Windows Auditin käyttäminen käyttäjien toiminnan seuraamiseen. Infowatch ohjelmistoratkaisut ja niihin liittyvät toiminnot Käyttäjien toimintojen auditointi

Huomautus: Loppuluennolla annetaan viimeisimmät suositukset luottamuksellisten tietojen suojaamisen teknisten keinojen käyttöönotosta sekä käsitellään yksityiskohtaisesti InfoWatch-ratkaisujen ominaisuuksia ja toimintaperiaatteita.

InfoWatch-ohjelmistoratkaisut

Tämän kurssin tarkoituksena ei ole yksityiskohtainen tutustuminen InfoWatch-tuotteiden toiminnan teknisiin yksityiskohtiin, joten tarkastelemme niitä teknisen markkinoinnin puolelta. InfoWatch-tuotteet perustuvat kahteen perusteknologiaan - sisällön suodatukseen ja käyttäjien tai järjestelmänvalvojien toimintojen auditointiin työpaikalla. Osana kattavaa InfoWatch-ratkaisua on myös tietojärjestelmästä poistunut tietovarasto ja yhtenäinen sisäisen turvallisuuden hallintakonsoli.

Tiedonkulkukanavien sisällön suodatus

InfoWatch-sisällönsuodatuksen tärkein erottuva piirre on morfologisen ytimen käyttö. Toisin kuin perinteinen allekirjoitussuodatus, InfoWatch-sisällönsuodatustekniikalla on kaksi etua - epäherkkyys alkeiskoodaukselle (joiden merkkien korvaaminen toisilla) ja parempi suorituskyky. Koska ydin ei toimi sanojen, vaan juurimuotojen kanssa, se katkaisee automaattisesti juuret, jotka sisältävät sekoitettuja koodauksia. Myös juurilla, joita kussakin kielessä on alle kymmenentuhatta, eikä sanamuotoilla, joita on noin miljoona kielillä, työskentely mahdollistaa merkittävien tulosten näyttämisen melko tuottamattomilla laitteilla.

Käyttäjien toimintojen auditointi

InfoWatch tarjoaa useita sieppaajia työasemassa olevien asiakirjojen kanssa työasemassa olevien käyttäjien toimien valvomiseksi - sieppaajat tiedostotoimintoja, tulostustoimintoja, sovellusten sisäisiä toimintoja ja liitettyjä laitteita varten.

Tietojärjestelmästä kaikkia kanavia pitkin poistunut tietovarasto.

InfoWatch-yritys tarjoaa arkiston tietojärjestelmästä poistuneista tiedoista. Kaikkien järjestelmän ulkopuolelle johtavien kanavien - sähköposti, Internet, tulostus ja irrotettavat tietovälineet - läpi kulkeneet asiakirjat tallennetaan *tallennussovellukseen (2007 asti - moduuli Traffic Monitor Storage Server), jossa ilmoitetaan kaikki attribuutit - käyttäjän koko nimi ja asema, hänen sähköiset ennusteensa (IP-osoite, tili- tai postiosoite), tapahtuman päivämäärä ja kellonaika, nimi ja asiakirjan attribuutit. Kaikki tiedot ovat analysoitavissa, mukaan lukien sisältöanalyysi.

Aiheeseen liittyvät toiminnot

Teknisten keinojen käyttöönotto luottamuksellisten tietojen suojaamiseksi vaikuttaa tehottomalta ilman muita, ensisijaisesti organisatorisia, menetelmiä. Olemme jo keskustelleet joistakin niistä edellä. Tarkastellaan nyt tarkemmin muita tarpeellisia toimia.

Rikkojien käyttäytymismalleja

Ottamalla käyttöön luottamuksellisten tietojen seurantajärjestelmän toiminnallisuuden ja analyyttisten valmiuksien lisäämisen lisäksi voit kehittyä vielä kahteen suuntaan. Ensimmäinen on suojajärjestelmien integrointi sisäisiä ja ulkoisia uhkia vastaan. Viime vuosien tapaukset osoittavat, että roolit jakautuvat sisäisten ja ulkoisten hyökkääjien välillä, ja ulkoisten ja sisäisten uhkien seurantajärjestelmien tietojen yhdistäminen mahdollistaa tällaisten yhdistettyjen hyökkäysten havaitsemisen. Yksi ulkoisen ja sisäisen turvallisuuden kosketuspisteistä on käyttöoikeuksien hallinta, erityisesti siinä yhteydessä, kun simuloidaan epälojaalien työntekijöiden ja sabotoijien tuotantotarvetta lisätä oikeuksia. Kaikkiin virallisten tehtävien ulkopuolisiin resursseihin pääsyä koskeviin pyyntöihin on sisällytettävä välittömästi mekanismi näiden tietojen perusteella toteutettujen toimien tarkastamiseksi. On vielä turvallisempaa ratkaista yhtäkkiä ilmaantuvat ongelmat avaamatta resursseja.

Otetaan esimerkki elämästä. Järjestelmänvalvoja sai markkinointiosaston johtajalta pyynnön avata pääsy talousjärjestelmään. Hakemuksen perusteluksi liitettiin toimitusjohtajan toimeksianto yrityksen valmistamien tavaroiden ostoprosessien markkinointitutkimukseen. Koska talousjärjestelmä on yksi suojatuimmista resursseista ja luvan käyttää sitä antaa pääjohtaja, tietoturvaosaston päällikkö kirjoitti hakemukseen vaihtoehtoisen ratkaisun - ei anna pääsyä, vaan lataa anonymisoituna (määrittämättä asiakkaat) tiedot erityiseen tietokantaan analysointia varten. Vastauksena päämarkkinoijan vastalauseisiin, että hänelle oli epämukavaa työskennellä näin, johtaja esitti hänelle kysymyksen "päässä": "Miksi tarvitset asiakkaiden nimiä - haluatko yhdistää tietokannan? ” - jonka jälkeen kaikki menivät töihin. Emme koskaan tiedä, oliko tämä yritys vuotaa tietoa, mutta olipa se mikä tahansa, yritysten rahoitusjärjestelmä oli suojattu.

Vuotojen estäminen valmistuksen aikana

Toinen suunta järjestelmän kehittämiseen sisäisten tapahtumien valvontaan luottamuksellisella tiedolla on vuotojen estojärjestelmän rakentaminen. Tällaisen järjestelmän toiminta-algoritmi on sama kuin tunkeutumisenestoratkaisuissa. Ensin rakennetaan tunkeilijan malli ja siitä muodostetaan "rikkomusallekirjoitus", eli tunkeilijan toimintasarja. Jos useat käyttäjän toimet osuvat yhteen rikkomusallekirjoituksen kanssa, ennustetaan käyttäjän seuraava askel ja jos se myös vastaa allekirjoitusta, annetaan hälytys. Esimerkiksi luottamuksellinen dokumentti avattiin, osa siitä valittiin ja kopioitiin leikepöydälle, sitten luotiin uusi asiakirja ja kopioitiin leikepöydän sisältö siihen. Järjestelmä olettaa: jos uusi dokumentti sitten tallennetaan ilman "luottamuksellinen" -merkkiä, kyseessä on varastamisyritys. USB-asemaa ei ole vielä asetettu, kirjettä ei ole luotu ja järjestelmä ilmoittaa tietoturvapäällikölle, joka tekee päätöksen - pysäyttääkö työntekijä tai seurataanko tiedot menevät. Muuten, malleja (muissa lähteissä - "profiilit") rikoksentekijän käyttäytymisestä voidaan käyttää paitsi keräämällä tietoja ohjelmistoagenteista. Jos analysoit tietokantaan kohdistuvien kyselyjen luonnetta, voit aina tunnistaa työntekijän, joka yrittää saada tiettyä tietoa peräkkäisten kyselyiden avulla tietokantaan. On välittömästi seurattava, mitä se tekee näillä pyynnöillä, tallentaako ne, yhdistääkö se siirrettäviä tallennusvälineitä jne.

Tietojen tallennuksen järjestäminen

Tietojen anonymisoinnin ja salauksen periaatteet ovat edellytyksenä tallennuksen ja käsittelyn järjestämiselle, ja etäkäyttö voidaan järjestää pääteprotokollan avulla jättämättä tietoja tietokoneelle, josta pyyntö järjestetään.

Integrointi todennusjärjestelmiin

Ennemmin tai myöhemmin asiakkaan on käytettävä järjestelmää, joka valvoo toimia luottamuksellisten asiakirjojen avulla henkilöstöongelmien ratkaisemiseksi - esimerkiksi irtisanomalla työntekijöitä tämän järjestelmän dokumentoimien tosiasioiden perusteella tai jopa nostamalla syytteeseen vuotaneita. Valvontajärjestelmä voi kuitenkin tarjota vain rikoksentekijän sähköisen tunnisteen - IP-osoitteen, tilin, sähköpostiosoitteen jne. Jotta työntekijää voidaan syyttää laillisesti, tämä tunniste on linkitettävä henkilöön. Täällä avautuvat integraattorille uudet markkinat - todennusjärjestelmien toteuttaminen - yksinkertaisista tunnuksista kehittyneisiin biometrisiin ja RFID-tunnisteisiin.

Tietoturvaanalyyseihin osallistuvien yritysten tutkimukset vahvistavat tarpeen ottaa käyttöön auditointijärjestelmiä käyttäjien toimiin kaikentasoisissa organisaatioissa.

Esimerkiksi Kaspersky Labin tutkimus osoitti, että kaksi kolmasosaa tietoturvahäiriöistä (67 %) johtuu muun muassa huonosti perillä olevien tai välinpitämättömien työntekijöiden toiminnasta. Samaan aikaan ESETin tutkimuksen mukaan 84 % yrityksistä aliarvioi inhimillisen tekijän aiheuttamat riskit.

Sisäpiirin uhkia vastaan ​​suojaaminen vaatii enemmän vaivaa kuin ulkoisilta uhilta suojautuminen. Ulkoisten "tuholaisten" torjumiseksi, mukaan lukien virukset ja kohdistetut hyökkäykset organisaation verkkoon, riittää, että otetaan käyttöön asianmukainen ohjelmisto tai laitteisto-ohjelmistojärjestelmä. Organisaation suojaaminen sisäpiiriläisiltä vaatii suurempia investointeja tietoturvainfrastruktuuriin ja syvempää analysointia. Analyyttiseen työhön sisältyy liiketoiminnan kannalta kriittisimpien uhkien tunnistaminen sekä "rikkojien muotokuvien" laatiminen eli sen määrittäminen, mitä vahinkoa käyttäjä voi pätevyytensä ja kykyjensä perusteella aiheuttaa.

Käyttäjien toimintojen auditointi liittyy erottamattomasti paitsi sen ymmärtämiseen, mitkä tietoturvajärjestelmän ”aukot” on nopeasti korjattava, vaan myös koko liiketoiminnan kestävyyteen. Jatkuvaan toimintaan sitoutuneiden yritysten on otettava huomioon, että tietotekniikan ja liiketoiminnan automatisoinnin prosessien monimutkaistuessa ja lisääntyessä sisäisten uhkien määrä vain kasvaa.

Tavallisen työntekijän toiminnan seurannan lisäksi on tarpeen tarkastaa "superkäyttäjien" - etuoikeutettujen työntekijöiden - toiminta ja vastaavasti suuremmat mahdollisuudet vahingossa tai tahallisesti toteuttaa tietovuodon uhka. Näitä käyttäjiä ovat järjestelmänvalvojat, tietokannan ylläpitäjät ja sisäiset ohjelmistokehittäjät. Täällä voit myös lisätä houkutellut IT-asiantuntijat ja tietoturvasta vastaavat työntekijät.

Käyttäjien toiminnan seurantajärjestelmän käyttöönotto yrityksessä mahdollistaa työntekijöiden toiminnan tallentamisen ja nopean reagoinnin. Tärkeää: auditointijärjestelmän on oltava kattava. Tämä tarkoittaa sitä, että tavallisen työntekijän, järjestelmänvalvojan tai ylimmän esimiehen toimintaa koskevat tiedot on analysoitava käyttöjärjestelmän tasolla, yrityssovellusten käytössä, verkkolaitteiden tasolla, pääsy tietokantoihin, ulkoisen median liittäminen ja pian.

Nykyaikaiset kattavat auditointijärjestelmät mahdollistavat käyttäjän toimintojen kaikkien vaiheiden tarkkailun käynnistyksestä PC:n (päätetyöaseman) sammutukseen. Totta, käytännössä he yrittävät välttää täydellistä kontrollia. Jos kaikki toiminnot kirjataan auditointilokeihin, organisaation tietojärjestelmäinfrastruktuurin kuormitus kasvaa moninkertaiseksi: työasemat roikkuvat, palvelimet ja kanavat toimivat täydellä kuormalla. Tietoturvaan liittyvä vainoharhaisuus voi vahingoittaa liiketoimintaa hidastamalla työprosesseja merkittävästi.

Pätevä tietoturva-asiantuntija määrittää ensisijaisesti:

  • mikä tieto yrityksessä on arvokkainta, koska useimmat sisäiset uhat liittyvät siihen;
  • kenellä ja millä tasolla voi olla pääsy arvokkaisiin tietoihin, eli hahmotellaan mahdollisten rikkojien piiriä;
  • missä määrin nykyiset turvatoimenpiteet kestävät tahallisia ja/tai tahattomia käyttäjän toimia.

Esimerkiksi finanssialan tietoturva-asiantuntijat pitävät vaarallisimpana uhkana maksutietojen vuotamista ja pääsyn väärinkäyttöä. Teollisuus- ja kuljetusalalla suurimmat pelot ovat osaamisen vuotaminen ja työntekijöiden epälojaaleja käytös. Samanlaisia ​​huolenaiheita on IT-alalla ja tietoliikennealalla, jossa kriittisimmät uhat ovat omistuskehitysten, liikesalaisuuksien ja maksutietojen vuotaminen.

TODENNÄKÖISESTI "TYYPPILISISIÄ" RIKKOJA, ANALYTTISET ILMOITTAVAT:

  • Ylin johto: valinta on ilmeinen - laajimmat mahdolliset valtuudet, pääsy arvokkaimpiin tietoihin. Samaan aikaan turvallisuudesta vastaavat usein sulkevat silmänsä tällaisten henkilöiden tietoturvasääntöjen rikkomiselta.
  • Epälojaaleja työntekijöitä : lojaalisuuden asteen määrittämiseksi yrityksen tietoturvaasiantuntijoiden tulee analysoida yksittäisen työntekijän toimia.
  • Järjestelmänvalvojat: Asiantuntijat, joilla on etuoikeutettu käyttöoikeus ja kehittyneet valtuudet, joilla on syvällinen tieto IT-alalta, ovat alttiita houkutukselle päästä luvatta käsiksi tärkeisiin tietoihin.
  • Urakoitsijan työntekijät / ulkoistaminen : kuten ylläpitäjät, "ulkopuoliset" asiantuntijat, joilla on laaja tietämys, voivat toteuttaa erilaisia ​​uhkia ollessaan "sisällä" asiakkaan tietojärjestelmässä.

Merkittävimpien tietojen ja todennäköisimpien hyökkääjien määrittäminen auttaa rakentamaan järjestelmän, jossa ei ole täydellistä, vaan valikoivaa käyttäjähallintaa. Tämä "purkaa" tietojärjestelmän ja vapauttaa tietoturva-asiantuntijat turhasta työstä.

Valikoivan seurannan lisäksi auditointijärjestelmien arkkitehtuurilla on merkittävä rooli järjestelmän toiminnan nopeuttamisessa, analyysin laadun parantamisessa ja infrastruktuurin kuormituksen vähentämisessä. Nykyaikaisilla käyttäjien toimintojen auditointijärjestelmillä on hajautettu rakenne. Lopputyöasemille ja palvelimille asennetaan anturiagentit, jotka analysoivat tietyn tyyppisiä tapahtumia ja välittävät dataa konsolidointi- ja tallennuskeskuksiin. Järjestelmät, jotka analysoivat tallennettuja tietoja järjestelmäparametrien perusteella, löytävät tarkastuslokeista tosiasioita epäilyttävästä tai poikkeavasta toiminnasta, jota ei voida välittömästi katsoa uhan toteuttamisyritykseksi. Nämä tosiasiat välitetään vastausjärjestelmään, joka ilmoittaa rikkomuksesta tietoturvavastaavalle.

Jos auditointijärjestelmä pystyy itsenäisesti selviytymään rikkomuksesta (yleensä tällaiset tietoturvajärjestelmät tarjoavat allekirjoitusmenetelmän uhkaan reagoimiseksi), rikkomus lopetetaan automaattisesti ja kaikki tarvittavat tiedot rikkojasta, hänen toimistaan ​​ja kohteesta uhka päätyy erityiseen tietokantaan. Tässä tapauksessa Security Administrator Console ilmoittaa, että uhka on neutraloitu.

Jos järjestelmällä ei ole keinoja reagoida automaattisesti epäilyttävään toimintaan, kaikki tiedot uhan neutraloimiseksi tai sen seurausten analysoimiseksi siirretään tietoturvan järjestelmänvalvojan konsoliin toimintojen suorittamista varten manuaalisesti.

JOKAINEN ORGANISAATIO SEURANTAJÄRJESTELMÄSSÄ TOIMINNOT ON MÄÄRITTÄVÄ:

Tarkkaile työasemien, palvelimien käyttöä sekä käyttäjien toimintaa niillä (tuntien ja viikonpäivien mukaan). Tällä tavalla selvitetään tietoresurssien käytön toteutettavuus.

Joskus tapahtuu tapahtumia, jotka vaativat vastausta kysymykseen. "kuka teki sen?" Tämä voi tapahtua "harvoin, mutta tarkasti", joten sinun tulee valmistautua vastaukseen kysymykseen etukäteen.

Melkein kaikkialla on suunnitteluosastoja, kirjanpitoosastoja, kehittäjiä ja muita työntekijäryhmiä, jotka työskentelevät yhdessä asiakirjaryhmien parissa, jotka on tallennettu julkisesti käytettävään (jaettu) kansioon tiedostopalvelimella tai jollakin työasemasta. Saattaa käydä niin, että joku poistaa tärkeän dokumentin tai hakemiston tästä kansiosta, minkä seurauksena koko tiimin työ voi kadota. Tässä tapauksessa järjestelmänvalvojalla on useita kysymyksiä:

    Milloin ja mihin aikaan ongelma ilmeni?

    Mistä tätä aikaa lähinnä olevasta varmuuskopiosta tiedot pitäisi palauttaa?

    Ehkä järjestelmässä oli vika, joka voi toistua?

Windowsissa on järjestelmä Tarkastaa, jonka avulla voit seurata ja kirjata tietoja siitä, milloin, kuka ja mitä ohjelmadokumentteja poistettiin. Tarkastus ei ole oletusarvoisesti käytössä - itse seuranta vaatii tietyn prosenttiosuuden järjestelmän tehosta, ja jos tallennat kaiken, kuormitus kasvaa liian suureksi. Lisäksi kaikki käyttäjien toimet eivät välttämättä kiinnosta meitä, joten tarkastuskäytäntöjen avulla voimme sallia vain meille todella tärkeiden tapahtumien seurannan.

Audit-järjestelmä on sisäänrakennettu kaikkiin käyttöjärjestelmiin MicrosoftWindowsNT: Windows XP/Vista/7, Windows Server 2000/2003/2008. Valitettavasti Windows Home -sarjan järjestelmissä auditointi on piilotettu syvälle ja sitä on liian vaikea määrittää.

Mitä pitää määrittää?

Ota tarkastus käyttöön kirjautumalla sisään järjestelmänvalvojan oikeuksilla tietokoneeseen, joka tarjoaa pääsyn jaettuihin asiakirjoihin, ja suorittamalla komento alkaaJuostagpedit.msc. Laajenna Tietokoneen asetukset -osiossa kansio Windowsin asetuksetTurvallisuusasetuksetPaikalliset käytännötTarkastuskäytännöt:

Kaksoisnapsauta käytäntöä Tarkastusobjektin käyttöoikeus (Objektin pääsyn tarkastus) ja valitse valintaruutu Menestys. Tämä asetus mahdollistaa mekanismin, joka valvoo tiedostojen ja rekisterin onnistunutta käyttöä. Olemme todellakin kiinnostuneita vain onnistuneista yrityksistä poistaa tiedostoja tai kansioita. Ota valvonta käyttöön vain tietokoneissa, joihin valvotut objektit on tallennettu suoraan.

Pelkkä tarkastuskäytännön käyttöönotto ei riitä, meidän on myös määritettävä, mitä kansioita haluamme valvoa. Tyypillisesti tällaiset objektit ovat yleisten (jaettujen) asiakirjojen kansioita ja kansioita, joissa on tuotantoohjelmia tai tietokantoja (kirjanpito, varasto jne.) - toisin sanoen resursseja, joiden kanssa useat ihmiset työskentelevät.

On mahdotonta arvata etukäteen, kuka tarkalleen poistaa tiedoston, joten seuranta on tarkoitettu kaikille. Kenen tahansa käyttäjän onnistuneet yritykset poistaa valvottuja objekteja kirjataan lokiin. Kutsu vaaditun kansion ominaisuudet (jos tällaisia ​​kansioita on useita, niin ne kaikki vuorotellen) ja välilehdellä Suojaus → Lisäasetukset → Valvonta lisää aiheen seuranta Kaikki hänen onnistuneita pääsyyrityksiään Poistaa Ja Poista alikansiot ja tiedostot:


Tapahtumia voidaan kirjata aika paljon, joten lokin kokoa kannattaa myös säätää Turvallisuus(Turvallisuus), johon ne tallennetaan. varten
suorita tämä komento alkaaJuostaeventvwr. msc. Hae näkyviin tulevassa ikkunassa suojauslokin ominaisuudet ja määritä seuraavat parametrit:

    Lokin enimmäiskoko = 65536 K.B.(työasemille) tai 262144 K.B.(palvelimille)

    Korvaa tapahtumat tarpeen mukaan.

Itse asiassa ilmoitettujen lukujen paikkansapitävyyttä ei taata, vaan ne valitaan empiirisesti jokaista tapausta varten.

Windows 2003/ XP)?

Klikkaus alkaaJuostaeventvwr.msc Turvallisuus. NäytäSuodattaa

  • Tapahtuman lähde:Security;
  • Luokka: Object Access;
  • Tapahtumatyypit: Menestyksen tarkastus;
  • Tapahtuman tunnus: 560;


Selaa suodatettujen tapahtumien luetteloa ja kiinnitä huomiota seuraaviin kenttiin kussakin merkinnässä:

  • EsineNimi. etsimäsi kansion tai tiedoston nimi;
  • KuvaTiedostoNimi. tiedoston poistaneen ohjelman nimi;
  • Pääset. Pyydetyt oikeudet.

Ohjelma voi pyytää järjestelmältä useita käyttöoikeuksia kerralla - esim. Poistaa+ Synkronoida tai Poistaa+ Lukea_ Ohjaus. Meille merkittävä oikeus on Poistaa.


Joten kuka poisti asiakirjat (Windows 2008/ Vista)?

Klikkaus alkaaJuostaeventvwr.msc ja avaa lehti nähdäksesi Turvallisuus. Loki voi olla täynnä tapahtumia, jotka eivät liity suoraan ongelmaan. Napsauta suojauslokia hiiren kakkospainikkeella ja valitse NäytäSuodattaa ja suodata näkymäsi seuraavien kriteerien mukaan:

  • Tapahtuman lähde: Turvallisuus;
  • Luokka: Object Access;
  • Tapahtumatyypit: Menestyksen tarkastus;
  • Tapahtuman tunnus: 4663;

Älä kiirehdi tulkitsemaan kaikkia poistoja haitallisiksi. Tätä toimintoa käytetään usein normaalin ohjelman toiminnan aikana - esimerkiksi komentoa suoritettaessa Tallentaa(Tallentaa), pakettiohjelmat MicrosoftToimisto Ensin he luovat uuden väliaikaisen tiedoston, tallentavat asiakirjan siihen ja poistavat sitten tiedoston edellisen version. Samoin monet tietokantasovellukset luovat ensin väliaikaisen lukitustiedoston käynnistettäessä (. lck), poista se sitten, kun poistut ohjelmasta.

Olen joutunut käsittelemään käyttäjien haitallisia toimia käytännössä. Esimerkiksi tietyn yrityksen ristiriitainen työntekijä päätti erottuaan työstään tuhota kaikki työnsä tulokset poistamalla tiedostoja ja kansioita, joihin hän liittyi. Tällaiset tapahtumat ovat selvästi näkyvissä - ne luovat kymmeniä, satoja merkintöjä sekunnissa tietoturvalokiin. Tietenkin asiakirjojen palauttaminen VarjoKopioita(Varjokopiot) tai automaattisesti luotu arkisto joka päivä ei ole vaikeaa, mutta samalla voisin vastata kysymyksiin "Kuka tämän teki?" ja "Milloin tämä tapahtui?"

Viktor Chutov
Projektipäällikkö INFORMSVYAZ HOLDING

Järjestelmän käyttöönoton edellytykset

Infowatchin vuonna 2007 tekemä ensimmäinen avoin globaali tutkimus sisäisistä tietoturvauhista (vuoden 2006 tulosten perusteella) osoitti, että sisäiset uhat ovat yhtä yleisiä (56,5 %) kuin ulkoiset (haittaohjelmat, roskapostit, hakkerit jne.). d.). Lisäksi suurimmalla osalla (77 %) sisäisen uhan syynä on käyttäjien itsensä huolimattomuus (työnkuvausten noudattamatta jättäminen tai perustietoturvatoimenpiteiden laiminlyönti).

Tilanteen muutosten dynamiikka kaudella 2006-2008. esitetty kuvassa. 1.

Laiminlyönnistä johtuva vuotojen osuuden suhteellinen lasku johtuu tietovuodonestojärjestelmien (mukaan lukien käyttäjien toimien valvontajärjestelmät) osittaisesta käyttöönotosta, jotka tarjoavat melko korkean suojan vahingossa tapahtuvia vuotoja vastaan. Lisäksi se johtuu henkilötietojen tahallisten varkauksien määrän absoluuttisesta kasvusta.

Tilastojen muutoksesta huolimatta voimme edelleen luottavaisin mielin sanoa, että tahattomien tietovuotojen torjunta on ensisijainen tehtävä, sillä tällaisten vuotojen torjuminen on helpompaa, halvempaa ja siten useimmat tapaukset katetaan.

Samaan aikaan työntekijöiden laiminlyönti on Infowatchin ja Perimetrixin vuosien 2004-2008 tutkimustulosten analyysin mukaan toiseksi vaarallisimpien uhkien joukossa (yhteenveto tutkimustulokset on esitetty kuvassa 2), ja sen merkitys kasvaa jatkuvasti. yritysten ohjelmistojen ja laitteistojen automatisoitujen järjestelmien (AS) parantamisen myötä.

Siten sellaisten järjestelmien käyttöönotto, jotka eliminoivat työntekijän kielteisen vaikutuksen tietoturvaan yrityksen automatisoidussa järjestelmässä (mukaan lukien valvontaohjelmat), tarjoavat tietoturvapalveluiden työntekijöille todisteita ja materiaaleja tapahtuman tutkimiseen, eliminoi vaaran huolimattomuudesta johtuvat vuodot vähentävät merkittävästi vahingossa tapahtuvia vuotoja ja vähentävät myös tahallisia vuotoja. Viime kädessä tämän toimenpiteen pitäisi mahdollistaa sisäisten loukkaajien aiheuttamien uhkien vähentäminen merkittävästi.

Nykyaikainen automatisoitu järjestelmä käyttäjien toimien tarkastamiseen. Hyödyt ja haitat

Automatisoidut järjestelmät käyttäjien toimien auditointiin (seurantaan) (ASADP) AS, joita usein kutsutaan valvontaohjelmistotuotteiksi, on tarkoitettu AS:n tietoturvapäälliköiden käyttöön (organisaation tietoturvapalvelu) sen havaittavuuden varmistamiseksi - "tietokonejärjestelmän ominaisuudet, joiden avulla voit tallentaa käyttäjien toimintaa sekä yksilöllisesti asettaa tunnisteita käyttäjille, jotka ovat osallistuneet tiettyihin tapahtumiin suojauskäytäntöjen rikkomisen estämiseksi ja/tai vastuun takaamiseksi tietyistä toimista."

AS:n havainnointiominaisuus, riippuen sen toteutuksen laadusta, mahdollistaa tavalla tai toisella valvoa, että organisaation työntekijät noudattavat sen turvallisuuspolitiikkaa ja tietokoneiden turvalliselle työlle asetettuja sääntöjä.

Valvontaohjelmistotuotteiden käyttö, myös reaaliaikainen, on tarkoitettu:

  • tunnistaa (lokalisoi) kaikki tapaukset, joissa luottamuksellisiin tietoihin on yritetty päästä luvatta, ja ilmoita tarkka aika ja verkkotyöpaikka, josta tällainen yritys tehtiin;
  • tunnistaa ohjelmiston luvattoman asennuksen tosiasiat;
  • määrittää kaikki lisälaitteiden (esimerkiksi modeemit, tulostimet jne.) luvaton käyttötapaukset analysoimalla luvatta asennettujen erikoissovellusten käynnistämistä;
  • tunnistaa kaikki tapaukset, joissa kriittisiä sanoja ja lauseita kirjoitetaan näppäimistöllä, laaditaan tärkeitä asiakirjoja, joiden siirtäminen kolmansille osapuolille johtaa aineellisiin vahinkoihin;
  • valvoa pääsyä palvelimiin ja henkilökohtaisiin tietokoneisiin;
  • hallita yhteystietoja Internetissä surffattaessa;
  • suorittaa tutkimusta henkilöstön reagoinnin tarkkuuden, tehokkuuden ja riittävyyden määrittämiseen ulkoisiin vaikutuksiin;
  • määrittää organisaation tietokonetyöasemien kuormitus (vuorokaudenajan, viikonpäivän jne. mukaan) käyttäjätyön tieteellistä järjestämistä varten;
  • valvoa henkilökohtaisten tietokoneiden käyttöä työajan ulkopuolella ja tunnistaa käytön tarkoitus;
  • saada tarvittavat luotettavat tiedot, joiden perusteella tehdään päätöksiä organisaation tietoturvapolitiikan sopeuttamisesta ja parantamisesta jne.

Näiden toimintojen toteutus saavutetaan tuomalla agenttimoduuleja (antureita) AS-työasemille ja palvelimille, joiden tilakyselyt tai niistä saadaan raportteja. Raportit käsitellään Security Administrator Consolessa. Jotkut järjestelmät on varustettu välipalvelimilla (konsolidointipisteillä), jotka käsittelevät omia alueitaan ja suojausryhmiään.

Markkinoilla esiteltyjen ratkaisujen järjestelmäanalyysi (StatWin, Tivoli Configuration Manager, Tivoli Remote Control, OpenView Operations, "Uryadnik/Enterprise Guard", Insider) mahdollisti joukon erityisominaisuuksien tunnistamista, jotka antoivat lupaavalle ASADP:lle. parantaa suoritusindikaattoreitaan verrattuna tutkittuihin näytteisiin .

Yleisesti ottaen olemassa olevia järjestelmiä voidaan käyttää melko laajan toiminnallisuuden ja suuren optiopaketin ohella vain yksittäisten AS-käyttäjien toiminnan seuraamiseen perustuen kaikkien määritettyjen AS-elementtien (ja ensisijaisesti työaseman) pakolliseen sykliseen kyselyyn (skannaukseen). käyttäjät).

Samaan aikaan nykyaikaisten järjestelmien, mukaan lukien melko suuri määrä työasemia, teknologioita ja ohjelmistoja, jakautuminen ja mittakaava vaikeuttaa merkittävästi käyttäjien työn seurantaa, ja jokainen verkkolaite pystyy tuottamaan tuhansia auditointiviestejä, jotka saavuttavat melko suuria tietomääriä, jotka edellyttävät valtavien, usein päällekkäisten tietokantojen ylläpitoa. Nämä työkalut muun muassa kuluttavat merkittäviä verkko- ja laitteistoresursseja ja kuormittavat yhteistä järjestelmää. Ne osoittautuvat joustamattomiksi määrittämään uudelleen tietokoneverkkojen laitteistoja ja ohjelmistoja, eivät pysty sopeutumaan tuntemattomiin rikkomuksiin ja verkkohyökkäyksiin, ja niiden suojauskäytäntörikkomusten havaitsemisen tehokkuus riippuu suurelta osin AS:n tarkistustiheydestä. tietoturvajärjestelmänvalvojan osia.

Yksi tapa lisätä näiden järjestelmien tehokkuutta on lisätä suoraan skannaustaajuutta. Tämä johtaa väistämättä niiden päätehtävien tehokkuuden heikkenemiseen, joihin tämä AS itse asiassa on tarkoitettu, johtuen sekä järjestelmänvalvojan työaseman että käyttäjien työasemien tietokoneiden laskentakuorman merkittävästä kasvusta. kuten paikallisen AS-verkon liikenteen kasvussa.

Suurten tietomäärien analysointiin liittyvien ongelmien lisäksi olemassa olevissa valvontajärjestelmissä on vakavia rajoituksia tehtyjen päätösten tehokkuudessa ja tarkkuudessa, mikä johtuu pääkäyttäjän fyysisten kykyjen määräävästä inhimillisestä tekijästä ihmisenä toimijana.

Mahdollisuus ilmoittaa käyttäjien ilmeisistä luvattomista toimista reaaliajassa olemassa olevissa valvontajärjestelmissä ei pohjimmiltaan ratkaise ongelmaa kokonaisuutena, koska se mahdollistaa vain aiemmin tunnettujen rikkomustyyppien seurannan (allekirjoitusmenetelmä), eikä pysty torjua uudentyyppisiä rikkomuksia.

Laajojen menetelmien kehittäminen ja käyttö tietoturvajärjestelmien tietoturvan takaamiseksi, mikä mahdollistaa sen suojan tason nousun laskentaresurssin lisävalinnan vuoksi AS:sta, vähentää AS:n kykyä ratkaista tehtäviin, joihin se on tarkoitettu ja/tai lisää sen kustannuksia. Tämän lähestymistavan epäonnistuminen nopeasti kehittyvillä IT-teknologiamarkkinoilla on ilmeinen.

Automatisoitu järjestelmä käyttäjien toimien auditointiin (seurantaan). Lupaavia ominaisuuksia

Aiemmin esitetyistä analyysituloksista seuraa ilmeinen tarve antaa lupaaville valvontajärjestelmille seuraavat ominaisuudet:

  • automaatio, joka eliminoi rutiininomaiset "manuaaliset" toiminnot;
  • keskittämisen yhdistelmä (perustuu automatisoituun turvajärjestelmänvalvojan työasemaan) järjestelmän yksittäisten elementtien (älykkäiden tietokoneohjelmien) tasolla ohjaamisen kanssa AS-käyttäjien työn seurantaan;
  • skaalautuvuus, joka mahdollistaa valvontajärjestelmien kapasiteetin lisäämisen ja niiden kykyjen laajentamisen ilman niiden tehokkaan toiminnan edellyttämien laskentaresurssien merkittävää lisäystä;
  • sopeutumiskyky AS:n koostumuksen ja ominaisuuksien muutoksiin sekä uudentyyppisten turvallisuuspolitiikan rikkomusten ilmaantuvuuteen.

Kuvassa on esitetty ASADP AS:n yleinen rakenne, jolla on havaitut erityispiirteet, jotka voidaan toteuttaa AS:ssa eri tarkoituksiin ja lisätarvikkeisiin. 3.

Annettu rakenne sisältää seuraavat pääkomponentit:

  • ohjelmistokomponentit-anturit, jotka on sijoitettu joihinkin AS-elementteihin (käyttäjien työasemille, palvelimille, verkkolaitteille, tietoturvatyökaluille), joita käytetään auditointitietojen tallentamiseen ja käsittelyyn reaaliajassa;
  • rekisteröintitiedostot, jotka sisältävät välitietoja käyttäjän työstä;
  • tietojenkäsittely- ja päätöksentekokomponentit, jotka vastaanottavat tietoa antureilta rekisteröintitiedostojen kautta, analysoivat sitä ja tekevät päätöksiä jatkotoimenpiteistä (esim. joidenkin tietojen syöttäminen tietokantaan, ilmoittaminen virkamiehille, raporttien laatiminen jne.);
  • auditointitietokanta (DB), joka sisältää tiedot kaikista rekisteröidyistä tapahtumista, joiden perusteella raportteja luodaan ja AS:n tilaa seurataan tietyn ajanjakson ajan;
  • komponentit raporttien ja varmenteiden luomiseksi auditointitietokantaan tallennettujen tietojen ja suodatustietueiden perusteella (päivämäärän, käyttäjätunnuksien, työasemien, tietoturvatapahtumien jne. mukaan);
  • tietoturvajärjestelmänvalvojan käyttöliittymäkomponentti, joka hallitsee ASDP AS:n toimintaa sen työaseman kanssa, katselee ja tulostaa tietoja, luo tietokantaan erilaisia ​​kyselyitä ja raportoi raportteja, mikä mahdollistaa AS-käyttäjien nykyisen toiminnan reaaliaikaisen seurannan ja arvioinnin. eri resurssien nykyinen turvallisuustaso;
  • lisäkomponentit, erityisesti ohjelmistokomponentit järjestelmän konfigurointiin, antureiden asentamiseen ja sijoittamiseen, tietojen arkistointiin ja salaukseen jne.

Tietojenkäsittely ASADP AS:ssa sisältää seuraavat vaiheet:

  • rekisteröintitietojen tallentaminen antureilla;
  • tietojen kerääminen yksittäisiltä antureilta;
  • tietojen vaihto asiaankuuluvien järjestelmäagenttien välillä;
  • rekisteröityjen tapahtumien käsittely, analysointi ja korrelaatio;
  • käsiteltyjen tietojen esittäminen suojauksen ylläpitäjälle normalisoidussa muodossa (raporttien, kaavioiden jne. muodossa).

Tarvittavien laskentaresurssien minimoimiseksi, järjestelmän salaisuuden ja luotettavuuden lisäämiseksi tietoa voidaan tallentaa erilaisiin AS-elementteihin.

Perustuen asetettuun tehtävään antaa perustavanlaatuisesti uusia (verrattuna olemassa oleviin AS:n käyttäjien työn auditointijärjestelmiin) automaatioominaisuuksia, keskittämisen ja hajautuksen yhdistelmää, skaalautuvuutta ja mukautumiskykyä, yksi sen rakentamisen mahdollisista strategioista näyttää olevan moderni teknologia. älykkäitä moniagenttijärjestelmiä, jotka toteutetaan kehittämällä erityyppisiä integroituja yhteisöagentteja (älykkäitä autonomisia ohjelmia, jotka toteuttavat tiettyjä toimintoja turvapolitiikan vastaisten käyttäjien toimien havaitsemiseksi ja torjumiseksi) ja järjestämällä niiden vuorovaikutusta.

Lisää tästä aiheesta:

Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen
Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy
Etsitään vastaavaa kuvaa Internetistä Etsitään vastaavaa kuvaa Internetistä