Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Заметки о безопасности Мониторинг пользователей, как средство борьбы против инсайда
Protectiva Compliance Manager
Навигация
 

Мониторинг пользователей, как средство борьбы против инсайда

Автор: Евгений Ударов опубликовано: 23-05-2011 последнее изменение: 23-05-2011

В данной статье рассматривается стратегия по выявлению инсайдерской деятельности внутри компании на основе системы мониторинга пользователей.

В данной статье рассматривается стратегия по выявлению инсайдерской деятельности внутри компании на основе системы мониторинга пользователей.

В данной статье не рассматривается конкретная техническая реализация системы мониторинга пользователей.

В крупных компаниях очень сложно осуществлять качественный мониторинг учетных записей пользователей. Сотрудникам ИТ - подразделений, как правило нет до этого дела, а у сотрудников ИБ подразделений других насущных дел полно. Однако именно контроль учетных записей пользователей, может помочь в борьбе с утечками информации и инсайдерскими атаками.

Для более четкого понимания предпосылок контроля учетных записей пользователей рассмотрим такой пример.

Обычно сотрудников со сходными должностными обязанностями (менеджеров по продажам, проектам, бухгалтеров и т.д.) располагают в одном кабинете. Часто такие сотрудники, не смотря на дружеские отношения или работу в рамках одного подразделения, конкурируют между собой и в качестве «яблока раздора» помимо банальной заработной платы (которая может существенно различаться) так же вылезают наружу чисто человеческие чувства, как зависть, амбиции и т.д., что и является предпосылками к инсайдерской деятельности.

Комментарии излишни, подобрав (подсмотрев) пароль инсайдер получает легитимный доступ ко всем локальным и сетевым дискам, почтовому ящику и к корпоративным ИС с правами жертвы.

Допустим инсайдером является сотрудник обладающий знаниями ПК на уровне пользователя. Тогда рассмотрим, два самых простых способа (без экзотики) получения доступа злоумышленником к данным жертвы. Доступ предполагает аутентификацию на ПК при помощи логина/пароля и может быть получен либо с ПК инсайдера, либо с ПК жертвы в рабочее время, либо в нерабочее время.

Операционная система оперирует следующими основными сущностями: Пользователь, Компьютер. Сущность Пользователь характеризуется параметрами: вход/выход, дата, время.

Таким образом, собирая информацию о том: кто, когда, во-сколько и на каком ПК осуществил вход и выход можно построить матрицу «нормального» доступа. Как только вы получите информацию, что какой-то пользователь идентифицировался на разных ПК, останется только зафиксировать инцидент и приступить к его расследованию. Данный способ актуален для выявления доступа инсайдера со своего ПК к данным жертвы в рабочее время.

Практически в любой компании имеется система контроля управления доступом (СКУД), в которой ведется централизованная БД хранящая информацию о том: кто, когда и во-сколько ушел и пришел на работу. Объединив данные из системы мониторинга учетных записей с данными из СКУД можно определить, какие пользователи, где и во-сколько были аутентифицированы в тот момент, когда их не было в компании. Данный способ актуален для выявления доступа инсайдера к данным жертвы в нерабочее время.

Получая информацию из отдела кадров, о том кто из сотрудников, как долго (сроки) будет отсутствовать на рабочем месте (командировки, отпуск, больничный) и объединив ее с информацией из системы мониторинга можно так же выявить попытки инсайда к данным тех сотрудников, которых нет на рабочем месте.

Каждую из этих стратегий можно успешно видоизменять под конкретные реалии, конкретной компании не говоря уже о технической реализации системы мониторинга.

Comments (1)

Александр Астахов 13-06-2011 03:29

смешение понятий

Желательно более четко разграничить понятия: мониторинг учетных записей пользователей, мониторинг действий пользователей, мониторинг и корреляция событий безопасности и поведенческий анализ в рамках системы обнаружения вторжений. А то как-то все немного перемешано.
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex