengen durchforsten kann, ohne tausende von beschrifteten Beispielen zu benötigen. Auch wenn es ein bisschen ein Balanceakt ist, machen wir Fortschritte, um sicherzustellen, dass die Supportmitarbeiter vertrauenswürdig bleiben und dass sensible Daten sicher sind.
Während wir vorankommen, sind wir begeistert, diese Methode weiter zu verfeinern. Unser Ziel ist es, Aspekte unserer Technik zu automatisieren, damit wir uns nicht bei jedem kleinen Schritt auf Experten verlassen müssen. Stell dir vor, es gäbe einen automatisierten Pizzabelag-Auswähler, damit du dich nicht mehr mit deinen Freunden streiten musst, ob Ananas auf Pizza gehört oder nicht!
Mit fortlaufenden Bemühungen wollen wir unseren Ansatz über Supportmitarbeiter hinaus erweitern. Wir werden versuchen, unsere Methoden für verschiedene Arbeitsabläufe zu optimieren und moderne Technologien zu nutzen, um Protokolle effizienter zu analysieren.
Zusammenfassend lässt sich sagen, dass die Welt der Insider-Bedrohungen zwar beängstigend sein kann, wir aber gut gerüstet sind, um diese Probleme mit unserem fein abgestimmten Ansatz anzugehen. Indem wir ein wachsames Auge auf die Supportmitarbeiter haben und den Prüfern die notwendigen Daten liefern, hoffen wir, eine sicherere, vertrauenswürdigere Umgebung für alle Beteiligten zu schaffen. Und denk daran, keine Ananas mehr auf Pizza in unserer Welt-es sei denn, du willst sie wirklich!
Titel: Fine Grained Insider Risk Detection
Zusammenfassung: We present a method to detect departures from business-justified workflows among support agents. Our goal is to assist auditors in identifying agent actions that cannot be explained by the activity within their surrounding context, where normal activity patterns are established from historical data. We apply our method to help audit millions of actions of over three thousand support agents. We collect logs from the tools used by support agents and construct a bipartite graph of Actions and Entities representing all the actions of the agents, as well as background information about entities. From this graph, we sample subgraphs rooted on security-significant actions taken by the agents. Each subgraph captures the relevant context of the root action in terms of other actions, entities and their relationships. We then prioritize the rooted-subgraphs for auditor review using feed-forward and graph neural networks, as well as nearest neighbors techniques. To alleviate the issue of scarce labeling data, we use contrastive learning and domain-specific data augmentations. Expert auditors label the top ranked subgraphs as ``worth auditing" or ``not worth auditing" based on the company's business policies. This system finds subgraphs that are worth auditing with high enough precision to be used in production.
Autoren: Birkett Huber, Casper Neo, Keiran Sampson, Alex Kantchelian, Brett Ksobiech, Yanis Pavlidis
Letzte Aktualisierung: 2024-11-04 00:00:00
Sprache: English
Quell-URL: https://arxiv.org/abs/2411.02645
Quell-PDF: https://arxiv.org/pdf/2411.02645
Lizenz: https://creativecommons.org/licenses/by/4.0/
Änderungen: Diese Zusammenfassung wurde mit Unterstützung von AI erstellt und kann Ungenauigkeiten enthalten. Genaue Informationen entnehmen Sie bitte den hier verlinkten Originaldokumenten.
Vielen Dank an arxiv für die Nutzung seiner Open-Access-Interoperabilität.