Monitorando Ameaças Internas nas Equipes de Suporte
Uma análise aprofundada sobre como rastrear riscos internos nos fluxos de trabalho dos agentes de suporte.
Birkett Huber, Casper Neo, Keiran Sampson, Alex Kantchelian, Brett Ksobiech, Yanis Pavlidis
― 8 min ler
Índice
- A Necessidade de Trabalho de Detetive
- Como Spotamos os Problemas?
- O Cenário das Ameaças Internas
- O Que Torna Nosso Método Diferente?
- Construindo Nosso Gráfico
- O Jogo de Classificação
- Técnica do Vizinho Mais Próximo
- Classificação de Mutação Sintética
- Embeddings na Jogada
- Colocando Tudo Junto
- Fonte original
- Ligações de referência
O mundo dos agentes de suporte pode ser meio parecido com um jogo de Whac-A-Mole, onde cada ticket é um molusco aparecendo e os agentes têm que dar um jeito neles antes que fiquem fora de controle. Mas e se um desses moluscos decide sair fora? É aí que nossa história começa.
Os agentes de suporte estão ali pra te ajudar com os seus problemas, mas também têm acesso a dados sensíveis. Esse acesso pode dar ruim se não for monitorado direito. Imagina um agente de suporte decidindo dar uma espiadinha nos seus detalhes bancários só porque tá sem nada pra fazer. Yikes! Isso é uma ameaça interna séria, e é fundamental que a gente encontre um jeito de ficar de olho nisso.
A Necessidade de Trabalho de Detetive
Nossa missão é ajudar quem audita esse mundo dos agentes de suporte. Os Auditores precisam identificar Ações que não se encaixam nas atividades normais. Você vê, os agentes têm padrões de comportamento, tipo aquele seu amigo que sempre pede a mesma pizza toda sexta-feira. Mas, às vezes, uma ação de um agente pode levantar uma bandeira vermelha-tipo escolher abacaxi como cobertura (brincadeira, sem julgamentos aqui!).
Pra lidar com isso, a gente analisa os logs das ferramentas que os agentes de suporte usam. Criamos um grande mapa (pensa nele como um mapa do tesouro, mas em vez de um X marcando o lugar, a gente tem ações e Entidades) que mostra tudo que os agentes fazem e algumas informações de fundo. Desse mapa, a gente puxa mapas menores que destacam ações que podem ser meio suspeitas.
Como Spotamos os Problemas?
Quando vemos uma ação suspeita, queremos reunir todo o contexto ao redor. É como se você visse alguém andando pelo seu bairro parecendo perdido. Você pode querer saber se a pessoa só tá perdida ou se tá de olho no lugar pra fazer alguma coisa errada. A gente conecta as ações e entidades pra criar um quadro mais claro.
Usamos algumas técnicas avançadas pra priorizar quais ações valem uma atenção extra. Usando uns algoritmos sofisticados, conseguimos pegar milhões de ações e filtrar pra só algumas que precisam da atenção de um auditor.
Agora, dado que os dados são escassos (tipo uma agulha num palheiro), a gente usa alguns truques inteligentes pra gerenciar como aprendemos com os dados que temos. Auditores experientes entram em cena pra decidir quais ações realmente valem a pena investigar. É como tentar descobrir quais coberturas de pizza são aceitáveis numa festa, e eles definitivamente não querem mais abacaxi!
O Cenário das Ameaças Internas
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) tem uma visão bem séria sobre ameaças internas. Eles definem como alguém com acesso fazendo algo prejudicial, seja de propósito ou por acidente. Esses incidentes podem impactar as empresas de forma dura, custando milhões. As consequências são altas, tornando nosso trabalho essencial pra proteger informações sensíveis.
Agentes de suporte lidam com uma variedade de pedidos. Eles têm que gerenciar esses pedidos em um sistema de tickets e podem acessar dados sensíveis pra resolver os problemas. Com o poder que têm de acessar e manipular dados, eles podem representar um risco significativo.
O Que Torna Nosso Método Diferente?
No passado, os métodos pra detectar riscos internos focavam em logs que rastreiam acesso a arquivos e consultas a bancos de dados. Esses métodos frequentemente perdem a visão geral, especialmente no caso dos agentes de suporte. Não é tão simples quanto olhar quem acessou o quê. Em vez disso, precisamos ver a conexão entre os tickets que eles têm e os recursos que acessam.
Chamamos esses métodos antigos de "grão grosseiro," que significa que eles não prestam atenção suficiente no que tá rolando dentro dos fluxos de trabalho. Nosso método é muito mais preciso e procura quando as ações fogem do esperado. Imagina se seu amigo de repente começa a pedir sushi na pizzaria. Isso é um grande indício de que algo tá errado!
Evitamos o trabalho chato de detalhar os fluxos de trabalho de forma dolorosa, que muda com o tempo e as tarefas. Em vez disso, confiamos em aprendizado de máquina pra aprender com os dados, facilitando as coisas pra todo mundo envolvido.
Construindo Nosso Gráfico
Pra criar nosso grande mapa, montamos algo chamado gráfico bipartido. Essa é uma maneira chique de dizer que temos dois grupos: Ações e Entidades. Entidades são identificadores, como nomes de usuário dos agentes de suporte ou IDs de tickets. Ações são o que os agentes fazem, tipo comentar em um ticket ou consultar dados.
Quando vemos uma ação que parece um pouco curiosa, criamos um mapa menor baseado nisso. A gente coleta ações e entidades conectadas, garantindo que elas se relacionem com a atividade suspeita. É como montar um quebra-cabeça, mas já sabemos que uma peça parece estranha!
O Jogo de Classificação
Pra ajudar os auditores, precisamos filtrar quais subgráficos (nossos mapas menores) são os mais interessantes. Dado que os dados são frequentemente limitados, a gente não consegue simplesmente criar um exército de exemplos pra treinar nossos classificadores. Em vez disso, usamos dois métodos de classificação diferentes pra nos ajudar.
Técnica do Vizinho Mais Próximo
Nossa primeira abordagem é procurar subgráficos que estão perto de outros subgráficos interessantes. Pensa nisso como perguntar pra seus amigos que moram na vizinhança onde estão acontecendo as festas legais. Esse método ajuda a gente a encontrar os vizinhos mais próximos que podem estar fazendo uma festa, em vez de vagar sem rumo pela cidade.
Classificação de Mutação Sintética
Nosso segundo método toma uma abordagem diferente. A gente cria variações de subgráficos normais pra deixá-los com cara de mais suspeitos. Depois, treinamos um modelo pra detectar as diferenças. Assim, conseguimos descobrir quais subgráficos valem a pena conferir, como achar uma caixa de pizza atrás daquela cortina suspeita.
Embeddings na Jogada
Quando se trata de examinar subgráficos, podemos usar algo chamado embeddings. É como criar uma impressão digital digital pra ações. A gente experimenta com características feitas manualmente e deixa nosso modelo de aprendizado de máquina trabalhar também.
Quando usamos embeddings feitos à mão, contamos quantas ações estão ligadas a um determinado usuário ou agente. É uma abordagem simples, mas tem seus méritos. Por outro lado, podemos usar redes neurais gráficas mais avançadas pra lidar com os embeddings. Essas redes aprendem com os dados de treinamento, ajudando a gente a agrupar ações semelhantes com base em agentes específicos e suas atividades.
Colocando Tudo Junto
Com todas essas técnicas no nosso kit de ferramentas, construímos um sistema que pode classificar de forma eficiente grandes quantidades de dados sem precisar de toneladas de exemplos rotulados. Embora seja um pouco um malabarismo, estamos progredindo pra garantir que os agentes de suporte permaneçam confiáveis e que os dados sensíveis fiquem seguros.
À medida que avançamos, estamos animados pra refinar ainda mais esse método. Nosso objetivo é automatizar aspectos da nossa técnica, pra que a gente não precise depender de especialistas pra cada pequeno passo. Imagina se houvesse um seletor automático de coberturas de pizza, assim você não precisaria discutir com seus amigos se abacaxi deve estar na pizza de novo!
Com esforços contínuos, esperamos expandir nossa abordagem além dos agentes de suporte. Vamos procurar agilizar nossos métodos para diferentes fluxos de trabalho enquanto abraçamos tecnologias modernas pra nos ajudar a analisar logs de forma mais eficiente.
Em conclusão, embora o mundo das ameaças internas possa ser intimidador, estamos bem equipados pra lidar com esses problemas através da nossa abordagem afinada. Mantendo um olhar atento nos agentes de suporte e fornecendo aos auditores os dados necessários, esperamos criar um ambiente mais seguro e confiável pra todo mundo envolvido. E lembre-se, nada de abacaxis na pizza no nosso mundo-exceto se você realmente quiser!
Título: Fine Grained Insider Risk Detection
Resumo: We present a method to detect departures from business-justified workflows among support agents. Our goal is to assist auditors in identifying agent actions that cannot be explained by the activity within their surrounding context, where normal activity patterns are established from historical data. We apply our method to help audit millions of actions of over three thousand support agents. We collect logs from the tools used by support agents and construct a bipartite graph of Actions and Entities representing all the actions of the agents, as well as background information about entities. From this graph, we sample subgraphs rooted on security-significant actions taken by the agents. Each subgraph captures the relevant context of the root action in terms of other actions, entities and their relationships. We then prioritize the rooted-subgraphs for auditor review using feed-forward and graph neural networks, as well as nearest neighbors techniques. To alleviate the issue of scarce labeling data, we use contrastive learning and domain-specific data augmentations. Expert auditors label the top ranked subgraphs as ``worth auditing" or ``not worth auditing" based on the company's business policies. This system finds subgraphs that are worth auditing with high enough precision to be used in production.
Autores: Birkett Huber, Casper Neo, Keiran Sampson, Alex Kantchelian, Brett Ksobiech, Yanis Pavlidis
Última atualização: 2024-11-04 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2411.02645
Fonte PDF: https://arxiv.org/pdf/2411.02645
Licença: https://creativecommons.org/licenses/by/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.