kryesor-Dritaret-Zgjidhjet e softuerit të infowatch dhe veprimet e lidhura. Sistemi i automatizuar i auditimit (monitorim) Përdorimi i parakushteve të përdoruesve për të zbatuar sistemin

Zgjidhjet e softuerit të infowatch dhe veprimet e lidhura. Sistemi i automatizuar i auditimit (monitorim) Përdorimi i parakushteve të përdoruesve për të zbatuar sistemin

Viktor Lyudov
Menaxheri i Projektit Informsvyaz Holding

Parakushtet për zbatimin e sistemit

Studimi i parë i hapur global i kërcënimeve të sigurimit të informacionit të brendshëm për të mbushur (sipas vitit 2006) tregoi se kërcënimet e brendshme nuk janë më pak të zakonshme (56.5%) sesa të jashtme (malware, spam, hakerët dhe t .d.). Në të njëjtën kohë, në shumicën dërrmuese (77%), arsyeja për zbatimin e kërcënimit të brendshëm është neglizhenca e vetë përdoruesve (mos përmbushja e përshkrimit të vendeve të punës ose neglizhimi mjeti elementar i mbrojtjes së informacionit).

Dinamika e ndryshimeve në situatën në periudhën 2006-2008 Reflektuar në Fig. një.

Rënia relative e pjesëmarrjes së rrjedhjes për shkak të neglizhencës është për shkak të zbatimit të pjesshëm të sistemeve për parandalimin e rrjedhjes së informacionit (duke përfshirë sistemet e monitorimit të përdoruesve), të cilat ofrojnë një shkallë mjaft të lartë të mbrojtjes nga rrjedhjet e rastësishme. Përveç kësaj, është për shkak të rritjes absolute të numrit të vjedhjes së qëllimshme të të dhënave personale.

Përkundër ndryshimit të statistikave, është ende e mundur të pohosh me besim se prioritet është luftimi i rrjedhjeve të paqëllimshme të informacionit, pasi është më e lehtë të kundërvihet rrjedhje e tillë, më e lirë dhe rezultati mbulohet nga shumica e incidenteve.

Në të njëjtën kohë, zyrtarët e neglizhencës, sipas analizës së rezultateve të Studimeve të InfoWatch dhe Perimix për 2004-2008, renditen e dyta në mesin e kërcënimeve më të rrezikshme (rezultatet e hulumtimit të konsoliduara janë paraqitur në Fig. 2), dhe rëndësia e tij vazhdon Rriten së bashku me përmirësimin e softuerëve dhe ndërmarrjeve të automatizuara të harduerit (AC).

Kështu, futja e sistemeve që eliminojnë mundësinë e një ndikimi negativ të një punonjësi në IB për ndërmarrjen ACS (duke përfshirë programet e monitorimit), për të siguruar punonjësit e Shërbimit të IB-së në bazën e provave dhe materialet për hetimin e incidentit, do të eliminojnë Kërcënimi i rrjedhjes për shkak të neglizhencës, zvogëlon ndjeshëm rrjedhjet e rastësishme, dhe gjithashtu pak të reduktojë të qëllimshme. Në fund të fundit, kjo masë duhet të mundësojë të zvogëlojë ndjeshëm realizimin e kërcënimeve nga shkelësit e brendshëm.

Auditimi Modern AU i veprimeve të përdoruesit. Avantazhet dhe disavantazhet

Sistemet e automatizuara të auditimit (monitorimi) i veprimeve të përdoruesve (ASAADP), shpesh të referuara si produkte të monitorimit të softuerit, janë të destinuara për përdorim nga administratorët e sigurisë (organizata IB) për të siguruar pronat e tij të vëzhgimit - "të një sistemi informatik që ju lejon të regjistroni përdoruesin Aktiviteti, si dhe identifikuesit e vendosur në mënyrë unike të përfshirë në ngjarje të caktuara të përdoruesve për të parandaluar shkeljen e politikave të sigurisë dhe / ose sigurimin e përgjegjësisë për veprime të caktuara ".

Prona e vëzhgimit të AK-së, varësisht nga cilësia e zbatimit të tij, ju lejon të monitoroni respektimin e punonjësve të punonjësve të organizimit të politikës së sigurisë dhe rregullave të vendosura për punë të sigurt në kompjuterë.

Përdorimi i produkteve të monitorimit të softuerit, duke përfshirë edhe kohë reale, është projektuar:

  • të përcaktojë (lokalizoni) të gjitha rastet e përpjekjeve për qasje të paautorizuar në informacionin konfidencial me një tregues të saktë të kohës dhe punës së rrjetit nga e cila është kryer një përpjekje e tillë;
  • identifikoni faktet e një instalimi të paautorizuar të softuerit;
  • identifikoni të gjitha rastet e përdorimit të paautorizuar të pajisjeve shtesë (për shembull, modemët, printerët, etj.) Duke analizuar faktet e nisjes së aplikacioneve të specializuara të instaluara pa arsye;
  • përcaktoni të gjitha rastet e vendosura në tastierën e fjalëve dhe frazave kritike, përgatitjen e dokumenteve kritike, transferimi i të cilave për palët e treta do të çojë në dëm material;
  • kontrollin qasje në serverat dhe kompjuterët personalë;
  • kontaktet e kontrollit kur surfing në internet;
  • të kryejë hulumtime lidhur me përcaktimin e saktësisë, efikasitetit dhe përshtatshmërisë së përgjigjes së personelit ndaj ndikimeve të jashtme;
  • të përcaktojë shkarkimin e punëve kompjuterike për organizatën (në kohën e ditës, ditën e javës, etj.) Me qëllim të organizimit shkencor të punës së punës;
  • monitorojnë rastet e përdorimit të kompjuterëve personalë gjatë kohës jofunksionale dhe të identifikojë qëllimin e përdorimit të tillë;
  • merre informacionin e nevojshëm të besueshëm, në bazë të të cilave merren vendime për përshtatjen dhe përmirësimin e politikës së organizatës IB etj.

Zbatimi i këtyre funksioneve arrihet duke zbatuar modulet e agjentëve (sensorët) për stacionet e punës dhe serverët e AC me një studim të mëtejshëm të shtetit ose duke marrë raporte prej tyre. Raportet përpunohen në konsolin e administratorit të sigurisë. Disa sisteme janë të pajisura me servera të ndërmjetëm (pikat e konsolidimit) duke përpunuar zonat e tyre dhe grupet e sigurisë.

Analiza e sistemit të zgjidhjeve të paraqitura në treg (Statwin, menaxher i konfigurimit të Tivoli, Tivoli Remote Control, OpenView Operacionet, "Qarku / Ndërmarrja", Insider) bëri të mundur dallimin e një numri të vetive specifike, duke i dhënë aSADP premtuese për të rritur Treguesit e saj të performancës në krahasim me mostrat e studiuara.

Në përgjithësi, së bashku me një paketë mjaft të gjerë dhe një paketë të madhe opsionesh, sistemet ekzistuese mund të përdoren për të ndjekur aktivitetet e përdoruesve individualë të AC bazuar në një studim të detyrueshëm ciklik (skanim) të të gjitha elementeve të specifikuara të AC (dhe Para së gjithash përdoruesit e ARM-së).

Në të njëjtën kohë, shpërndarja dhe shkalla e AUs moderne, duke përfshirë një numër mjaft të madh të krahut, teknologjive dhe softuerit, në mënyrë të konsiderueshme e komplikon procesin e monitorimit të punës së përdoruesve dhe secila nga pajisjet e rrjetit mund të gjenerojë mijëra mesazhe të auditimit që arrijnë mjaftueshëm Sasi të mëdha të informacionit që kërkojnë bazat e të dhënave të mëdha, shpesh dyfishuese. Këto fonde, ndër të tjera, konsumojnë rrjete të rëndësishme dhe burime hardware, ngarkoni në përgjithësi AC. Ato janë të paqëndrueshme për rikonfigurimin e harduerit dhe softuerit të rrjeteve kompjuterike, nuk janë në gjendje të përshtaten me llojet e panjohura të shkeljeve dhe sulmeve të rrjetit, dhe efikasiteti i zbulimit të shkeljeve të politikave të sigurisë do të varet kryesisht nga frekuenca e skanimit të administratorit të sigurisë.

Një mënyrë për të përmirësuar efikasitetin e sistemeve të specifikuara është rritja e drejtpërdrejtë në frekuencën e skanimit. Kjo në mënyrë të pashmangshme do të çojë në një reduktim të efektivitetit të zbatimit të detyrave kryesore për të cilat, në fakt, ky AU ka për qëllim, për shkak të një rritjeje të konsiderueshme në ngarkesën e informatikës si në Administratorin e Administrimit dhe në kompjuterët e përdoruesve " Workstations, si dhe rritja e trafikut të rrjetit LAN.

Përveç problemeve që lidhen me analizën e një sasi të madhe të të dhënave, në sistemet ekzistuese të monitorimit, ekzistojnë kufizime serioze mbi efikasitetin dhe saktësinë e vendimeve të shkaktuara nga faktori njerëzor i përcaktuar nga aftësitë fizike të administratorit si operator.

Prania në sistemet ekzistuese të monitorimit mundësinë e alarme në veprimet e paautorizuara të paautorizuara të përdoruesve në kohë reale nuk e zgjidh në thelb problemin në tërësi, pasi ju lejon të gjurmoni vetëm më parë llojet e shkeljeve të shkeljeve (metoda e nënshkrimit) dhe është nuk janë në gjendje të kundërshtojnë llojet e reja të shkeljeve.

Zhvillimi dhe përdorimi i metodave të gjera në sistemet për mbrojtjen e metodave të gjera të ofrimit të saj që parashikojnë një rritje në nivelin e mbrojtjes së tij në kurriz të një "përzgjedhjeje" shtesë të burimeve informatike në AU, zvogëlon mundësitë e AU-së për të zgjidhur detyrat për të cilat është menduar, dhe / ose rrit vlerën e saj. Dështimi për t'iu qasur tregut të teknologjisë së teknologjisë së zhvillimit të shpejtë është mjaft e qartë.

Sistemi i automatizuar i auditimit (monitorim) i veprimeve të përdoruesit. Vetitë perspektive

Nga rezultatet e analizës së mësipërme, nevoja e dukshme për të dhënë pronat e mëposhtme në sistemet e monitorimit të perspektivës:

  • automatizimi duke përjashtuar operacionet rutinë "manuale";
  • kombinimet e centralizimit (bazuar në vendin e punës të automatizuar të administratorit të sigurisë) me kontroll në nivelin e elementeve individuale (programet kompjuterike inteligjente) të sistemit të monitorimit të sistemit të përdoruesve të AK-së;
  • scalability që ju lejon të rrisni kapacitetin e sistemeve të monitorimit dhe të zgjeroni aftësitë e tyre pa një rritje të konsiderueshme të burimeve kompjuterike të nevojshme për funksionimin efektiv të tyre;
  • përshtatshmëria ndaj ndryshimit në përbërjen dhe karakteristikat e AC, si dhe shfaqjen e llojeve të reja të shkeljeve të sigurisë.

Struktura e përgjithësuar e Asadp AU, e cila ka shënuar karakteristika të dallueshme, të cilat mund të zbatohen në altoparlantët e qëllimeve dhe aksesorëve të ndryshëm, është paraqitur në Fig. 3.

Struktura e mësipërme përfshin komponentët kryesorë të mëposhtëm:

  • komponentët e sensor-sensor softuer-sensor të vendosura në disa elemente të AU (në vendet e punës të përdoruesve, serverat, pajisjet e rrjetit, mjetet e mbrojtjes së informacionit), të cilat shërbejnë për të rregulluar dhe përpunuar të dhënat e auditimit në kohë reale;
  • dosjet e regjistrimit që përmbajnë informacion të ndërmjetëm rreth operacionit të përdoruesit;
  • komponentët e përpunimit të të dhënave dhe përbërësit vendimmarrës që marrin informacion nga sensorë përmes dosjeve të regjistrimit që analizojnë analizën dhe vendimet e saj për veprimet e mëtejshme (për shembull, për të regjistruar disa informacione në bazën e të dhënave, njoftimin e zyrtarëve, krijimin e raporteve, etj.);
  • një bazë të dhënash të auditimit (baza e të dhënave), që përmban informacione për të gjitha ngjarjet e regjistruara, bazuar në raportet dhe monitoron gjendjen e AC për çdo periudhë të caktuar kohore;
  • komponentët e raportimit dhe certifikatave të bazuara në informacionin e regjistruar në bazën e të dhënave të auditimit dhe të dhënat e filtrimit (sipas datës, nga identifikuesit e përdoruesve, nga workstation, nga ngjarjet e sigurisë etj.);
  • komponenti i ndërfaqes së administratorit të sigurisë që shërben për të menaxhuar punën e ASADP-it me krahun, shikimin dhe shtypjen e informacionit, duke krijuar një lloj tjetër të kërkesave të bazës së të dhënave dhe raporteve të raportimit, duke lejuar në kohë reale për të ndjekur aktivitetet aktuale të përdoruesve të AC dhe për të vlerësuar aktualisht niveli i sigurisë së burimeve të ndryshme;
  • komponentë shtesë, në veçanti, komponentët e konfigurimit të softuerit, instalimin dhe vendosjen e sensorëve, arkivimin dhe encryption e informacionit, etj.

Përpunimi i informacionit në ASAAD AC përfshin hapat e mëposhtëm:

  • fiksimi i sensorëve të informacionit të regjistrimit;
  • mbledhja e informacionit nga sensorë individualë;
  • shkëmbimin e informacionit midis agjentëve përkatës të sistemit;
  • përpunimin, analizën dhe korrelacionin e ngjarjeve të regjistruara;
  • përfaqësimi i informacionit të përpunuar tek administratori i sigurisë në formë të normalizuar (në formën e raporteve, diagrameve, etj.).

Për të minimizuar burimet e kërkuara informatike, duke rritur sekretin dhe besueshmërinë e sistemit, ruajtja e informacionit mund të kryhet në elemente të ndryshme të AC.

Bazuar në detyrën e dhënies së ASADP të ACS të reja (krahasuar me sistemet ekzistuese të auditimit të sistemit të përdoruesve të AC) vetitë e automatizimit, kombinimet e centralizimit dhe decentralizimit, shkallëzimit dhe përshtatshmërisë, një nga strategjitë e mundshme të ndërtimit të saj është E parë nga teknologjia moderne e sistemeve intelektuale multi-agjent të zbatuara duke zhvilluar një agjentë të integruar të komunitetit të llojeve të ndryshme (programe inteligjente jashtë linje që zbatojnë disa funksione të zbulimit dhe kundërshtimit ndaj politikave kontradiktore të sigurisë për veprimet e përdoruesve) dhe organizimin e ndërveprimit të tyre.

Ndonjëherë ngjarjet që kërkojnë që ne t'i përgjigjemi pyetjes "Kush e bëri këtë?" Kjo mund të ndodhë "rrallë, por e prirur", kështu që përgjigja për pyetjen duhet të përgatitet paraprakisht.

Pothuajse kudo ka departamente të projektimit, kontabilitet, zhvillues dhe kategori të tjera të punonjësve që punojnë në grupe të dokumenteve të ruajtura në një dosje të përbashkët (të përbashkët) në një server skedari ose një nga stacionet e punës. Mund të ndodhë që dikush do të fshijë një dokument ose direktori të rëndësishme nga kjo dosje, si rezultat i të cilit mund të humbet puna e të gjithë ekipit. Në këtë rast, disa pyetje lindin tek administratori i sistemit:

    Kur dhe sa ka ndodhur problemi?

    Cila është më e afërt me këtë kohë rezervë ju duhet të rivendosni të dhënat?

    Ndoshta ka pasur një dështim të sistemit që mund të përsëritej përsëri?

Windows ka një sistem Auditim Lejimi për të mbajtur gjurmët e informacionit për kur, nga kush, dokumentet u fshinë. By default, auditimi nuk është i përfshirë - Ndjekja në vetvete kërkon një përqindje të caktuar të fuqisë së sistemit, dhe nëse shkruani gjithçka në një rresht, ngarkesa do të bëhet shumë e madhe. Për më tepër, jo të gjitha veprimet e përdoruesit mund të na interesojnë, kështu që politikat e auditimit ju lejojnë të mundësoni ndjekjen e vetëm këtyre ngjarjeve që janë me të vërtetë të rëndësishme për ne.

Sistemi i auditimit është ndërtuar në të gjitha sistemet operative Microsoft.DritaretNt.: Windows XP / Vista / 7, Windows Server 2000/2003/2008. Për fat të keq, në sistemet e sistemit të Windows Home, auditimi është i fshehur thellë, dhe është shumë e vështirë për ta konfiguruar atë.

Çfarë duhet të konfiguroni?

Për të mundësuar auditimin, të shkoni në të drejtat e administratorit në një kompjuter që siguron qasje në dokumentet e përbashkëta dhe për të ekzekutuar komandën Filloni. Drejtuar. gpedit.msc.. Në seksionin e konfigurimit të kompjuterit, hapni dosjen Cilësimet e Windows Cilësimet e sigurisë Politikat lokale. Politikat e auditimit:

Klikoni dy herë mbi politikën Qasja e objektit të auditimit (Qasja e auditimit në objekte) Dhe përzgjidhni Tick Sukses.. Ky parametër përfshin një mekanizëm për ndjekjen e qasjes së suksesshme në skedarë dhe në regjistrin. Në të vërtetë, sepse ne jemi të interesuar vetëm për përpjekjet e fshira për të fshirë skedarët ose dosjet. Aktivizoni auditimin vetëm në kompjuterët direkt në të cilat ruhen objekte të monitoruara.

Nuk është e mjaftueshme për të mundësuar politikën e auditimit, ne gjithashtu duhet të specifikojmë qasjen në atë lloj dosje duhet të ndjekim. Zakonisht, objekte të tilla janë dosjet e dokumenteve dhe dosjeve të përgjithshme (të përbashkëta) me programet e prodhimit ose bazat e të dhënave (kontabilitetit, depo, etj.) - domethënë burimet me të cilat punojnë disa njerëz.

Guessing paraprakisht i cili pikërisht fshin skedarin është e pamundur, kështu që ndjekja dhe tregohet për të gjithë (të gjithë). Ata që po përpiqeshin të fshinin objekte të monitoruara nga çdo përdorues do të regjistrohen në log. Telefononi vetitë e dosjes së dëshiruar (nëse ka disa dosje të tilla, atëherë të gjithë ata nga ana e tyre) dhe në tab Siguria (Siguria) → Avancuar (Advanced) → Auditim (Auditim) Shtoni probleme për subjektin Të gjithë (të gjithë), përpjekjet e tij të suksesshme të qasjes Fshij dhe Fshij nën-dosjet dhe skedarët:


Ngjarjet mund të përmirësohen shumë, prandaj duhet të rregullojë madhësinë e revistës Sigurim (Siguria)të cilat ata do të regjistrohen. Për
Merrni këtë komandë Filloni.Drejtuar.eventvwr.. mSc.. Në dritaren që shfaqet, telefononi vetitë e regjistrit të sigurisë dhe specifikoni parametrat e mëposhtëm:

    Madhësia maksimale e logarit \u003d 65536 KB. (për workstations) ose 262144 KB. (për serverët)

    Overwrite ngjarjet sipas nevojës.

Në fakt, numrat e specifikuar nuk janë të garantuara të sakta, por janë zgjedhur me përvojë për çdo rast specifik.

Dritaret 2003/ XP.)?

Kliko Filloni. Drejtuar. eventvwr.msc. Siguri. PAMJE.Filtër.

  • Burimi i ngjarjes: Siguria;
  • Kategoria: Qasje e objektit;
  • Llojet e ngjarjeve: Auditimi i suksesit;
  • ID e ngjarjes: 560;


Shfletoni një listë të ngjarjeve të filtruara, duke i kushtuar vëmendje fushave në vijim brenda çdo rekord:

  • Objekt.Emri.. Emrin e dosjes ose dosjes së kërkimit;
  • Imazh.SkedarEmri.. Emri i programit me të cilin dosja fshihet;
  • Qasjet.. Një sërë të drejtave të kërkuara.

Programi mund të kërkojë disa lloje të qasjes në sistem - për shembull, Fshini.+ Sinkronizoj ose Fshini.+ Lexoni._ Kontrolloj. Kuptimplotë për ne të drejtën është Fshini..


Pra, kush fshihet dokumentet (Dritaret 2008/ Vista.)?

Kliko Filloni. Drejtuar. eventvwr.msc. dhe të hapur për shikimin e revistës Siguri. Revista mund të mbushet me ngjarje, qëndrim të drejtpërdrejtë ndaj problemit të mos pasurit. Duke klikuar me të djathtën mbi Regjistrin e Sigurisë, zgjidhni komandën PAMJE.Filtër. Dhe filtroni kriteret e mëposhtme:

  • Burimi i ngjarjes: Siguria;
  • Kategoria: Qasje e objektit;
  • Llojet e ngjarjeve: Auditimi i suksesit;
  • ID e ngjarjes: 4663;

Mos nxitoni për të interpretuar të gjithë heqjen si me qëllim të keq. Kjo veçori përdoret shpesh në funksionimin normal të programeve - për shembull, duke ekzekutuar komandën. Ruaj. (Ruaj), Programet e paketës Microsoft.Zyrë. Së pari krijoni një skedar të ri të përkohshëm, ju e ruani dokumentin në të, pas së cilës ju fshini versionin e mëparshëm të skedarit. Në mënyrë të ngjashme, shumë aplikacione të bazës së të dhënave në fillimin e parë krijojnë një skedar të përkohshëm të bllokimit (. lCK.), Pastaj hiqeni kur largoheni nga programi.

Unë kisha për t'u përballur me të dy veprimet me qëllim të keq të përdoruesve. Për shembull, një oficer i konfliktit të një kompanie, kur shkarkohet nga vendi i punës, vendosi të shkatërrojë të gjitha rezultatet e punës së tij, duke fshirë dosjet dhe dosjet në të cilat ai kishte një marrëdhënie. Ngjarjet e këtij lloji janë të dukshme - ato gjenerojnë dhjetra, qindra të dhëna për sekondë në ditarin e sigurisë. Natyrisht, rivendosja e dokumenteve nga Hije.Kopje. (Kopjet hije) Ose arkivi i përditshëm i krijuar automatikisht nuk është shumë i vështirë, por në të njëjtën kohë unë mund t'i përgjigjem pyetjeve "Kush e bëri atë?" Dhe "kur ndodhi?".

Në nevojën për të zbatuar sistemet e auditimit të sistemit në organizatat e çdo niveli, janë të bindur për hulumtimin e kompanive të analizës së sigurisë së informacionit.

Studimi i laboratorit Kaspersky, për shembull, tregoi: dy të tretat e incidenteve IB (67%) janë shkaktuar duke përfshirë veprimet e punonjësve të dobët ose të pavëmendshëm. Në të njëjtën kohë, sipas hulumtimit ESET, 84% e kompanive nënvlerësojnë rreziqet e shkaktuara nga faktori njerëzor.

Mbrojtja nga kërcënimet në lidhje me përdoruesin "nga brenda" kërkon përpjekje të mëdha se mbrojtja nga kërcënimet e jashtme. Për të luftuar "dëmtuesit" nga jashtë, duke përfshirë viruset dhe sulmet e synuara në rrjetin e organizatës, mjafton për të zbatuar softuerin ose kompleksin e duhur të softuerit dhe harduerit. Për të siguruar organizatën nga sulmuesi i brendshëm, do të kërkohet investime më serioze në infrastrukturën e sigurisë dhe analizën e thellë. Puna analitike përfshin alokimin e llojeve të kërcënimeve, më kritike për biznesin, si dhe përpilimin e "portreteve të shkelësve", domethënë përkufizimet e dëmeve mund të zbatohen, bazuar në kompetencat dhe kompetencat e tij.

Me auditimin e veprimeve të përdoruesve është e lidhur jo vetëm në të kuptuarit e të cilave "Breci" në sistemin e sigurisë së informacionit duhet të mbyllet shpejt, por edhe çështja e qëndrueshmërisë së biznesit në tërësi. Kompanitë e konfiguruara për aktivitete të vazhdueshme duhet të marrin parasysh se me komplikacionin dhe rritjen e procesit të informatave dhe automatizimit të biznesit, numri i kërcënimeve të brendshme rritet vetëm.

Përveç ndjekjes së veprimeve të një punonjësi të zakonshëm, është e nevojshme të auditohen operacionet e "superausers" - punonjës me të drejta të privilegjuara dhe, në përputhje me rrethanat, më gjerësisht ose qëllimisht të zbatojnë kërcënimin e rrjedhjes së informacionit. Përdoruesit e tillë përfshijnë administratorët e sistemit, administratorët e bazës së të dhënave, zhvilluesit e brendshëm të softuerit. Ju gjithashtu mund të shtoni dhe tërheqni specialistët e tij, dhe punonjësit përgjegjës për IB.

Zbatimi i një sistemi për monitorimin e veprimeve të përdoruesve në kompani ju lejon të rregulloni dhe t'i përgjigjeni aktivitetit të punonjësve. E rëndësishme: Sistemi i auditimit duhet të ketë një pronë të përfshirjes. Kjo do të thotë që informacioni në lidhje me aktivitetet e një punonjësi të zakonshëm, një administrator i sistemit ose menaxher i lartë duhet të analizohet në nivelin e sistemit operativ, duke përdorur aplikacionet e biznesit, në nivelin e pajisjeve të rrjetit, apelimet për bazat e të dhënave, lidhjen e mediave të jashtme, Dhe kështu me radhë.

Sistemet e auditimit të integruar moderne ju lejojnë të kontrolloni të gjitha hapat e veprimeve të përdoruesit nga fillimi për të fikur PC (vendi i punës terminal). Vërtetë, në praktikë kontrolli total është duke u përpjekur për të shmangur. Nëse në regjistrin e auditimit për të regjistruar të gjitha operacionet, ngarkesa në infrastrukturën e sistemit të informacionit të organizatës po rritet në mënyrë të përsëritur: "Hang" workstations, serverat dhe kanalet punojnë nën ngarkesë të plotë. Paranoja në çështjen e sigurisë së informacionit mund të dëmtojë biznesin, duke ngadalësuar dukshëm rrjedhat e punës.

Një specialist kompetent i sigurisë së informacionit përcakton kryesisht:

  • cilat të dhëna në kompani janë më të vlefshme, pasi shumica e kërcënimeve të brendshme do të lidhen me to;
  • kush dhe në atë nivel mund të kenë qasje në të dhëna të vlefshme, domethënë, përshkruan rrethin e ndërhyrës potencial;
  • sa masat aktuale të mbrojtjes janë në gjendje të përballojnë veprimet e qëllimshme dhe / ose të rastit të përdoruesve.

Për shembull, specialistët IB nga sektori financiar konsiderojnë kërcënimet më të rrezikshme për rrjedhjen e të dhënave të pagesave dhe abuzimin e qasjes. Në sektorin industrial dhe të transportit, rrjedhjet e know-how dhe sjellja e pabindur e punëtorëve janë më të frikësuar. Shqetësime të ngjashme në biznesin e TI-Sfere dhe telekomunikacionit, ku kërcënimet më kritike të rrjedhjes së zhvillimeve të tyre, sekretet komerciale dhe informacionin e pagesës.

Si ndërhyrës "tipike" më të mundshme të analytics alokuar:

  • Menaxhimi i lartë: Zgjedhja është e qartë - fuqitë më të gjera të mundshme, qasja në informacionin më të vlefshëm. Në të njëjtën kohë, përgjegjës për sigurinë shpesh mbyll sytë ndaj shkeljeve të rregullave të IB me figura të tilla.
  • Punonjësit e foshnjave : Për të përcaktuar shkallën e besnikërisë, specialistët IB të kompanisë duhet të kryhen nga veprimet analitike të një punonjësi të veçantë.
  • Administrator: Specialistë me qasje të preferuar dhe kompetenca të avancuara me njohuri të thella në sferën e TI-së janë të ndjeshëm për t'u joshur për të marrë qasje të paautorizuar në informata të rëndësishme;
  • Punonjësit e organizatave kontraktuese / outsourcing : Ashtu si administratorët, ekspertët "nga jashtë", posedojnë njohuri të gjera, mund të realizojnë kërcënime të ndryshme nga "brenda" sistemit të informacionit të klientit.

Përkufizimi i informacionit më të rëndësishëm dhe sulmuesit më të mundshëm ndihmojnë në ndërtimin e një sistemi të kontrollit jo të përgjithshëm, por selektiv. Ajo "shkarkon" sistemin e informacionit dhe eliminon specialistët e IB nga puna e tepërt.

Përveç monitorimit selektiv, një rol të rëndësishëm në përshpejtimin e funksionimit të sistemit, përmirësimin e cilësisë së analizës dhe reduktimin e ngarkesës në infrastrukturë luan arkitekturën e sistemeve të auditimit. Sistemet e auditimit të sistemit modern të veprimeve të përdoruesve kanë një strukturë të shpërndarë. Në fund të punës dhe serverat, janë instaluar sensorë, të cilët analizojnë ngjarjet e një lloji të caktuar dhe transmetojnë të dhëna për konsolidimin dhe qendrat e ruajtjes. Analiza e informacionit fiks mbi sistemin e vendosur në sistem është gjetur në revistat e auditimit faktet e veprimtarisë së dyshimtë ose jonormale, të cilat nuk mund t'i atribuohen menjëherë përpjekjes për të realizuar kërcënimin. Këto fakte transmetohen në sistemin e përgjigjes që po vë në dukje administratorin e sigurisë për shkelje.

Nëse sistemi i auditimit është në gjendje të përballojë në mënyrë të pavarur shkeljen (zakonisht komplekset e tilla të IB-së ofrojnë një metodë reagimi kundër kërcënimit), atëherë shkelja furnizohet automatikisht dhe të gjitha informacionet e nevojshme për shkelësit, veprimet e saj dhe objektin e kërcënimeve bien në një bazë të dhënash të veçantë. Administratori i Sigurisë Konsol në këtë rast njofton kërcënimin për të neutralizuar.

Nëse sistemi nuk përfshin metoda automatike të përgjigjes për veprimtari të dyshimtë, atëherë të gjitha informatat për neutralizimin e kërcënimit ose për të analizuar pasojat e saj i transmetohen konsolës së administratorit të IB për të kryer operacionet në mënyrën manuale.

Në sistemin e monitorimit të ndonjë organizate, duhet të konfiguroni operacionet:

Përdorimi i auditimit të workstations, servers, si dhe koha (deri në orën dhe ditët e javës) aktiviteti mbi ta të përdoruesit. Në këtë mënyrë, është themeluar mundësia e përdorimit të burimeve të informacionit.

Shënim: Në ligjëratën përfundimtare, rekomandimet e fundit i jepen futjes së mjeteve teknike të mbrojtjes së informacionit konfidencial, karakteristikat dhe parimet e funksionimit të zgjidhjeve të InfoWatch konsiderohen në detaje.

Zgjidhjet e softuerit të infowatch

Qëllimi i këtij kursi nuk është një njohës i hollësishëm me detajet teknike të punës së produkteve të InfoWatch, prandaj i konsiderojnë ato nga marketingu teknik. Produktet e InfoWatch bazohen në dy teknologji themelore - filtrimin e përmbajtjes dhe auditimin e veprimeve ose administratorit të përdoruesit në vendin e punës. Gjithashtu një pjesë integrale e Zgjidhjes së Integruar të InfoWatch është depoja e informacionit që ka udhëhequr sistemin e informacionit dhe një konsol të vetëm të menaxhimit të brendshëm të sigurisë.

Filtrimi i përmbajtjes së kanaleve të trafikut të informacionit

Tipari kryesor dallues i mbushjes së filtrimit të përmbajtjes është përdorimi i bërthamës morfologjike. Në kontrast me filtrimin tradicional të nënshkrimit, teknologjia e filtrimit të përmbajtjes së Inteowatch ka dy avantazhe - insizitiv ndaj kodimit fillor (duke zëvendësuar disa karaktere për të tjerët) dhe performancë më të lartë. Meqenëse kerneli nuk punon me fjalë, por me forma rrënjësore, automatikisht ndërpret rrënjët që përmbajnë kodime të përziera. Gjithashtu, punoni me rrënjët, të cilat në çdo gjuhë janë më pak se dhjetë mijë, dhe jo me fjalë të fjalëve, të cilat në gjuhë rreth një milion, ju lejon të tregoni rezultate të rëndësishme në pajisje të mjaftueshme jo-produktive.

Auditimi i veprimeve të përdoruesit

Për të monitoruar veprimet e përdoruesve me dokumentet në workstation infowatch, ofron disa interceptues në një agjent në operacionet e skedarëve të punës, operacionet e printimit, operacionet brenda aplikacioneve, operacionet me pajisje të bashkangjitura.

Depoja e informacionit që u largua nga sistemi i informacionit në të gjitha kanalet.

InfoWatch ofron depo e informacionit që ka udhëhequr sistemin e informacionit. Dokumentet e kaluara nëpër të gjitha kanalet që çuan jashtë sistemit - e-mail, internet, shtypje dhe media të ndërrueshme ruhen në aplikacionin * ruajtje (deri në vitin 2007 - modul Serveri i ruajtjes së monitorimit të trafikut) Me të gjitha atributet - emri i plotë dhe pozicioni i përdoruesit, parashikimet e saj elektronike (adresat IP, llogaria ose adresa postare), datat dhe koha e funksionimit, emri dhe atributet e dokumenteve. Të gjitha informatat janë në dispozicion për analizë, duke përfshirë përmbajtjen.

Veprimet e ngjashme

Futja e mjeteve teknike të mbrojtjes së informacionit konfidencial është joefektiv pa përdorimin e metodave të tjera, kryesisht organizative. Mbi, ne kemi konsideruar tashmë disa prej tyre. Tani le të qëndrojmë më hollësisht për veprimet e tjera të nevojshme.

Modele të sjelljes së shkelësve

Zgjerimi i një sistemi për monitorimin e veprimeve me informacionin konfidencial, përveç rritjes së funksionalitetit dhe aftësive analitike, është e mundur të zhvillohet në dy drejtime. E para është integrimi i sistemeve të mbrojtjes nga kërcënimet e brendshme dhe të jashtme. Incidentet e viteve të fundit tregojnë se ekziston një shpërndarje e roleve midis ndërhyrësve të brendshëm dhe të jashtëm, dhe kombinimi i informacionit nga sistemet e monitorimit të kërcënimeve të jashtme dhe të brendshme do të lejojë të zbulojë faktet e sulmeve të tilla të kombinuara. Një nga pikat e kontaktit të sigurisë së jashtme dhe të brendshme është të menaxhojë të drejtat e qasjes, veçanërisht në kontekstin e simulimit të prodhimit nevojë për të rritur të drejtat e tyre me punonjës të pabesë dhe Sabota. Çdo aplikim për qasje në burime që nuk parashikohet nga detyrat zyrtare duhet të përfshijë menjëherë një mekanizëm për veprimet e auditimit me këtë informacion. Është ende më e sigurt për të zgjidhur papritmas që lind detyra pa hapjen e qasjes në burime.

Ne japim një shembull nga jeta. Administratori i sistemit mori një ofertë nga kreu i departamentit të marketingut për hapjen e qasjes në sistemin financiar. Si një provë e aplikimit, u zbatua një caktim i drejtorit të përgjithshëm për studimet e marketingut të proceseve të blerjes së mallrave të prodhuara nga kompania. Meqenëse sistemi financiar është një nga burimet më të mbrojtura dhe leja për të hyrë në të, i jep CEO, kreu i departamentit të sigurisë së informacionit në aplikacion shkruan një zgjidhje alternative - për të mos u dhënë qasje, por për të shkarkuar në një bazë të veçantë për analizë një të dhëna të papërcaktuar (pa klientë). Në përgjigje të kundërshtimeve të marketerit kryesor që ishte i papërshtatshëm për të punuar kështu, ai u pyet nga drejtori "në ballë": "Pse keni nevojë për emrat e konsumatorëve - a doni të bashkoni bazën?" -Për të gjithë shkuan në punë. Nëse ishte një përpjekje për të organizuar rrjedhjen e informacionit, ne kurrë nuk do të mësojmë, por çfarëdo qoftë ajo, sistemi financiar i korporatave është mbrojtur.

Parandaloni rrjedhjen në fazën e përgatitjes

Një drejtim tjetër i zhvillimit të sistemit të monitorimit të incidenteve të brendshme me informacion konfidencial është ndërtimi i një sistemi të parandalimit të rrjedhjeve. Algoritmi i punës së një sistemi të tillë është i njëjtë si në zgjidhjet për të parandaluar ndërhyrjen. Së pari, është ndërtuar modeli i ndërhyrës, formohet "nënshkrimi i shkeljes", domethënë sekuencën e veprimeve të ndërhyrës. Nëse disa veprime të përdoruesve përputheshin me një nënshkrim shkelje, hapi tjetër i përdoruesit parashikohet nëse përkon me nënshkrimin - alarmi është ushqyer. Për shembull, u hap një dokument konfidencial, një pjesë e saj u theksua dhe u kopjua në tampon, atëherë u krijua një dokument i ri dhe përmbajtja e tamponit u kopjua. Sistemi sugjeron: nëse dokumenti i ri do të shpëtohet pa etiketë "konfidenciale" - kjo është një përpjekje për rrëmbim. Një makinë USB nuk është futur, një letër nuk formohet, dhe sistemi informon një oficer të sigurisë së informacionit që merr një vendim - për të ndaluar punonjësin ose gjurmimin ku shkon informacioni. Nga rruga, modeli (në burime të tjera - "profilet") të sjelljes së shkelësit mund të përdoret, jo vetëm mbledhjen e informacionit nga agjentët e softuerit. Nëse mund të analizoni natyrën e pyetjeve të bazës së të dhënave, gjithmonë mund të identifikoni një punonjës që një numër pyetjesh të njëpasnjëshme në bazë të bazës po përpiqen të marrin një numër të caktuar informacioni. Është e nevojshme që menjëherë të gjurmohen atë që ai bën me këto kërkesa, pavarësisht nëse i mbajnë ato, nëse mediat e ndërrueshme lidhen dhe kështu me radhë.

Organizimi i ruajtjes së informacionit

Parimet e anonimizimit dhe encryption të të dhënave janë një parakusht për organizimin e magazinimit dhe përpunimit, dhe qasja e largët mund të organizohet duke përdorur protokollin e terminalit, pa lënë kompjuterin nga i cili është organizuar kërkesa, nuk ka informacion.

Integrimi me sistemet e autentifikimit

Herët ose vonë, konsumatori do të duhet të përdorë një sistem monitorimi me dokumente konfidenciale për të zgjidhur çështjet e personelit - për shembull, shkarkimin e të punësuarve në bazë të fakteve të dokumentuara nga ky sistem apo edhe ndjekjen e personave që lejuan rrjedhjen. Megjithatë, çdo gjë që mund të japë një sistem monitorimi është një identifikues elektronik i brendshëm - adresa IP, llogari, adresë e-mail, etj. Për të akuzuar ligjërisht punonjësin, ju duhet ta lidhni këtë identifikues për personin. Këtu, integruesi hap një treg të ri - futja e sistemeve të autentifikimit është nga shenjat e thjeshta në biometrikën e avancuar dhe identifikuesit e RFID.

Publikime të ngjashme: