Dom-Windows-Infowatch softverska rješenja i srodne aktivnosti. Automatizirani sustav za reviziju (monitoring) radnji korisnika Preduvjeti za implementaciju sustava

Infowatch softverska rješenja i srodne aktivnosti. Automatizirani sustav za reviziju (monitoring) radnji korisnika Preduvjeti za implementaciju sustava

Victor Chutov
Voditelj projekta INFORMSVYAZ HOLDING

Preduvjeti za implementaciju sustava

Prva javno dostupna globalna insajderska studija prijetnji pokrenuta je 2007 informacijska sigurnost Infowatch (na temelju rezultata iz 2006.) pokazao je da unutarnje prijetnje nisu manje uobičajene (56,5%) od vanjskih ( malware, spam, hakerske radnje itd.). Štoviše, u velikoj većini (77%) uzrok interne prijetnje je nepažnja samih korisnika (nepridržavanje opisa poslova ili zanemarivanje osnovnih mjera informacijske sigurnosti).

Dinamika promjena stanja u razdoblju 2006.-2008. prikazano na sl. 1.

Relativno smanjenje udjela curenja zbog nemara posljedica je djelomične implementacije sustava za sprječavanje curenja informacija (uključujući sustave za praćenje radnji korisnika), koji pružaju prilično visok stupanj zaštite od slučajnog curenja. Osim toga, to je zbog apsolutnog povećanja broja namjernih krađa osobnih podataka.

Unatoč promjeni statistike, i dalje sa sigurnošću možemo reći da je prioritetna zadaća borba protiv nenamjernog curenja informacija, jer je suzbijanje takvog curenja jednostavnije, jeftinije, a samim time većina incidenata je pokrivena.

Istovremeno, nemar zaposlenika, prema analizi rezultata istraživanja Infowatcha i Perimetrixa za 2004.-2008., nalazi se na drugom mjestu među najopasnijim prijetnjama (rezimirani rezultati istraživanja prikazani su na sl. 2), a njegova relevantnost nastavlja rasti usporedo s uz poboljšanje softverskih i hardverskih automatiziranih sustava (AS) poduzeća.

Dakle, implementacija sustava koji eliminiraju mogućnost negativnog utjecaja zaposlenika na informacijsku sigurnost u automatiziranom sustavu poduzeća (uključujući nadzorne programe), osiguravaju zaposlenicima službe informacijske sigurnosti bazu dokaza i materijale za istraživanje incidenta, eliminirati će prijetnju curenja zbog nemara, značajno smanjuju slučajna curenja, a također malo smanjuju namjerna curenja. U konačnici, ova bi mjera trebala omogućiti značajno smanjenje provedbe prijetnji unutarnjih prekršitelja.

Suvremeni automatizirani sustav za reviziju radnji korisnika. Prednosti i mane

Automatizirani sustavi za reviziju (nadzor) korisničkih radnji (ASADP) AS, koji se često nazivaju softverski proizvodi za praćenje, namijenjeni su za korištenje od strane sigurnosnih administratora AS-a (usluga informacijske sigurnosti organizacije) kako bi se osigurala njegova uočljivost - “svojstva računalnog sustava koja vam omogućuju bilježe aktivnosti korisnika, kao i jedinstveno postavljene identifikatore korisnika uključenih u određene događaje kako bi se spriječilo kršenje sigurnosnih politika i/ili osigurala odgovornost za određene radnje."

Svojstvo promatranja AS-a, ovisno o kvaliteti njegove implementacije, omogućuje, u jednom ili drugom stupnju, kontrolu poštivanja sigurnosne politike od strane zaposlenika organizacije i utvrđenih pravila za siguran rad na računalima.

Primjena monitoringa softverski proizvodi, uključujući u stvarnom vremenu, namijenjen je za:

  • identificirati (lokalizirati) sve slučajeve pokušaja neovlaštenog pristupa povjerljive informacije s točnom naznakom vremena i mrežnog radnog mjesta s kojeg je takav pokušaj izvršen;
  • identificirati činjenice neovlaštene instalacije softvera;
  • identificirati sve slučajeve neovlaštenog korištenja dodatnog hardvera (na primjer, modema, pisača itd.) analizom činjenica o pokretanju neovlašteno instaliranih specijaliziranih aplikacija;
  • identificirati sve slučajeve tipkanja kritičnih riječi i fraza na tipkovnici, pripremanje kritičnih dokumenata, čiji će prijenos trećim osobama dovesti do materijalne štete;
  • kontrolirati pristup poslužiteljima i osobnim računalima;
  • kontrolirati kontakte tijekom surfanja internetske mreže;
  • provoditi istraživanja vezana uz utvrđivanje točnosti, učinkovitosti i primjerenosti odgovora osoblja na vanjski utjecaji;
  • odrediti opterećenje računalnih radnih stanica organizacije (po dobu dana, po danu u tjednu itd.) u svrhu znanstvene organizacije rada korisnika;
  • pratiti slučajeve korištenja osobnih računala u neradno vrijeme i utvrditi svrhu takvog korištenja;
  • dobiti potrebne pouzdane informacije na temelju kojih se donose odluke o prilagodbi i poboljšanju politike informacijske sigurnosti organizacije i sl.

Implementacija ovih funkcija postiže se uvođenjem modula agenta (senzora) na AS radne stanice i poslužitelje uz daljnje ispitivanje statusa ili primanje izvješća od njih. Izvješća se obrađuju u Security Administrator Console. Neki sustavi opremljeni su međuposlužiteljima (konsolidacijskim točkama) koji obrađuju vlastita područja i sigurnosne grupe.

Analiza sustava rješenja dostupnih na tržištu (StatWin, Tivoli Configuration Manager, Tivoli Remote Control, OpenView Operations, Uryadnik/Enterprise Guard, Insider) omogućila je identifikaciju niza specifičnih svojstava, koja su, kada su data obećavajućem ASADP-u , poboljšat će svoje pokazatelje učinkovitosti u usporedbi s proučavanim uzorcima.

U opći slučaj, uz prilično široku funkcionalnost i veliki paket opcija, postojeći sustavi mogu se koristiti za praćenje aktivnosti samo pojedinačnih korisnika AS-a temeljem obveznog cikličkog pregleda (skeniranja) svih navedenih elemenata AS-a (a prvenstveno korisnika radnih stanica).

U isto vrijeme, distribucija i opseg modernih sustava, uključujući prilično velik broj radnih stanica, tehnologija i softvera, značajno komplicira proces praćenja rada korisnika, a svaki od njih mrežni uređaji sposoban je generirati tisuće revizijskih poruka, dosežući prilično velike količine informacija koje zahtijevaju održavanje ogromnih, često dupliciranih baza podataka. Ovi alati, između ostalog, troše značajne mrežne i hardverske resurse te opterećuju zajednički sustav. Ispostavilo se da su nefleksibilni za rekonfiguraciju hardvera i softvera računalne mreže, nisu u mogućnosti prilagoditi se nepoznatim vrstama kršenja i mrežnih napada, a učinkovitost njihove detekcije kršenja sigurnosne politike uvelike će ovisiti o učestalosti skeniranja AS elemenata od strane sigurnosnog administratora.

Jedan od načina povećanja učinkovitosti ovih sustava je izravno povećanje frekvencije skeniranja. To će neizbježno dovesti do smanjenja učinkovitosti obavljanja onih osnovnih zadataka za koje je, zapravo, ovaj AS namijenjen, zbog značajnog povećanja računalnog opterećenja kako na radnoj stanici administratora, tako i na računalima korisničkih radnih stanica, kao i kako s rastom prometa lokalna mreža AC.

Osim problema vezanih uz analizu velike količine podataka, postojeći sustavi nadzora imaju ozbiljna ograničenja u učinkovitosti i točnosti donesenih odluka, uzrokovana ljudskim faktorom determiniranim fizičkim mogućnostima administratora kao čovjeka operatera.

Prisutnost u postojećim sustavima praćenja mogućnosti obavještavanja o očiglednim neovlaštenim radnjama korisnika u stvarnom vremenu ne rješava temeljno problem u cjelini, budući da omogućuje praćenje samo prethodno poznatih vrsta kršenja (metoda potpisa), a ne može suprotstaviti se novim vrstama kršenja.

Razvoj i korištenje opsežnih metoda za osiguranje informacijske sigurnosti u informacijskim sigurnosnim sustavima, osiguravajući povećanje razine njegove zaštite zbog dodatnog "odabira" računalnog resursa iz AS-a, smanjuje sposobnost AS-a da riješi problem zadatke za koje je namijenjen i/ili povećava njegovu cijenu. Neuspjeh ovog pristupa na tržištu IT tehnologije koji se brzo razvija prilično je očit.

Automatizirani sustav za reviziju (nadzor) radnji korisnika. Obećavajuća svojstva

Iz prethodno prikazanih rezultata analize proizlazi očigledna potreba da se obećavajućim nadzornim sustavima daju sljedeća svojstva:

  • automatizacija, eliminirajući rutinske "ručne" operacije;
  • kombinacija centralizacije (temeljene na automatiziranoj radnoj stanici sigurnosnog administratora) s kontrolom na razini pojedinih elemenata (inteligentni računalni programi) sustavi za praćenje rada korisnika AS;
  • skalabilnost, koja omogućuje povećanje kapaciteta nadzornih sustava i proširenje njihovih mogućnosti bez značajnog povećanja računalnih resursa potrebnih za njihovo učinkovito funkcioniranje;
  • prilagodljivost promjenama u sastavu i karakteristikama AS-a, kao i pojavi novih vrsta kršenja sigurnosne politike.

Generalizirana struktura ASADP AS, koja ima oznaku razlikovna obilježja, koji se može implementirati u zvučnike za različite namjene i pribor, prikazan je na sl. 3.

Dana struktura uključuje sljedeće glavne komponente:

  • programske komponente-senzori postavljeni na neke elemente AS-a (na radnim stanicama korisnika, poslužiteljima, mrežnoj opremi, alatima za informacijsku sigurnost), koji služe za snimanje i obradu podataka revizije u stvarnom vremenu;
  • registracijske datoteke koje sadrže međuinformacije o radu korisnika;
  • komponente za obradu podataka i odlučivanje koje putem registracijskih datoteka primaju informacije od senzora, analiziraju ih i donose odluke o daljnjim radnjama (primjerice unos nekih podataka u bazu podataka, obavješćivanje službenih osoba, izrada izvješća i sl.);
  • revizijska baza podataka (DB) koja sadrži podatke o svim evidentiranim događajima, na temelju kojih se izrađuju izvješća i prati stanje AS-a za bilo koje vremensko razdoblje;
  • komponente za generiranje izvješća i certifikata na temelju informacija zabilježenih u revizijskoj bazi podataka i filtriranje zapisa (po datumu, po korisničkom ID-u, po radnoj stanici, po sigurnosnim događajima itd.);
  • komponenta sigurnosnog administratorskog sučelja, koja služi za kontrolu rada ASADP AS-a s njegovom radnom stanicom, pregled i ispis informacija, kreiranje razne vrste upite prema bazi podataka i generiranje izvješća, omogućujući praćenje trenutnih aktivnosti korisnika AS-a u stvarnom vremenu i procjenu trenutne razine sigurnosti različitih resursa;
  • dodatne komponente, posebice programske komponente za konfiguriranje sustava, instaliranje i postavljanje senzora, arhiviranje i šifriranje informacija itd.

Obrada informacija u ASADP AS uključuje sljedeće faze:

  • snimanje informacija o registraciji pomoću senzora;
  • prikupljanje informacija s pojedinačnih senzora;
  • razmjena informacija između relevantnih agenata sustava;
  • obrada, analiza i korelacija registriranih događaja;
  • prezentacija obrađenih informacija sigurnosnom administratoru u normaliziranom obliku (u obliku izvješća, grafikona i sl.).

Kako bi se minimizirali potrebni računalni resursi, povećala tajnost i pouzdanost sustava, informacije se mogu pohranjivati ​​na različitim elementima AS-a.

Na temelju zadatka da se ASADP AS učini temeljno novim (u usporedbi s postojeće sustave revizija rada korisnika AS-a) svojstva automatizacije, kombinacija centralizacije i decentralizacije, skalabilnost i prilagodljivost, jedna od mogućih strategija za njegovu izgradnju čini se moderna tehnologija inteligentni multi-agentski sustavi, implementirani razvojem integrirane zajednice agenata razne vrste(inteligentni autonomni programi koji implementiraju određene funkcije otkrivanja i suzbijanja radnji korisnika koje su u suprotnosti sa sigurnosnom politikom) i organiziranje njihove interakcije.

Ponekad se dogode događaji koji od nas zahtijevaju odgovor na pitanje. "tko je ovo napravio?" To se može dogoditi "rijetko, ali točno", stoga biste se trebali unaprijed pripremiti za odgovor na pitanje.

Gotovo posvuda postoje odjeli dizajna, računovodstveni odjeli, programeri i druge kategorije zaposlenika koji rade zajedno na grupama dokumenata pohranjenih u javnoj (dijeljenoj) mapi na poslužitelj datoteka ili na jednoj od radnih stanica. Može se dogoditi da netko iz ove mape izbriše važan dokument ili imenik, zbog čega može biti izgubljen rad cijelog tima. U ovom slučaju, administrator sustava suočava se s nekoliko pitanja:

    Kada i u koje vrijeme se pojavio problem?

    Od koje najbliže ovom vremenu sigurnosna kopija treba vratiti podatke?

    Možda je došlo do greške u sustavu koja bi se mogla ponoviti?

Windows ima sustav revizija, omogućujući vam da pratite i zapisujete informacije o tome kada, tko je i korištenjem kojih programskih dokumenata izbrisani. Revizija prema zadanim postavkama nije uključena - samo praćenje zahtijeva određeni postotak snage sustava, a ako sve snimate, opterećenje će postati preveliko. Štoviše, ne mogu nas zanimati sve radnje korisnika, stoga nam Audit politike dopuštaju da omogućimo praćenje samo onih događaja koji su nam stvarno važni.

Sustav Audit ugrađen je u sve operativne sustave MicrosoftWindowsNT: Windows XP/Vista/7, Windows poslužitelj 2000/2003/2008. Nažalost, u sustavima serije Windows Home, revizija je duboko skrivena i previše ju je teško konfigurirati.

Što je potrebno konfigurirati?

Da biste omogućili reviziju, prijavite se s administratorskim pravima na računalo koje omogućuje pristup zajedničkim dokumentima i pokrenite naredbu StartTrčanjegpedit.msc. U odjeljku Konfiguracija računala proširite mapu Windows postavkeSigurnosne postavkeLokalne politikePolitike revizije:

Dvaput kliknite na politiku Pristup objektu revizije (Revizija pristupa objektu) i odaberite potvrdni okvir Uspjeh. Ova postavka omogućuje mehanizam za praćenje uspješnog pristupa datotekama i registru. Doista, zanimaju nas samo uspješni pokušaji brisanja datoteka ili mapa. Omogućite reviziju samo na računalima na kojima su nadzirani objekti izravno pohranjeni.

Samo omogućavanje pravila revizije nije dovoljno; također moramo odrediti koje mape želimo nadzirati. Obično su takvi objekti mape zajedničkih (dijeljenih) dokumenata i mape s proizvodnim programima ili bazama podataka (računovodstvo, skladište itd.) - odnosno resursi s kojima radi nekoliko ljudi.

Nemoguće je unaprijed pogoditi tko će točno izbrisati datoteku, pa je praćenje naznačeno za Svatko. Uspješni pokušaji brisanja nadziranih objekata od strane bilo kojeg korisnika bit će zabilježeni. Pozovite svojstva tražene mape (ako postoji nekoliko takvih mapa, onda sve redom) i na kartici Sigurnost → Napredno → Revizija dodati praćenje subjekta svi njegovih uspješnih pokušaja pristupa Izbrisati I Brisanje podmapa i datoteka:


Može se zabilježiti dosta događaja, pa biste također trebali prilagoditi veličinu dnevnika Sigurnost(Sigurnost), u kojem će biti snimljeni. Za
pokrenite ovu naredbu StartTrčanjeeventvwr. msc. U prozoru koji se pojavi pozovite svojstva sigurnosnog dnevnika i odredite sljedeće parametre:

    Maksimalna veličina dnevnika = 65536 K.B.(za radne stanice) ili 262144 K.B.(za poslužitelje)

    Prebrišite događaje po potrebi.

Zapravo, nije zajamčeno da su navedene brojke točne, već su odabrane empirijski za svaki pojedini slučaj.

Windows 2003/ XP)?

Klik StartTrčanjeeventvwr.msc Sigurnost. PogledFilter

  • Izvor događaja: Sigurnost;
  • Kategorija: Pristup objektu;
  • Vrste događaja: revizija uspjeha;
  • ID događaja: 560;


Pregledajte popis filtriranih događaja, pazeći na sljedeća polja unutar svakog unosa:

  • ObjektIme. Naziv mape ili datoteke koju tražite;
  • SlikaFileIme. Naziv programa koji je izbrisao datoteku;
  • Pristupi. Zatraženi skup prava.

Program može zatražiti nekoliko vrsta pristupa od sustava odjednom - na primjer, Izbrisati+ Sinkroniziraj ili Izbrisati+ čitati_ Kontrolirati. Značajno pravo za nas je Izbrisati.


Dakle, tko je izbrisao dokumente (Windows 2008/ Vidik)?

Klik StartTrčanjeeventvwr.msc i otvorite časopis za pregled Sigurnost. Dnevnik može biti ispunjen događajima koji nisu izravno povezani s problemom. Desnom tipkom miša kliknite Sigurnosni dnevnik i odaberite PogledFilter i filtrirajte svoje gledanje prema sljedećim kriterijima:

  • Izvor događaja: Sigurnost;
  • Kategorija: Pristup objektu;
  • Vrste događaja: revizija uspjeha;
  • ID događaja: 4663;

Nemojte žuriti tumačiti sva brisanja kao zlonamjerna. Ova se funkcija često koristi tijekom normalnog rada programa - na primjer, izvršavanje naredbe Uštedjeti(Uštedjeti), paket programa MicrosoftUred prvo napravite novu privremenu datoteku, spremite dokument u nju, a zatim je izbrišite prethodna verzija datoteka. Isto tako, mnoge aplikacije baze podataka prvo stvaraju privremenu datoteku zaključavanja kada se pokrenu (. lck), zatim ga obrišite pri izlasku iz programa.

U praksi sam imao posla sa zlonamjernim radnjama korisnika. Primjerice, konfliktni zaposlenik određene tvrtke po odlasku s posla odlučio je uništiti sve rezultate svog rada, brišući datoteke i mape s kojima je bio povezan. Događaji ove vrste jasno su vidljivi - generiraju desetke, stotine unosa u sekundi u sigurnosnom dnevniku. Naravno, obnavljanje dokumenata iz SjenaKopije(kopije u sjeni) ili automatski kreirana arhiva svaki dan nije teško, ali u isto vrijeme mogu odgovoriti na pitanja "Tko je ovo napravio?" i "Kada se to dogodilo?"

Potrebu za implementacijom sustava revizije za radnje korisnika u organizacijama bilo koje razine potvrđuju istraživanja tvrtki koje se bave analizom informacijske sigurnosti.

Studija tvrtke Kaspersky Lab, primjerice, pokazala je da je dvije trećine incidenata informacijske sigurnosti (67%) uzrokovano, između ostalog, radnjama slabo informiranih ili nepažljivih zaposlenika. Istodobno, prema studiji ESET-a, 84% tvrtki podcjenjuje rizike uzrokovane ljudskim faktorom.

Zaštita od unutarnjih prijetnji zahtijeva više truda nego zaštita od vanjskih prijetnji. Za suzbijanje vanjskih "štetočina", uključujući viruse i ciljane napade na mrežu organizacije, dovoljno je implementirati odgovarajući softver ili hardversko-softverski sustav. Zaštita organizacije od insajdera zahtijevat će veća ulaganja u sigurnosnu infrastrukturu i dublju analizu. Analitički rad uključuje prepoznavanje tipova prijetnji koje su najkritičnije za poslovanje, kao i izradu “portreta prekršitelja”, odnosno utvrđivanje štete koju korisnik može prouzročiti na temelju svojih kompetencija i ovlasti.

Revizija radnji korisnika neraskidivo je povezana ne samo s razumijevanjem koje točno „rupe“ u sustavu informacijske sigurnosti treba brzo zatvoriti, već i s pitanjem održivosti poslovanja u cjelini. Tvrtke opredijeljene za kontinuirano poslovanje moraju uzeti u obzir da usložnjavanjem i povećanjem procesa informatizacije i automatizacije poslovanja broj internih prijetnji samo raste.

Osim praćenja radnji običnog zaposlenika, potrebno je revidirati poslovanje “super korisnika” - zaposlenika s povlaštenim pravima i, sukladno tome, većim mogućnostima da slučajno ili namjerno realiziraju prijetnju curenja informacija. Ti korisnici uključuju administratore sustava, administratore baza podataka i interne programere softvera. Ovdje također možete dodati privučene IT stručnjake i zaposlenike odgovorne za informacijsku sigurnost.

Implementacija sustava za praćenje radnji korisnika u poduzeću omogućuje snimanje i brzo reagiranje na aktivnosti zaposlenika. Važno: sustav revizije mora biti sveobuhvatan. To znači da informacije o aktivnostima običnog zaposlenika, administratora sustava ili top menadžera treba analizirati na razini operativni sustav, koristeći poslovne aplikacije, na razini mrežnih uređaja, pristup bazama podataka, povezivanje vanjskih medija i sl.

Moderni sustavi sveobuhvatna revizija omogućuje kontrolu svih faza korisničkih radnji od pokretanja do gašenja računala (terminalne radne stanice). Istina, u praksi pokušavaju izbjeći potpunu kontrolu. Ako se sve operacije bilježe u revizijskim zapisnicima, opterećenje infrastrukture informacijskog sustava organizacije višestruko se povećava: radne stanice vise, poslužitelji i kanali rade pod punim opterećenjem. Paranoja glede informacijske sigurnosti može naštetiti poslovanju značajno usporavajući radne procese.

Kompetentan stručnjak za informacijsku sigurnost prvenstveno utvrđuje:

  • koji su podaci u poduzeću najvrjedniji, jer će s njima biti povezana većina internih prijetnji;
  • tko i na kojoj razini može imati pristup vrijednim podacima, odnosno ocrtava krug potencijalnih prekršitelja;
  • u kojoj mjeri trenutne sigurnosne mjere mogu izdržati namjerne i/ili slučajne radnje korisnika.

Primjerice, stručnjaci za informacijsku sigurnost iz financijskog sektora najopasnijima smatraju prijetnje od curenja podataka o plaćanju i zlouporabe pristupa. U industrijskom i transportnom sektoru najveći strahovi su curenje znanja i nelojalno ponašanje radnika. Postoje slični problemi u IT sektoru i telekomunikacijskom poslovanju, gdje su najkritičnije prijetnje curenje vlasničkih razvoja, poslovnih tajni i podataka o plaćanju.

KAO NAJVJEROJATNIJE “TIPIČNE” PREKRŠITELJE ANALITIČARI NAZIVAJU:

  • Top menadžment: izbor je očit - najšire moguće ovlasti, pristup najvrjednijim informacijama. Istovremeno, odgovorni za sigurnost često zatvaraju oči na kršenja pravila informacijske sigurnosti od strane takvih osoba.
  • Nelojalni zaposlenici : da bi se utvrdio stupanj lojalnosti, stručnjaci za informacijsku sigurnost tvrtke trebali bi analizirati radnje pojedinog zaposlenika.
  • Administratori: Profesionalci s povlaštenim pristupom i naprednim ovlastima koji imaju duboko IT znanje podložni su iskušenju da dobiju neovlašteni pristup Do važne informacije;
  • Zaposlenici izvođača/outsourcing : poput administratora, "vanjski" stručnjaci, s velikim znanjem, mogu implementirati različite prijetnje dok su "unutar" informacijskog sustava korisnika.

Određivanje najznačajnijih informacija i najvjerojatnijih napadača pomaže u izgradnji sustava ne potpune, već selektivne kontrole korisnika. Ovo "rastovaruje" informacijski sustav i oslobađa stručnjake za informacijsku sigurnost od suvišnog posla.

Osim selektivnog nadzora, arhitektura audit sustava ima značajnu ulogu u ubrzanju rada sustava, poboljšanju kvalitete analize i smanjenju opterećenja infrastrukture. Suvremeni sustavi za reviziju radnji korisnika imaju distribuiranu strukturu. Na krajnjim radnim stanicama i poslužiteljima instalirani su senzorski agenti koji analiziraju događaje određene vrste i prenose podatke u centre za konsolidaciju i pohranu. Sustavi za analizu snimljenih informacija temeljeni na parametrima sustava pronalaze u zapisnicima revizije činjenice o sumnjivim ili nenormalnim aktivnostima koje se ne mogu odmah pripisati pokušaju implementacije prijetnje. Te se činjenice prenose sustavu odgovora koji obavještava sigurnosnog administratora o kršenju.

Ako se sustav revizije može samostalno nositi s kršenjem (obično takvi sustavi informacijske sigurnosti pružaju metodu potpisa za odgovor na prijetnju), kršenje se automatski zaustavlja, a sve potrebne informacije o prekršitelju, njegovim radnjama i meti prijetnje završi u posebnoj bazi podataka. U tom slučaju, Security Administrator Console vas obavještava da je prijetnja neutralizirana.

Ako sustav nema metode za automatski odgovor na sumnjivu aktivnost, tada se sve informacije za neutralizaciju prijetnje ili za analizu njezinih posljedica prenose na administratorsku konzolu informacijske sigurnosti za ručno izvođenje operacija.

U SUSTAVU ZA NADZOR BILO KOJE ORGANIZACIJE OPERACIJE TREBAJU KONFIGURIRATI:

Revizija korištenja radnih stanica, poslužitelja, kao i vremena (po satima i danima u tjednu) aktivnosti korisnika na njima. Na taj način utvrđuje se izvedivost korištenja informacijskih resursa.

Napomena: Završno predavanje daje konačne preporuke za provedbu tehnička sredstva zaštita povjerljivih podataka, detaljno se obrađuju karakteristike i principi rada InfoWatch rješenja

Programska rješenja InfoWatch

Svrha ovog tečaja nije detaljno upoznavanje s tehničkim detaljima rada InfoWatch proizvoda, pa ćemo ih razmotriti s tehničko marketinške strane. InfoWatch proizvodi temelje se na dvije temeljne tehnologije - filtriranje sadržaja i revizija radnji korisnika ili administratora na radnom mjestu. Također, dio cjelovitog rješenja InfoWatch je i repozitorij informacija koje su napustile informacijski sustav te objedinjena konzola za upravljanje internom sigurnošću.

Filtriranje sadržaja kanala protoka informacija

Osnovno razlikovna značajka InfoWatch filtriranje sadržaja temelji se na korištenju morfološke jezgre. Za razliku od tradicionalnog filtriranja potpisa, InfoWatch tehnologija filtriranja sadržaja ima dvije prednosti - neosjetljivost na elementarno kodiranje (zamjena nekih znakova drugima) i veću izvedbu. Budući da kernel ne radi s riječima, već s korijenskim oblicima, automatski odsijeca korijene koji sadrže miješana kodiranja. Također, rad s korijenima, kojih ima manje od deset tisuća u svakom jeziku, a ne s oblicima riječi, kojih u jezicima ima oko milijun, omogućuje da se pokažu značajni rezultati na prilično neproduktivnoj opremi.

Revizija radnji korisnika

Za praćenje radnji korisnika s dokumentima na radnoj stanici, InfoWatch nudi nekoliko presretača u jednom agentu na radnoj stanici - presretače za rad s datotekama, ispis, rad unutar aplikacija i rad s priključenim uređajima.

Repozitorij informacija koje su svim kanalima napustile informacijski sustav.

Tvrtka InfoWatch nudi repozitorij informacija koje su izašle iz informacijskog sustava. Dokumenti su prolazili kroz sve kanale koji vode izvan sustava - e-mail, Internet, print i prijenosni medij, pohranjuju se u *storage aplikaciji (do 2007. - modul Poslužitelj za pohranu monitora prometa) navodeći sve atribute - puno ime i prezime i položaj korisnika, njegove elektroničke projekcije (IP-adresa, račun ili poštanska adresa), datum i vrijeme transakcije, naziv i atribute dokumenata. Sve informacije su dostupne za analizu, uključujući analizu sadržaja.

Povezane radnje

Uvođenje tehničkih sredstava zaštite povjerljivih podataka čini se neučinkovitim bez korištenja drugih metoda, prvenstveno organizacijskih. Već smo raspravljali o nekima od njih gore. Pogledajmo sada pobliže druge potrebne radnje.

Obrasci ponašanja prekršitelja

Uvođenjem sustava za praćenje radnji s povjerljivim informacijama, osim povećanja funkcionalnosti i analitičkih mogućnosti, možete se razvijati u još dva smjera. Prvi je integracija sustava zaštite od unutarnjih i vanjskih prijetnji. Incidenti posljednjih godina pokazuju da postoji raspodjela uloga između unutarnjih i vanjskih napadača, a kombiniranje informacija iz vanjskih i unutarnjih sustava za praćenje prijetnji omogućit će otkrivanje takvih kombiniranih napada. Jedna od dodirnih točaka između vanjskih i unutarnja sigurnost je upravljanje pravima pristupa, posebno u kontekstu simulacije proizvodne potrebe za povećanjem prava od strane nelojalnih zaposlenika i sabotera. Svi zahtjevi za pristup resursima izvan opsega službenih dužnosti moraju odmah uključiti mehanizam za reviziju radnji poduzetih s tim informacijama. Još je sigurnije riješiti probleme koji se iznenada pojave bez otvaranja pristupa resursima.

Navedimo primjer iz života. Administrator sustava Zaprimljena je prijava voditelja odjela marketinga za otvaranje pristupa financijskom sustavu. Priložen je zadatak za podršku aplikaciji generalni direktor za marketinško istraživanje procesa nabave robe koju proizvodi tvrtka. Budući da je financijski sustav jedan od najzaštićenijih resursa i dopuštenje za pristup njemu daje predsjednik Uprave, napisala je voditeljica odjela informacijske sigurnosti na prijavi alternativno rješenje- ne dati pristup, već anonimizirane (bez navođenja klijenata) podatke učitati u posebnu bazu radi analize. Na primjedbe glavnog marketingaša da mu je nezgodno ovako raditi, direktor mu je postavio pitanje „direktno“: „Zašto vam trebaju imena klijenata - želite li spojiti bazu podataka? ” -nakon čega su svi krenuli na posao. Je li se radilo o pokušaju curenja informacija, nikada nećemo saznati, ali što god bilo, korporativni financijski sustav je zaštićen.

Sprječavanje curenja tijekom pripreme

Drugi smjer razvoja sustava za praćenje internih incidenata s povjerljivim informacijama je izgradnja sustava za sprječavanje curenja. Algoritam rada takvog sustava je isti kao i kod rješenja za sprječavanje upada. Prvo se gradi model uljeza, a iz njega se formira “potpis prekršaja”, odnosno redoslijed radnji uljeza. Ako se nekoliko radnji korisnika poklapa s potpisom kršenja, predviđa se sljedeći korak korisnika, a ako se i on poklapa s potpisom, aktivira se alarm. Na primjer, otvoren je povjerljivi dokument, dio je odabran i kopiran u međuspremnik, zatim je kreiran novi dokument i u njega je kopiran sadržaj međuspremnika. Sustav pretpostavlja: ako se novi dokument zatim spremi bez oznake "povjerljivo", radi se o pokušaju krađe. USB memorija još nije umetnuta, pismo nije generirano, a sustav obavještava službenika za informacijsku sigurnost koji donosi odluku - zaustaviti djelatnika ili pratiti kamo ide informacija. Usput, modeli (u drugim izvorima - "profili") ponašanja počinitelja mogu se koristiti ne samo prikupljanjem informacija od softverskih agenata. Ako analizirate prirodu upita prema bazi podataka, uvijek možete identificirati zaposlenika koji nizom sekvencijalnih upita prema bazi podataka pokušava doći do određene informacije. Potrebno je odmah pratiti što radi s tim zahtjevima, sprema li ih, povezuje li prijenosne medije za pohranu itd.

Organizacija pohrane informacija

Načela anonimizacije i enkripcije podataka preduvjet su organizacije pohrane i obrade, te daljinski pristup može se organizirati korištenjem terminalskog protokola, bez ostavljanja ikakvih informacija na računalu s kojeg se organizira zahtjev.

Integracija sa sustavima za autentifikaciju

Prije ili kasnije, korisnik će morati koristiti sustav za praćenje radnji s povjerljivim dokumentima za rješavanje kadrovskih pitanja - na primjer, otpuštanje zaposlenika na temelju činjenica dokumentiranih ovim sustavom ili čak kazneno gonjenje onih koji su procurili. No, sve što sustav nadzora može pružiti je elektronički identifikator prekršitelja – IP adresa, račun, adresa e-pošte itd. Kako bi se pravno optužio zaposlenik, ovaj identifikator mora biti povezan s pojedincem. Ovdje se otvara integrator novo tržište– implementacija sustava autentifikacije – od jednostavnih tokena do napredne biometrije i RFID identifikatora.

Povezane publikacije: