Способ контроля над действиями пользователя

Аудит действий пользователя

Инструменты мониторинга действий пользователя

В необходимости внедрять системы аудита действий пользователей в организациях любого уровня убеждают исследования компаний, занимающихся анализом информационной безопасности.

Исследование «Лаборатории Касперского», например, показало: две трети ИБ-инцидентов (67%) вызваны в том числе действиями плохо информированных или невнимательных сотрудников. При этом, согласно данным исследования ESET, 84% компаний недооценивают риски, обусловленные человеческим фактором.

Защита от угроз, связанных с пользователем «изнутри», требует больших усилий, чем защита от внешних угроз. Для противодействия «вредителям» извне, включая вирусы и целевые атаки на сеть организации, достаточно внедрить соответствующий программный или программно-аппаратный комплекс. Чтобы обезопасить организацию от внутреннего злоумышленника, потребуются более серьезные вложения в инфраструктуру безопасности и проведение глубокого анализа. Аналитическая работа включает выделение типов угроз, наиболее критичных для бизнеса, а также составление «портретов нарушителей», то есть определения, какой ущерб может нанести пользователь, исходя из своих компетенций и полномочий.

С аудитом действий пользователей неразрывно связано не только понимание того, какие именно «бреши» в системе информационной безопасности необходимо оперативно закрыть, но и вопрос устойчивости бизнеса в целом. Компании, настроенные на непрерывную деятельность, должны учитывать, что с усложнением и увеличением процессов информатизации и автоматизации бизнеса количество внутренних угроз только растет.

Кроме отслеживания действий рядового работника нужно производить аудит операций «суперпользователей» – сотрудников с привилегированными правами и, соответственно, более широкими возможностями случайно или намеренно реализовать угрозу утечки информации. К таким пользователям относятся системные администраторы, администраторы баз данных, разработчики внутреннего ПО. Сюда же можно добавить и привлеченных IT-специалистов, и сотрудников, отвечающих за ИБ.

Внедрение системы мониторинга действий пользователей в компании позволяет фиксировать и оперативно реагировать на активность сотрудников. Важно: система аудита должна обладать свойством всеохватности. Это означает, что сведения о деятельности рядового сотрудника, системного администратора или топ-менеджера нужно анализировать на уровне операционной системы, использования бизнес-приложений, на уровне сетевых устройств, обращений к базам данных, подключения внешних носителей и так далее.

Современные системы комплексного аудита позволяют контролировать все этапы действий пользователей от запуска до выключения ПК (терминального рабочего места). Правда, на практике тотального контроля стараются избегать. Если в журналах аудита фиксировать все операции, многократно возрастает нагрузка на инфраструктуру информационной системы организации: «висят» рабочие станции, серверы и каналы работают под полной загрузкой. Паранойя в вопросе информационной безопасности может навредить бизнесу, значительно замедлив рабочие процессы.

Грамотный специалист по информационной безопасности в первую очередь определяет:

• какие данные в компании являются наиболее ценными, так как с ними будет связано большинство внутренних угроз;
• кто и на каком уровне может иметь доступ к ценным данным, то есть очерчивает круг потенциальных нарушителей;
• насколько текущие меры защиты способны противостоять намеренным и/или случайным действиям пользователей.

Например, ИБ-специалисты из финансового сектора считают наиболее опасными угрозы утечки платежных данных и злоупотребления доступом. В промышленном и транспортном секторе больше всего опасаются утечек ноу-хау и нелояльного поведения работников. Схожие опасения в ИТ-сфере и телекоммуникационном бизнесе, где наиболее критичны угрозы утечки собственных разработок, коммерческой тайны и платежной информации.

В КАЧЕСТВЕ НАИБОЛЕЕ ВЕРОЯТНЫХ «ТИПОВЫХ» НАРУШИТЕЛЕЙ АНАЛИТИКИ ВЫДЕЛЯЮТ:

• Топ-менеджмент : выбор очевиден – максимально широкие полномочия, доступ к наиболее ценной информации. При этом ответственные за безопасность часто закрывают глаза на нарушения правил ИБ такими фигурами.
• Нелояльные сотрудники : для определения степени лояльности, ИБ-специалистам компании следует проводить аналитику действий отдельного сотрудника.
• Администраторы : специалисты с привилегированным доступом и расширенными полномочиями, обладающие глубокими знаниями в ИТ-сфере, подвержены соблазну получить несанкционированный доступ к важной информации;
• Сотрудники подрядных организаций / аутсорсинг : как и администраторы, эксперты «извне», обладая широкими знаниями, могут реализовать различные угрозы находясь «внутри» информационной системы заказчика.

Определение наиболее значимой информации и наиболее вероятных злоумышленников помогает выстроить систему не тотального, а выборочного контроля пользователей. Это «разгружает» информационную систему и избавляет ИБ-специалистов от избыточной работы.

Помимо выборочного мониторинга значительную роль в ускорении работы системы, повышении качества анализа и снижении нагрузки на инфраструктуру играет архитектура систем аудита. Современные системы аудита действий пользователей имеют распределенную структуру. На конечных рабочих станциях и серверах устанавливаются агенты-сенсоры, которые анализируют события определенного типа и передают данные в центры консолидации и хранения. Системы анализа зафиксированной информации по заложенным в систему параметрам находят в журналах аудита факты подозрительной либо аномальной активности, которую нельзя сразу отнести к попытке реализации угрозы. Эти факты передаются в систему реагирования, которая оповещает администратора безопасности о нарушении.

Если система аудита способна самостоятельно справиться с нарушением (обычно в подобных комплексах ИБ предусмотрен сигнатурный метод реагирования на угрозу), то нарушение пресекается в автоматическом режиме, а все нужные сведения о нарушителе, его действиях и объекте угрозы попадают в специальную базу данных. Консоль администратора безопасности в таком случае уведомляет об обезвреживании угрозы.

Если в системе не заложены способы автоматического реагирования на подозрительную активность, то вся информация для нейтрализации угрозы либо для анализа ее последствий передается на консоль администратора ИБ для выполнения операций в ручном режиме.

В СИСТЕМЕ МОНИТОРИНГА ЛЮБОЙ ОРГАНИЗАЦИИ СЛЕДУЕТ НАСТРОИТЬ ОПЕРАЦИИ:

Аудита использования рабочих станций, серверов, а также времени (по часам и дням недели) активности на них пользователя. Таким способом устанавливается целесообразность использования информационных ресурсов.

Аудита использования рабочих станций, серверов, а также времени (по часам и дням недели) активности на них пользователя. Таким способом устанавливается целесообразность использования информационных ресурсов.

Выявления попыток или фактов установки несанкционированных программ и аппаратных средств. Такие действия позволяют реализовать угрозу утечки, уничтожения данных либо угрожают самой информационной системе.

Мониторинга и реагирования на набор фраз или отдельных слов (работа сенсора аудита в качестве кейлогера) выявляет, какой пользователь работает с документами с критичной информацией, определяет его цели и предотвращает утечку данных.

Аудита и фиксации попыток несанкционированного доступа к информации ограниченного использования с отражением в журналах безопасности данных формирует полную картину: кто, откуда, в какое время и какой именно информацией пытался воспользоваться.

Исчерпывающий перечень операций зависит от нескольких параметров: выбранного программного комплекса мониторинга; активации возможностей операционных систем на рабочих станциях и серверах; грамотной и неизбыточной настройки прав доступа и систем логгирования в бизнес-приложениях. Здесь важны компетентность ИБ-специалистов, понимание важности ИБ-обеспечения руководством организации и осознание того, что вложение средств в инфраструктуру мониторинга и защиты информации – не бессмысленные затраты, а фундамент устойчивости и развития бизнеса.

ПОПРОБУЙТЕ «СЁРЧИНФОРМ TIMEINFORMER»!

Полнофункциональное ПО без ограничений по пользователям и функциональности.

Источник

Полный контроль действий пользователей в 1С. Возможно и совсем не сложно

Полный контроль действий пользователей.

Предлагаемый комплекс доработок типовых конфигураций 1С позволяет фиксировать кто, что и когда изменил в любых документах и справочниках информационной базы, с детализацией:

• Дата изменения
• Пользователь
• Объект (такой-то документ или элемент справочника)
• Действие (создал/изменил/сохранил/провел/отменил проведение/пометил на удаление/удалил)
• Реквизит объекта (например, контрагент из шапки, сумма или количество из табличной части)
• Старое значение реквизита
• Новое значение реквизита

Таким образом, администратор всегда может получить историю изменений любого объекта данных с подробной детализацией. Имеется возможность делать запрос по конкретному объекту, либо восстановить историю действий конкретного пользователя за выбранный период времени, формировать отчет по измененным объектам конкретного пользователя.

Как это работает

Менеджер компании «Джест МСК» Лариса Шапокляк приняла заказ от покупателей на поставку картриджей.

Документ был сохранен и проведен.

Через некоторое время другой менеджер Гарик Плохов случайно или умышленно открыл этот документ, поменял в нем количество в первой строке, добавил еще одну строку и зачем-то поменял ставку НДС.

Он также сохранил и провел документ. Лариса, как внимательный сотрудник, конечно же нашла бы эти изменения и исправила, если бы … ее не уволили после беседы директора с недовольным клиентом, получившим не то, что он заказывал.

Впрочем, такой ситуации можно было бы избежать, если бы в базу 1С, где работают Лариса и Гарик, был бы интегрирован модуль «Полный контроль действий пользователей», ведь достаточно было бы установить отбор по проблемному документу, чтобы увидеть, кто, когда и какие изменения в него вносил, чтобы понять, что Лариса ни в чем не виновата.

И это еще не все возможности модуля «Полный контроль действий пользователей». С его помощью можно было бы легко избежать конфликта с клиентом, потому что каждый сотрудник может формировать отчет, показывающий, кто, когда и как изменял именно его документы

Таким образом, менеджер Лариса сразу бы увидела, что введенная ею заявка была изменена Гариком Плоховым и приняла бы соответствующие меры.

Кстати, говоря, действиями Гарика могла бы смело заинтересоваться служба безопасности предприятия! Если установить отбор конкретно по нему, то станет очевидно, что он поработал не только с документами Ларисы. В частности, отчет показывает, что Гарик поменял количество и сумму заказываемых изделий у одного из поставщиков. Вряд ли он сделал это по ошибке…

Приобретение и интеграция подсистемы «Полный контроль действий пользователей»

Подсистема «Полный контроль» актуальна на предприятиях, где имеется большое количество пользователей с разветвленной структурой полномочий, работающих с базой 1С. Она позволяет однозначно отвечать на вопросы: кто и когда ввел, изменил, испортил те или иные данные.

Комплекс «Полный контроль действий пользователей» интегрируется в любую конфигурацию 1С:Предприятие 8.1 и 8.2 отдельной подсистемой, без изменения структуры объектов конфигурации. Это позволяет обновлять конфигурацию без каких-либо сложностей.

При заказе подсистемы «Полный контроль действий пользователей» ООО «О-Планет» выполняет самостоятельно весь объем работ по интеграции разработки в предоставленную заказчиком конфигурацию. Мы также готовы предоставить потенциальным заказчикам удаленный доступ для демонстрации и оценки работы подсистемы

Имеется несколько вариантов поставки подсистемы: «Полный контроль действий пользователей»

Возможность обновления простым объединением

Облегченная

ведет учет изменений ограниченного числа документов, указанных заказчиком, не более десяти

Профессиональная

ведет учет изменений любых справочников и документов информационной базы

Корпоративная

ведет учет изменений любых справочников и документов информационной базы, а также фиксирует просмотры документов без сохранения, позволяет узнать, кто, когда и какие отчеты формировал.

Требует изменения объектов конфигурации с потерей возможности обновления простым объединением

Заказ на работы по интеграции подсистемы «Полный контроль действий пользователей» осуществляется через сайт разработчика и выполняется в течение нескольких дней. Все коды передаются заказчику в открытом виде.

Источник

Контроль действий пользователей — необходимость или паранойя?

Контроль действий пользователей — необходимость или паранойя?

Контроль действий пользователей — необходимость или паранойя?

Алексей Сова
ведущий специалист департамента маркетинга компании «Информзащита»

В январе 2008 г. крупнейший банк Франции Societe Generale объявил, что из-за действий своего трейдера Жерома Кервьеля, несанкционированно открывавшего позиции, он понес убытки в 4,9 миллиардов долларов. После скандала с Кервьелем Societe Generale был оштрафован на четыре миллиона евро за недостатки в системе внутреннего управления, которые позволили трейдеру совершать незаконные операции.

Осенью того же года российский банк «Ренессанс Капитал» пострадал из-за неправомерных действий своего сотрудника. Трейдер банка в обход правил внутреннего контроля заключал рискованные сделки для клиентов по согласованию с ними. Объем незаконно открытых трейдером позиций достигал 130-140 миллионов долларов США, а убытки банка составили, по разным оценкам, от 10 до 50 миллионов долларов.

По заверениям экономистов, выход из кризиса не за горами. Так это или нет, покажет время. Но, несмотря на ощутимую рецессию в экономике, массовые сокращения почти не коснулись бюджетов на информационную безопасность (ИБ). Вызвано это несколькими причинами. С одной стороны, усилилось влияние государственных регуляторов: для ряда компаний — необходимость соответствовать требованиям стандарта PCI DSS, практически для всех — требованиям закона о персональных данных, на выполнение которых осталось меньше года.

С другой стороны, для конкурентных секторов экономики особенно остро встали вопросы устойчивости и защищенности бизнеса, оказания клиентам качественных услуг и обеспечения их безопасности. В этих условиях важно правильно расставить приоритеты и получить максимальную отдачу от вложений в ИБ.

Современные системы ИБ реализуют принцип defense-in-depth, или «многоэшелонированной» защиты. Они включают подсистемы сетевой безопасности, антивирусные подсистемы, подсистемы строгой аутентификации, подсистемы резервного копирования, мониторинга и др. Правильно установленные и настроенные средства защиты информации позволяют достаточно надежно защититься от атак злоумышленников или вирусных эпидемий.

Однако, как показывает общемировая статистика, около 80% всех инцидентов безопасности происходит по вине внутренних пользователей. При этом наибольшую опасность могут представлять злоумышленники с высокими полномочиями доступа администраторов сетей, операционных систем, приложений, баз данных и другие категории привилегированных пользователей. Проведенные компанией Orthus исследования показали, что чем выше у сотрудника привилегии по доступу к данным, тем больше у него соблазна использовать служебное положение в личных целях.

Решения по контролю действий пользователей

Разумеется, проблема внутренних нарушителей возникла не сегодня. Просто раньше, на фоне разгула хакеров и пандемий компьютерных вирусов, собственные сотрудники выглядели не столь угрожающе. Теперь же все чаще от их действий, некомпетентных или преднамеренных, исходит реальная угроза безопасности компании. Этим и объясняется рост интереса к решениям по контролю действий пользователей. Продукты в этой сфере И Б можно разделить на несколько основных категорий по аналогии с физическим контролем пользователей:

• «Видеонаблюдение». Программное обеспечение, контролирующее повседневную деятельность пользователей на предмет соответствия заданным политикам безопасности.
• «Системы контроля доступа в помещение». Решения, позволяющие разграничить доступ субъектов к защищаемым информационным, программным и аппаратным ресурсам, идентификацию и аутентификацию, контроль аппаратной конфигурации, внешних носителей и программной среды.
• «Сейфы». Программные комплексы, обеспечивающие защиту конфиденциальных данных от несанкционированного использования и распространения, контроль и протоколирование всех операций с документами независимо от их местоположения.
• «Проходная». Системы однократной аутентификации
• пользователей. Позволяют, авторизовавшись один раз, получить защищенный доступ ко всем требуемым приложениям и ресурсам.
• «Датчики дыма». Программные и программно-аппаратные комплексы сбора, обработки и управления событиями безопасности. Позволяют снизить риски информационной безопасности за-за своевременного выявления инцидентов ИБ.

Все системы, разумеется, оборудованы встроенной «сигнализацией» — средствами немедленного оповещения при выявлении критичных событий.

Рассмотрим каждую из категорий на примере решений от известных вендоров. Это такие продукты, как Compliance Insight Manager от компании IBM Tivoli (входит в состав комплекса Security and Information Event Management), Security Studio производства «НИП Информзащита», Information Rights Management компании Oracle, SecureLogin Single Sign-On от компании ActivIdentity и ArcSight ESM (Enterprise Security Manager) -флагманский продукт компании ArcSight.

IBM Tivoli Compliance Insight Manager

С помощью этого продукта осуществляется мониторинг рабочих операций пользователей на предмет их соответствия корпоративным политикам по соблюдению нормативных требований и автоматически выводятся предупреждения, когда нарушаются политики безопасности, либо информация и технологические активы подвергаются риску несанкционированного доступа и деструктивных действий.

При разработке политик доступа администратор безопасности может абстрагироваться от технических аспектов и оперировать на уровне бизнес-правил. Например:

• сотрудники отдела кадров должны иметь доступ к базе данных учета кадров в рабочие часы и только со своих рабочих станций;
• уведомить о нарушении политики доступа в случае, если администратор базы данных получил доступ к финансовой информации.

IBM Tivoli Compliance Insight Manager осуществляет корреляцию множества разрозненных событий безопасности от различных источников: прикладного программного обеспечения, операционных систем, СУБД, приложений, сетевых устройств, средств безопасности (антивирусов и межсетевых экранов), затем преобразует значительные объемы информации о событиях безопасности к удобному для восприятия стандартному формату согласно методологии W7 («Who, did What, When, Where, Where from, Where to and on What» — «Кто сделал, Что, Когда, Где, Откуда, Куда и на Чем»), понятному администратору безопасности, аудитору или руководителю организации, которым не нужна детальная информация о всех аспектах и источниках полученных данных.

Security Studio

Контролирует состояние и предотвращает несанкционированный доступ к ресурсам рабочих станций и серверов, тем самым обеспечивая безопасность конфиденциальных данных при обработке документов, содержащих коммерческую тайну и персональные данные.

Контроль обращений к защищаемой информации, управляемое использование внешних носителей, ограничение действий пользователей в совокупности с возможностью детального разбора инцидентов позволяют создать эффективную систему противодействия внутренним нарушителям и их выявления.

Основные механизмы обеспечения информационной безопасности, реализованные в комплексе:

• управление правами доступа и контроль доступа субъектов к защищаемым информационным, программным и аппаратным ресурсам;
• управление доступом к конфиденциальной информации, основанное на неиерархических метках конфиденциальности;
• идентификация и аутентификация пользователей с использованием электронных идентификаторов;
• регистрация и учет событий, связанных с информационной безопасностью;
• мониторинг состояния автоматизированной информационной системы;
• аудит действий пользователей, в том числе администраторов;
• контроль аппаратной конфигурации;
• контроль целостности данных и замкнутая программная среда;
• гарантированное затирание остаточной информации;
• временная блокировка работы компьютеров при выявлении нарушений.

Information Rights Management (IRM)

Реализует концепцию Information centric security, когда защита содержимого документа и контроль доступа «привязываются» к самому защищаемому документу. Oracle IRM защищает и отслеживает любую критичную информацию независимо от того, где она сохранена или используется, — на рабочих станциях, ноутбуках, мобильных беспроводных устройствах и в других хранилищах, внутри и вне межсетевого экрана. Используемый процесс кодирования защищаемого документа называется «запечатыванием», потому что он реально выполняет три функции:

• упаковывание информации слоем кодирования таким образом, что, несмотря на количество сделанных копий и на то, где они хранятся, они бесполезны без соответствующих данных для раскодирования;
• встраивание набора ссылок (URL links) в кодируемый документ, так что каждая копия ссылается на Oracle IRM-сервер, на котором информация была «запечатана»;
• использование цифровой подписи, поэтому любая попытка подделки документов будет определена и предотвращена.

Обеспечивается возможность детального контроля операций, выполняемых с защищаемой информацией (копирование, пересылка, печать содержимого, PrintScre-еп и т.д.), и протоколирование факта доступа и использования защищаемой информации (кто, когда и как?). При необходимости можно централизованно изменить или даже аннулировать доступ конкретных пользователей или групп в случае ошибочной или намеренной попытки распространения конфиденциальной информации.

SecureLogin Single Sign-On

Как и другие продукты класса SSO, SecureLogin Single Sign-On использует модель централизованного хранения учетных данных в едином каталоге и технологию подстановки паролей. После успешной аутентификации пользователя идентификационные данные передаются на локальную рабочую станцию, где они расшифровываются и используются для автоматического входа в различные приложения. При этом конечный пользователь может не знать текущий пароль для доступа к приложению (для ряда прикладных систем сложный для запоминания пароль может быть сгенерирован автоматически). Все, что необходимо пользователю, -это знать учетные данные для входа в систему (например, пароль для аутентификации в Active Directory) или иметь отчуждаемый носитель (например, USB-ключ) и помнить его PIN-код.

К очевидным преимуществам SecureLogin SSO можно отнести надежное управление идентификационными данными на основе единой корпоративной политики, возможность использования строгой аутентификации (смарт-карта, USB-ключ или биометрия), быстрый, простой и защищенный доступ к приложениям, исключая сложности, вызванные блокировкой учетной записи из-за нескольких попыток введения неправильного пароля, окончанием его срока действия и т.п. При этом не только существенно сокращается время, затрачиваемое пользователем на управление данными аутентификации и вход в корпоративные системы, но и многократно снижаются расходы на техническую поддержку. А ведь, по мнению большинства ведущих аналитиков, на восстановление данных аутентификации расходуется до 40% бюджета подразделения техподдержки!

ArcSight ESM

В любой крупной организации эксплуатируется обширный парк сетевых устройств. Каждое из них постоянно информирует о том, что происходит в подконтрольном ему участке, и количество ежедневно генерируемых событий может исчисляться сотнями тысяч и даже миллионами. Разобраться в этом потоке данных и своевременно выявить инциденты безопасности в ручном режиме нереально, даже имея обширный штат системных администраторов и офицеров безопасности. Решением проблемы являются системы сбора, обработки и хранения событий информационной безопасности, обрабатывающие информацию в режиме реального времени и связывающие все используемые в сети системы и средства защиты в единый управляемый комплекс. На сегодняшний день наиболее эффективной и качественной, на наш взгляд, является система ArcSight ESM. Она способна обрабатывать колоссальные объемы данных, обладает мощным механизмом корреляции и визуализации, а также широким спектром отчетности, в том числе на соответствие требованиям стандартов PCI DSS, SOX, ISO 27001 и др. Помимо базовых функций централизованного сбора, обработки и хранения событий ИБ ArcSight ESM обеспечивает идентификацию и локализацию угрозы информационной безопасности в реальном времени и позволяет проследить вектор атаки.

Это позволяет снизить риски информационной безопасности за счет адекватного и оперативного обнаружения критичных событий и инцидентов и тем самым повысить устойчивость бизнес-процессов компании в целом.

Подведем итоги

Сегодня компании прекрасно понимают, насколько высока степень риска репута-ционного и материального ущерба от действий внутренних злоумышленников, и растущий интерес к системам контроля пользователей тому подтверждение. Необходимо только понимать, что эффективность подобных решений (как и для любого элемента системы информационной безопасности) напрямую зависит не только от качества программного продукта, но и от правильности его внедрения. В противном случае ресурсы будут потрачены впустую и — что еще опаснее — возникнет ложное чувство защищенности. Данные продукты не относятся к категории «коробочных» и в обязательном порядке требуют привлечения компетентных специалистов на всех этапах реализации проекта — обследование, проектирование, внедрение, настройка и ввод в боевую эксплуатацию.

Источник