Monitorare le minacce interne nei team di supporto
Un'analisi approfondita su come monitorare i rischi interni nei workflow degli agenti di supporto.
Birkett Huber, Casper Neo, Keiran Sampson, Alex Kantchelian, Brett Ksobiech, Yanis Pavlidis
― 7 leggere min
Indice
- La Necessità di Indagini
- Come Individuiamo il Problema?
- Il Panorama delle Minacce interne
- Cosa Rende Diverso il Nostro Metodo?
- Costruire il Nostro Grafo
- Il Gioco del Ranking
- Tecnica del Vicinato Più Vicino
- Ranking per Mutazione Sintetica
- Embedding in Soccorso
- Mettere Tutto Insieme
- Fonte originale
- Link di riferimento
Il mondo degli agenti di supporto può essere un po' come una partita a Whac-A-Mole, dove ogni ticket è un maledetto che spunta, e gli agenti devono colpirli con l'azione giusta prima che le cose escano di mano. Ma cosa succede se uno di quei maledetti decide di andare per conto suo? Ecco dove inizia la nostra storia.
Gli agenti di supporto sono là per aiutarti con i tuoi problemi, ma hanno anche accesso a dati sensibili. Questo accesso può portare a guai se non monitorato correttamente. Immagina un agente di supporto che decide di sbirciare nei tuoi dettagli bancari perché ha una giornata lenta. Ouch! Questa è una seria minaccia interna, ed è fondamentale trovare un modo per tenere d'occhio le cose.
La Necessità di Indagini
La nostra missione è aiutare chi audita questo mondo di agenti di supporto. Gli auditor devono riconoscere le Azioni che non si adattano alle attività abituali. Vedi, gli agenti hanno schemi di comportamento, proprio come il tuo amico che ordina sempre la stessa pizza ogni venerdì. Ma a volte, l'azione di un agente potrebbe far scattare un campanello d'allerta-come scegliere l'ananas come condimento (sto scherzando, nessun giudizio qui!).
Per affrontare questo problema, analizziamo i log degli strumenti che usano gli agenti di supporto. Creiamo una grande mappa (pensala come una mappa del tesoro, ma invece di una X che segna il punto, abbiamo azioni ed Entità) che mostra tutto ciò che fanno gli agenti e qualche informazione di base. Da quella mappa, estraiamo mappe più piccole che evidenziano le azioni che potrebbero potenzialmente essere sospette.
Come Individuiamo il Problema?
Quando vediamo un'azione sospetta, vogliamo raccogliere tutto il contesto attorno ad essa. È come se vedessi qualcuno gironzolare nel tuo quartiere sembrando perso. Potresti voler sapere se è solo perso o se sta cercando guai. Connettiamo i punti tra azioni ed entità per creare un quadro più chiaro.
Usiamo alcune tecniche avanzate per dare priorità a quali azioni vale la pena esaminare più da vicino. Utilizzando alcuni algoritmi sofisticati, possiamo prendere milioni di azioni e ridurle a poche che richiedono l'occhio dell'auditor.
Ora, dato che i dati scarseggiano (proprio come un ago in un pagliaio), usiamo alcuni trucchi intelligenti per gestire come apprendiamo dai dati che abbiamo. Esperti auditor entrano in gioco per decidere quali delle azioni meritano davvero un'indagine. È come cercare di capire quali condimenti per pizza sono accettabili a una festa, e sicuramente non vogliono più ananas!
Il Panorama delle Minacce interne
La CISA, l'Agenzia per la Sicurezza Cibernetica e le Infrastrutture degli Stati Uniti, ha un approccio piuttosto serio riguardo alle minacce interne. La definiscono come qualcuno con accesso che fa qualcosa di dannoso, sia intenzionalmente che per caso. Questi eventi possono colpire duramente le aziende, costando spesso milioni. Le poste in gioco sono alte, rendendo essenziale il nostro lavoro per proteggere informazioni sensibili.
Gli agenti di supporto gestiscono una vasta gamma di richieste. Devono gestire queste richieste in un sistema di ticket e possono accedere a dati sensibili per risolvere problemi. Con il potere che hanno di accedere e manipolare i dati, possono rappresentare un rischio significativo.
Cosa Rende Diverso il Nostro Metodo?
In passato, i metodi per rilevare il rischio interno si sono concentrati sui log che tracciano l'accesso ai file e le query ai database. Questi metodi spesso mancano il quadro più ampio, specialmente per gli agenti di supporto. Non è così semplice come guardare chi ha accesso a cosa. Invece, dobbiamo vedere il collegamento tra i ticket che hanno e le risorse a cui accedono.
Chiamiamo quei vecchi metodi "grossolani", il che significa che non prestano sufficiente attenzione a ciò che accade all'interno dei flussi di lavoro. Il nostro metodo è molto più preciso e cerca quando le azioni si discostano da ciò che è previsto. Immagina se il tuo amico improvvisamente inizia a ordinare sushi al locale della pizza. Questo è un grande indizio che qualcosa non va!
Evitiamo il fastidio di descrivere i flussi di lavoro in dettaglio doloroso, che cambiano nel tempo e nelle attività. Invece, ci affidiamo all'apprendimento automatico per apprendere dai dati, semplificando un po' le cose per tutti coinvolti.
Costruire il Nostro Grafo
Per creare la nostra grande mappa, costruiamo qualcosa chiamato grafo bipartito. È solo un modo elegante per dire che abbiamo due gruppi: Azioni ed Entità. Le entità sono identificatori, come nomi utente degli agenti di supporto o ID dei ticket. Le azioni sono ciò che gli agenti fanno, come commentare un ticket o interrogare dati.
Quando notiamo un'azione che sembra un po' troppo curiosa, creiamo una mappa più piccola basata su quella. Raccogliamo azioni ed entità connesse, assicurandoci che siano collegate all'attività sospetta. È come mettere insieme un puzzle, ma sappiamo già che un pezzo sembra sospetto!
Il Gioco del Ranking
Per aiutare gli auditor, dobbiamo ordinare quali sottografi (le nostre mappe più piccole) sono i più interessanti. Dato che i dati sono spesso limitati, non possiamo semplicemente creare un esercito di esempi per addestrare i nostri classificatori. Invece, usiamo due diversi metodi di ranking per aiutarci.
Tecnica del Vicinato Più Vicino
Il nostro primo approccio è cercare sottografi che siano vicini ad altri sottografi interessanti. Pensala come chiedere ai tuoi amici che vivono nel quartiere dove stanno succedendo tutte le feste fighe. Questo metodo ci aiuta a trovare i vicini più vicini che potrebbero essere in festa, invece di vagare senza meta per la città.
Ranking per Mutazione Sintetica
Il nostro secondo metodo adotta un approccio diverso. Creiamo variazioni di sottografi normali per farli sembrare più sospetti. Successivamente, alleniamo un modello per individuare le differenze. In questo modo, possiamo scoprire quali sottografi meritano di essere controllati, come notare una scatola di pizza dietro quella tenda sospetta.
Embedding in Soccorso
Quando si tratta di esaminare i sottografi, possiamo usare qualcosa chiamato embedding. È come creare un'impronta digitale per le azioni. Sperimentiamo con caratteristiche create manualmente e lasciamo che il nostro modello di apprendimento automatico faccia il suo lavoro.
Quando utilizziamo embedding artigianali, contiamo quante azioni sono legate a un particolare utente o agente. È un approccio semplice ma ha i suoi meriti. D'altra parte, possiamo usare reti neurali grafiche più avanzate per gestire gli embedding. Queste reti apprendono dai dati di addestramento, aiutandoci a raggruppare azioni simili in base a specifici agenti e alle loro attività.
Mettere Tutto Insieme
Con tutte queste tecniche nel nostro arsenale, abbiamo costruito un sistema che può ordinare in modo efficiente enormi quantità di dati senza richiedere tonnellate di esempi etichettati. Anche se è un po' un esercizio di equilibrio, stiamo facendo progressi per assicurarci che gli agenti di supporto rimangano affidabili e che i dati sensibili restino al sicuro.
Man mano che procediamo, siamo entusiasti di perfezionare ulteriormente questo metodo. Il nostro obiettivo è automatizzare aspetti della nostra tecnica, in modo da non doverci affidare a esperti per ogni singolo passo. Immagina se ci fosse un selettore automatico di condimenti per pizza, così non devi più discutere con i tuoi amici se l'ananas appartiene alla pizza!
Con sforzi continui, puntiamo a allargare il nostro approccio oltre gli agenti di supporto. Ci concentreremo per semplificare i nostri metodi per diversi flussi di lavoro, abbracciando tecnologie moderne per aiutarci a esaminare i log in modo più efficiente.
In conclusione, mentre il mondo delle minacce interne può essere scoraggiante, siamo ben attrezzati per affrontare questi problemi attraverso il nostro approccio ben calibrato. Tenendo d'occhio gli agenti di supporto e fornendo agli auditor i dati necessari, speriamo di creare un ambiente più sicuro e affidabile per tutti coinvolti. E ricorda, niente più ananas sulla pizza nel nostro mondo-a meno che tu non le voglia davvero!
Titolo: Fine Grained Insider Risk Detection
Estratto: We present a method to detect departures from business-justified workflows among support agents. Our goal is to assist auditors in identifying agent actions that cannot be explained by the activity within their surrounding context, where normal activity patterns are established from historical data. We apply our method to help audit millions of actions of over three thousand support agents. We collect logs from the tools used by support agents and construct a bipartite graph of Actions and Entities representing all the actions of the agents, as well as background information about entities. From this graph, we sample subgraphs rooted on security-significant actions taken by the agents. Each subgraph captures the relevant context of the root action in terms of other actions, entities and their relationships. We then prioritize the rooted-subgraphs for auditor review using feed-forward and graph neural networks, as well as nearest neighbors techniques. To alleviate the issue of scarce labeling data, we use contrastive learning and domain-specific data augmentations. Expert auditors label the top ranked subgraphs as ``worth auditing" or ``not worth auditing" based on the company's business policies. This system finds subgraphs that are worth auditing with high enough precision to be used in production.
Autori: Birkett Huber, Casper Neo, Keiran Sampson, Alex Kantchelian, Brett Ksobiech, Yanis Pavlidis
Ultimo aggiornamento: 2024-11-04 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2411.02645
Fonte PDF: https://arxiv.org/pdf/2411.02645
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.