Surveillance des menaces internes dans les équipes de support
Une plongée dans le suivi des risques internes dans les workflows des agents de support.
Birkett Huber, Casper Neo, Keiran Sampson, Alex Kantchelian, Brett Ksobiech, Yanis Pavlidis
― 8 min lire
Table des matières
- Le Besoin de Faire de la Détection
- Comment On Repère les Problèmes ?
- Le Paysage des Menaces internes
- Ce Qui Rend Notre Méthode Différente ?
- Construire Notre Graphe
- Le Jeu du Classement
- Technique du Voisin Proche
- Rang de Mutation Synthétique
- Les Embeddings à la Rescousse
- Tout Mettre Ensemble
- Source originale
- Liens de référence
Le monde des agents de support, c'est un peu comme un jeu de Whac-A-Mole, où chaque ticket est un mole qui surgit, et les agents doivent les frapper avec la bonne action avant que ça ne dégénère. Mais que se passe-t-il si l'un de ces moles décide de devenir fou ? C'est là que notre histoire commence.
Les agents de support sont là pour t'aider avec tes soucis, mais ils ont aussi accès à des données sensibles. Cet accès peut causer des problèmes s'il n'est pas surveillé correctement. Imagine un agent de support qui décide de jeter un œil à tes détails bancaires parce qu'il s'ennuie. Ouille ! C'est une sérieuse menace interne, et il est essentiel qu'on trouve un moyen de garder un œil sur tout ça.
Le Besoin de Faire de la Détection
Notre mission, c'est d'aider ceux qui audite ce monde des agents de support. Les Auditeurs doivent repérer des Actions qui ne collent pas trop avec les activités habituelles. Tu vois, les agents ont des comportements types, un peu comme ton pote qui commande toujours la même pizza chaque vendredi. Mais parfois, une action d'agent peut soulever un drapeau rouge-comme choisir l'ananas comme garniture (je rigole, pas de jugement ici !).
Pour gérer ce problème, on analyse les logs des outils que les agents de support utilisent. On crée une grande carte (pense à une carte au trésor, mais au lieu d'un X marquant l'emplacement, on a des actions et des Entités) qui montre tout ce que font les agents et quelques infos en arrière-plan. À partir de cette carte, on sort des cartes plus petites qui mettent en évidence les actions qui pourraient être suspectes.
Comment On Repère les Problèmes ?
Quand on voit une action suspecte, on veut rassembler tout le contexte autour. C'est comme si tu vois quelqu'un errer dans ton quartier. Tu pourrais vouloir savoir s'il est juste perdu ou s'il est là pour faire des siennes. On relie les points entre les actions et les entités pour créer une image plus claire.
On utilise des techniques avancées pour prioriser les actions qui valent le coup d'œil. Avec des algos sophistiqués, on peut passer de millions d'actions à quelques-unes qui méritent vraiment l'œil de l'auditeur.
Maintenant, vu que les données sont rares (comme une aiguille dans une botte de foin), on utilise des astuces pour gérer comment on apprend des données qu'on a. Des auditeurs experts viennent décider quelles actions méritent vraiment d'être investiguées. C'est un peu comme essayer de déterminer quelles garnitures de pizza sont acceptables à une fête, et ils ne veulent certainement pas d'ananas en plus !
Le Paysage des Menaces internes
L'agence de cybersécurité et de sécurité des infrastructures des États-Unis (CISA) a une vision plutôt sérieuse des menaces internes. Ils définissent ça comme quelqu'un avec accès qui fait quelque chose de nuisible, soit intentionnellement, soit par accident. Ces incidents peuvent coûter cher aux entreprises, souvent des millions. Les enjeux sont élevés, ce qui rend notre travail essentiel pour protéger les infos sensibles.
Les agents de support gèrent un large éventail de demandes. Ils doivent gérer ces demandes dans un système de tickets et peuvent accéder à des données sensibles pour résoudre des problèmes. Avec le pouvoir qu'ils ont d'accéder et de manipuler des données, ils peuvent représenter un risque important.
Ce Qui Rend Notre Méthode Différente ?
Dans le passé, les méthodes de détection des risques internes se concentraient sur les logs qui suivent l'accès aux fichiers et les requêtes de bases de données. Ces méthodes ratent souvent le tableau d'ensemble, surtout pour les agents de support. Ce n'est pas aussi simple que de regarder qui a accédé à quoi. Au lieu de ça, on doit voir la connexion entre les tickets qu'ils ont et les ressources qu'ils accèdent.
On appelle ces anciennes méthodes « granulaire », ce qui veut dire qu'elles ne tiennent pas assez compte de ce qui se passe dans les flux de travail. Notre méthode est beaucoup plus précise et cherche quand les actions s'écartent de ce qui est attendu. Imagine que ton pote commence soudain à commander des sushis à la pizzeria. Ça, c'est un gros indice que quelque chose ne va pas !
On évite le casse-tête de décrire les flux de travail dans les moindres détails, qui changent avec le temps et les tâches. À la place, on fait confiance à l'apprentissage automatique pour apprendre des données, rendant les choses un peu plus faciles pour tout le monde.
Construire Notre Graphe
Pour créer notre grande carte, on construit un truc appelé un graphe bipartite. C'est juste un terme qui veut dire qu'on a deux groupes : Actions et Entités. Les Entités sont des identifiants, comme les noms d'utilisateur des agents de support ou les ID de tickets. Les Actions, c'est ce que font les agents, comme commenter un ticket ou interroger des données.
Quand on repère une action qui semble un peu trop curieuse, on crée une carte plus petite à partir de ça. On collecte des actions et entités connectées, s'assurant qu'elles sont liées à l'activité suspecte. C’est comme assembler un puzzle, mais on sait déjà qu'une pièce a l'air louche !
Le Jeu du Classement
Pour aider les auditeurs, on doit trier quels Sous-graphes (nos cartes plus petites) sont les plus intéressants. Étant donné que les données sont souvent limitées, on ne peut pas juste créer une armée d'exemples pour entraîner nos classificateurs. Au lieu de ça, on utilise deux méthodes de classement différentes pour nous aider.
Technique du Voisin Proche
Notre première approche consiste à chercher des sous-graphes qui sont proches d'autres sous-graphes intéressants. Pense à ça comme demander à tes amis qui vivent dans le coin où se passent toutes les cool soirées. Cette méthode nous aide à trouver les voisins les plus proches qui pourraient faire la fête, au lieu d'errer sans but en ville.
Rang de Mutation Synthétique
Notre seconde méthode adopte une approche différente. On crée des variations de sous-graphes normaux pour les rendre plus suspects. Ensuite, on entraîne un modèle pour repérer les différences. De cette façon, on peut déterminer quels sous-graphes valent la peine d'être vérifiés, comme repérer une boîte de pizza derrière ce rideau suspect.
Les Embeddings à la Rescousse
Quand il s'agit d'examiner des sous-graphes, on peut utiliser quelque chose appelé embeddings. C'est comme créer une empreinte digitale numérique pour les actions. On expérimente avec des caractéristiques créées manuellement et laisse notre modèle d'apprentissage automatique faire son boulot aussi.
Quand on utilise des embeddings faits à la main, on compte combien d'actions sont liées à un utilisateur ou un agent particulier. C’est une approche simple mais qui a ses mérites. D'un autre côté, on peut utiliser des réseaux de neurones graphiques plus avancés pour gérer les embeddings. Ces réseaux apprennent des données d'entraînement, ce qui nous aide à regrouper des actions similaires en fonction des agents spécifiques et de leurs activités.
Tout Mettre Ensemble
Avec toutes ces techniques dans notre boîte à outils, on a construit un système qui peut trier efficacement de grandes quantités de données sans nécessiter des tonnes d'exemples étiquetés. Bien que ce soit un peu un exercice d'équilibre, on fait des progrès pour s'assurer que les agents de support restent dignes de confiance et que les données sensibles restent en sécurité.
En avançant, on est excités de peaufiner encore cette méthode. Notre but est d'automatiser des aspects de notre technique, pour ne pas avoir à dépendre des experts pour chaque petite étape. Imagine s'il y avait un sélecteur automatique de garnitures de pizza, pour que tu n’aies plus à te disputer avec tes amis sur le fait que l'ananas a sa place sur la pizza !
Avec des efforts continus, on vise à élargir notre approche au-delà des seuls agents de support. On cherchera à rationaliser nos méthodes pour différents flux de travail tout en adoptant des technologies modernes pour nous aider à analyser les logs plus efficacement.
En conclusion, bien que le monde des menaces internes puisse sembler décourageant, on est bien équipés pour s'attaquer à ces problèmes grâce à notre approche finement réglée. En gardant un œil vigilant sur les agents de support et en fournissant aux auditeurs les données nécessaires, on espère créer un environnement plus sûr et plus digne de confiance pour tous. Et rappelle-toi, plus d'ananas sur la pizza dans notre monde-à moins que tu ne les veuilles vraiment !
Titre: Fine Grained Insider Risk Detection
Résumé: We present a method to detect departures from business-justified workflows among support agents. Our goal is to assist auditors in identifying agent actions that cannot be explained by the activity within their surrounding context, where normal activity patterns are established from historical data. We apply our method to help audit millions of actions of over three thousand support agents. We collect logs from the tools used by support agents and construct a bipartite graph of Actions and Entities representing all the actions of the agents, as well as background information about entities. From this graph, we sample subgraphs rooted on security-significant actions taken by the agents. Each subgraph captures the relevant context of the root action in terms of other actions, entities and their relationships. We then prioritize the rooted-subgraphs for auditor review using feed-forward and graph neural networks, as well as nearest neighbors techniques. To alleviate the issue of scarce labeling data, we use contrastive learning and domain-specific data augmentations. Expert auditors label the top ranked subgraphs as ``worth auditing" or ``not worth auditing" based on the company's business policies. This system finds subgraphs that are worth auditing with high enough precision to be used in production.
Auteurs: Birkett Huber, Casper Neo, Keiran Sampson, Alex Kantchelian, Brett Ksobiech, Yanis Pavlidis
Dernière mise à jour: 2024-11-04 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2411.02645
Source PDF: https://arxiv.org/pdf/2411.02645
Licence: https://creativecommons.org/licenses/by/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.