サポートチームの内部脅威を監視する
サポートエージェントのワークフローにおける内部リスクの追跡についての詳しい考察。
― 1 分で読む
目次
サポートエージェントの世界は、ちょっとしたワクワクゲームみたいなもので、チケットがモグラみたいにポコポコ出てきて、エージェントはそれを適切なアクションで叩かなきゃいけないんだ。でも、もしそのモグラが反乱を起こしたら?そこから話が始まるんだ。
サポートエージェントは、君の問題を助けるためにいるけど、敏感なデータにもアクセスできる。このアクセスがうまく監視されていないと、トラブルになる可能性があるんだ。たとえば、あるサポートエージェントが、暇な日だからって君の銀行詳細を覗き込もうとしたら…うわ、マジでやばい!これは深刻なインサイダー脅威で、ちゃんと見張る方法を考えないといけないよね。
探偵業の必要性
私たちの使命は、このサポートエージェントの世界を監査する人たちを助けることだ。監査人は、いつもと違う行動を見つける必要がある。エージェントたちには、金曜日に同じピザを注文する友達みたいに行動パターンがあるんだ。でも時々、エージェントの行動が赤信号を出すこともある-たとえばピザのトッピングにパイナップルを選んだりね(冗談だよ、ここでは判断しないよ!)。
この問題に取り組むために、私たちはサポートエージェントが使うツールのログを分析する。大きな地図を作って(宝の地図みたいに、Xが目印じゃなくて、アクションとエンティティがある)エージェントが何をしているのか、いくつかの背景情報も示す。そこから、疑わしい行動を強調する小さな地図を引き出すんだ。
どうやってトラブルを見つける?
疑わしい行動を見たら、その周りのコンテキストを集めたい。迷ってる人を見かけたとき、その人がただ迷ってるのか、トラブルを探しに来てるのか知りたいって感じだね。アクションとエンティティの間の関係をつなげて、よりクリアな絵を作るんだ。
いくつかの高度な技術を使って、どのアクションが詳しく見る価値があるかを優先順位付けする。すごいアルゴリズムを使って、何百万ものアクションの中から、監査人の目が必要なものだけを残すことができるんだ。
データが貴重(干し草の中の針みたいに)だから、持っているデータからどう学ぶかの巧妙なトリックを使う。専門の監査人が、どのアクションが本当に調査すべきかを決めるんだ。まるでパーティーで受け入れられるピザのトッピングを決めるみたいに、パイナップルはもういらないって感じだね!
インサイダー脅威の風景
アメリカのサイバーセキュリティ・インフラセキュリティ庁(CISA)は、インサイダー脅威についてかなり真剣な見解を持っている。彼らは、アクセス権を持つ誰かが故意または偶然に何か有害なことをすることだと定義してる。これらの事件は企業に大きなダメージを与えることが多く、しばしば数百万ドルの損失をもたらすんだ。だから、高いリスクを抱えた私たちの仕事は、敏感な情報を保護するために重要なんだ。
サポートエージェントは、幅広いリクエストを扱う。彼らはチケットシステムでこれらのリクエストを管理し、問題を解決するために敏感なデータにアクセスするかもしれない。彼らがデータにアクセスして操作する力を持っているから、大きなリスクを引き起こすことがある。
うちの方法の違いは?
以前は、インサイダーリスクを検出する方法は、ファイルアクセスやデータベースクエリを追跡するログに焦点を当ててた。これらの方法では、特にサポートエージェントにとっては、全体像を見逃すことが多い。誰が何にアクセスしたかを見るだけじゃダメなんだ。彼らが持っているチケットとアクセスするリソースの関係を見る必要がある。
その古い方法を「粗い粒度」と呼んでる。つまり、ワークフロー内で何が起こっているかに十分注意を払っていないってこと。私たちの方法はもっと精密で、行動が期待からズレたときに探すんだ。もし友達がピザ屋で急に寿司を注文し始めたら、それは何かおかしいサインだよね!
私たちは、時間やタスクに応じて変わるワークフローを面倒くさく詳細に説明するのを避けて、機械学習を利用してデータから学ぶ。これがみんなにとってちょっと楽になるんだ。
グラフを作る
大きな地図を作るために、バイパーティートグラフっていうものを作る。これは、アクションとエンティティの二つのグループがあるってことを言うためのしゃれた言い方だ。エンティティは、サポートエージェントのユーザー名やチケットIDのような識別子。アクションは、エージェントが何をするか、チケットにコメントしたりデータをクエリしたりすること。
ちょっと疑わしいアクションを見つけたら、それに基づいて小さな地図を作る。関連するアクションやエンティティを集めて、怪しい行動に関係することを確認するんだ。パズルを組み立てるような感じだけど、既に一つのピースが怪しいのが分かってる!
ランキングゲーム
監査人を助けるために、どのサブグラフ(小さな地図)が最も興味深いかを整理する必要がある。データが限られているから、ただ例の軍隊を作って分類器を訓練するわけにはいかない。代わりに、二つの異なるランキング方法を使って助けてもらう。
ニアレストネイバー技術
最初のアプローチは、他の興味深いサブグラフに近いサブグラフを探すことだ。友達に「どこで面白いパーティーやってる?」って聞く感じかな。この方法で、町中をうろうろするんじゃなくて、近所のパーティーを見つける助けになる。
合成変異ランク
二つ目の方法は違うアプローチを取る。普通のサブグラフのバリエーションを作って、もっと怪しく見せる。その後、違いを見つけるためにモデルを訓練する。これで、どのサブグラフを調べる価値があるかがわかる、まるでその怪しいカーテンの後ろにピザの箱があるのを見つけるみたいに。
エンベディングの力
サブグラフを調べるとき、エンベディングってものを使える。アクションのデジタル指紋を作るみたいな感じだ。手動で作った特徴を試したり、機械学習モデルに任せたりする。
手作りのエンベディングを使うと、特定のユーザーやエージェントに結びついたアクションの数をカウントする。シンプルだけど、効果がある方法だ。一方で、より高度なグラフニューラルネットワークを使ってエンベディングを扱うこともできる。これらのネットワークは、トレーニングデータから学んで、特定のエージェントやその活動に基づいて似たようなアクションをグループ化するのを助けるんだ。
まとめ
これらの技術をツールキットに揃えて、膨大なデータを効率的に分類するシステムを構築した。たくさんのラベル付き例が必要なくても大丈夫。これはちょっとしたバランスを取る作業だけど、サポートエージェントが信頼できる存在であり続け、敏感なデータが安全に保たれるように進んでいる。
これからもこの方法をさらに洗練させていくのが楽しみ。私たちの目標は、この技術のいくつかの側面を自動化すること。毎回専門家に頼る必要がないようにするんだ。自動化されたピザのトッピングセレクターがあったら、友達と「パイナップルはピザに合うか?」って議論しなくて済むんだ!
進行中の努力を通じて、サポートエージェントだけでなく、他のワークフローでもアプローチを広げる予定だ。効率よくログを処理できるように、最新のテクノロジーを取り入れていくつもり。
結論として、インサイダー脅威の世界は大変かもしれないけど、私たちはこの問題に立ち向かうためのしっかりしたアプローチを持っている。サポートエージェントを見守り、監査人に必要なデータを提供することで、関係者全員がより安全で信頼できる環境を作りたいと思ってる。あ、そして、私たちの世界ではピザにパイナップルはもうなし-本当に欲しいなら別だけどね!
タイトル: Fine Grained Insider Risk Detection
概要: We present a method to detect departures from business-justified workflows among support agents. Our goal is to assist auditors in identifying agent actions that cannot be explained by the activity within their surrounding context, where normal activity patterns are established from historical data. We apply our method to help audit millions of actions of over three thousand support agents. We collect logs from the tools used by support agents and construct a bipartite graph of Actions and Entities representing all the actions of the agents, as well as background information about entities. From this graph, we sample subgraphs rooted on security-significant actions taken by the agents. Each subgraph captures the relevant context of the root action in terms of other actions, entities and their relationships. We then prioritize the rooted-subgraphs for auditor review using feed-forward and graph neural networks, as well as nearest neighbors techniques. To alleviate the issue of scarce labeling data, we use contrastive learning and domain-specific data augmentations. Expert auditors label the top ranked subgraphs as ``worth auditing" or ``not worth auditing" based on the company's business policies. This system finds subgraphs that are worth auditing with high enough precision to be used in production.
著者: Birkett Huber, Casper Neo, Keiran Sampson, Alex Kantchelian, Brett Ksobiech, Yanis Pavlidis
最終更新: Nov 4, 2024
言語: English
ソースURL: https://arxiv.org/abs/2411.02645
ソースPDF: https://arxiv.org/pdf/2411.02645
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。