Menú
Está libre
registrarse
el principal  /  Navegantes / InfoWatch Software Solutions y acciones relacionadas. Sistema de auditoría automatizado (monitoreo) de acciones de usuario Auditore Acciones de usuario de Windows

Soluciones de software de InfoWatch y acciones relacionadas. Sistema de auditoría automatizado (monitoreo) de acciones de usuario Auditore Acciones de usuario de Windows

A veces los eventos que nos requieren responder a la pregunta. "¿quien hizo esto?" Esto puede suceder "rara vez, pero apt", por lo que la respuesta a la pregunta debe prepararse con anticipación.

Casi en todas partes hay departamentos de diseño, contabilidad, desarrolladores y otras categorías de empleados que trabajan en grupos de documentos almacenados en una carpeta compartida (compartida) en un servidor de archivos o una de las estaciones de trabajo. Puede suceder que alguien elimine un documento o directorio importante de esta carpeta, como resultado de lo cual se puede perder el trabajo de todo el equipo. En este caso, surgen varias preguntas al administrador del sistema:

    ¿Cuándo y cuánto ocurrió el problema?

    Lo más cercano a este tiempo respaldo ¿Necesita restaurar los datos?

    Tal vez haya un lugar fallo de sistema¿Quién puede repetir de nuevo?

Windows tiene un sistema Auditoría Permitiendo realizar un seguimiento de la información y la información de registro sobre cuándo, por quién, se eliminaron los documentos. De forma predeterminada, la auditoría no está involucrada: el seguimiento de sí mismo requiere un cierto porcentaje de la potencia del sistema, y \u200b\u200bsi escribe todo en una fila, la carga se volverá demasiado grande. Además, no todas las acciones de los usuarios pueden interesarnos, por lo que las políticas de auditoría le permitan habilitar el seguimiento de los eventos que son realmente importantes para nosotros.

El sistema de auditoría está integrado en todos los sistemas operativos. Microsoft.VentanasNuevo Testamento.: Windows XP / VISTA / 7, Servidor de windows 2000/2003/2008. Desafortunadamente, en la serie de sistemas. Windows Home. La auditoría está oculta profundamente, y es demasiado difícil de configurarla.

¿Qué necesitas para configurar?

Para habilitar la auditoría, vaya a los derechos del administrador a una computadora que proporcione acceso a documentos compartidos y ejecute el comando Comienzo. CORRER. gpedit.msc.. En la sección Configuración de la computadora, abra la carpeta. Configuración de Windows Configuraciones de seguridad Políticas locales. Políticas de auditoría:

Haga doble clic en la política Acceso de objetos de auditoría (Auditoría de acceso a objetos) Y seleccione marcar Éxito.. Este parámetro incluye un mecanismo para rastrear el acceso exitoso a los archivos y el registro. De hecho, debido a que solo estamos interesados \u200b\u200ben los intentos eliminados de eliminar archivos o carpetas. Encienda la auditoría solo en las computadoras directamente en las que se almacenan los objetos monitoreados.

No es suficiente para habilitar la política de auditoría, también debemos especificar el acceso a qué tipo de carpetas deben estar rastreando. Por lo general, dichos objetos son carpetas de documentos y carpetas generales (compartidos) con programas de producción o bases de datos (contabilidad, almacén, etc.), es decir, los recursos con los que varias personas trabajan.

Adivinando de antemano quién eliminar exactamente el archivo es imposible, por lo que el seguimiento y se indica para todos (todos). Aquellos que intentaban eliminar los objetos monitoreados por cualquier usuario se registrarán en el registro. Llame a las propiedades de la carpeta deseada (si hay varias carpetas, todas a su vez, a su vez) y en la pestaña Seguridad (Seguridad) → Avanzado (Avanzado) → Auditoría (Auditoría) Añadir problemas al sujeto Todos (todos), sus exitosos intentos de acceso Borrar y Eliminar subcarpetas y archivos:


Los eventos pueden mejorarse mucho, por lo tanto, también debería ajustar el tamaño de la revista. Seguridad (Seguridad)que serán grabados. Para
Toma este comando Comienzo.CORRER.eventvwr.. mSC.. En la ventana que aparece, llame a las propiedades del registro de seguridad y especifique los siguientes parámetros:

    Tamaño máximo de registro \u003d 65536 KB. (para estaciones de trabajo) o 262144 KB. (para servidores)

    Sobrescribir eventos según sea necesario.

De hecho, los números especificados no están garantizados precisos, pero se seleccionan con experiencia para cada caso específico.

Ventanas 2003/ Xp.)?

Hacer clic Comienzo. CORRER. eventvwr.msc. Seguridad. VISTA.Filtrar.

  • Fuente de evento: Seguridad;
  • Categoría: Acceso de objetos;
  • Tipos de eventos: Auditoría de éxito;
  • Identificación del evento: 560;


Explore una lista de eventos filtrados, prestando atención a los siguientes campos dentro de cada registro:

  • Objeto.Nombre.. El nombre de la carpeta de búsqueda o archivo;
  • Imagen.ArchivoNombre.. El nombre del programa mediante el cual se eliminó el archivo;
  • Accesos.. Un conjunto de derechos solicitados.

El programa puede solicitar varios tipos de acceso en el sistema, por ejemplo, Borrar.+ Sincronizar o Borrar.+ Leer._ Control. Significativo para nosotros es el derecho es Borrar..


Entonces, quien eliminó los documentos (Ventanas 2008/ Vista.)?

Hacer clic Comienzo. CORRER. eventvwr.msc. y abierto para ver la revista Seguridad. La revista se puede llenar con eventos, actitud directa hacia el problema de no tener. Al hacer clic con el botón derecho en el registro de seguridad, seleccione Comando VISTA.Filtrar. Y filtre los siguientes criterios:

  • Fuente de evento: Seguridad;
  • Categoría: Acceso de objetos;
  • Tipos de eventos: Auditoría de éxito;
  • ID del Evento: 4663;

No se apresure a interpretar toda la remoción tan maliciosa. Esta característica se usa a menudo en el funcionamiento normal de los programas, por ejemplo, ejecutando el comando. Ahorrar. (Ahorrar), Programas de paquete Microsoft.Oficina. Primero, cree un nuevo archivo temporal, guarde el documento, luego retire versión previa expediente. De manera similar, muchas aplicaciones de base de datos en Startup primero crean un archivo de bloqueo temporal (. lck), Luego elimínelo al salir del programa.

Tuve que enfrentar ambas acciones maliciosas de los usuarios. Por ejemplo, un oficial de conflicto de alguna empresa, al despedir del lugar de trabajo, decidió destruir todos los resultados de su trabajo, eliminando los archivos y carpetas a los que tuvo una relación. Los eventos de este tipo son bien notables: generan docenas, cientos de registros por segundo en la revista de seguridad. Por supuesto, restaurando documentos de Sombra.Copias. (Copias de sombra) O el archivo creado automáticamente diario, no es muy difícil, pero al mismo tiempo podría responder preguntas "¿Quién lo hizo?" Y "¿Cuándo sucedió?".

Viktor Lyudov
Gerente de proyecto InformSVYAZ HOLDING

Requisitos previos para la implementación del sistema.

El primer estudio global abierto de las amenazas internas realizadas en 2007. seguridad de información InfoWatch (de acuerdo con los resultados de 2006) mostró que las amenazas internas no son menos comunes (56.5%) que externas (malware, spam, acciones de hackers, etc.). Al mismo tiempo, en la mayoría abrumadora (77%), la razón de la implementación de la amenaza interna es la negligencia de los propios usuarios (incumplimiento de las descripciones de los puestos de trabajo o descuidar los medios elementales de protección de la información).

Dinámica de los cambios en la situación en el período 2006-2008. Reflejado en la fig. uno.

La disminución relativa en la proporción de fugas debido a la negligencia se debe a la implementación parcial de los sistemas para prevenir las fugas de la información (incluidos los sistemas de monitoreo de usuarios), que proporcionan un grado de protección suficientemente alto contra fugas aleatorias. Además, se debe al aumento absoluto en el número de robos intencionales de datos personales.

A pesar del cambio en las estadísticas, todavía es posible afirmar con confianza que la prioridad es combatir las fugas involuntarias de información, ya que es más fácil contrarrestar dichas fugas, más baratas, y el resultado está cubierto por la mayoría de los incidentes.

Al mismo tiempo, los oficiales de negligencia, según el análisis de los resultados de los estudios de InfoWatch y Perimetrix para 2004-2008, se ubican en el segundo lugar entre las amenazas más peligrosas (los resultados de investigación consolidados se presentan en la FIG. 2), y su relevancia continúa crecer junto con la mejora de las empresas de software y sistemas automatizados de hardware (AC).

Por lo tanto, la introducción de sistemas que eliminan la posibilidad de un impacto negativo de un empleado en IB a la empresa ACS (incluidos los programas de monitoreo), para proporcionar a los empleados el servicio de la IB a la base de evidencia y los materiales para la investigación del incidente, eliminarán el La amenaza de fugas debido a la negligencia, reduce significativamente las fugas aleatorias, y también se reducen ligeramente a la intencional. En última instancia, esta medida debería permitir reducir significativamente la realización de las amenazas de los infractores internos.

Auditoría de AU moderna de acciones de usuario. Ventajas y desventajas

Los sistemas automatizados de auditoría (monitoreo) de las acciones de usuario (ASADP) AUS, a menudo denominadas productos de software de monitoreo, están diseñados para su uso por administradores de seguridad (Organización del IB) para garantizar su observabilidad: "Propiedades de un sistema de computación que le permita registrar al usuario La actividad, y también establece de forma única identificadores involucrados en ciertos eventos de usuarios para evitar la violación de las políticas de seguridad y / o la responsabilidad de ciertas acciones ".

La propiedad de la observabilidad de la CA, dependiendo de la calidad de su implementación, le permite en cierta medida para monitorear la observancia por parte de los empleados de la organización de su política de seguridad y las reglas establecidas para el trabajo seguro en las computadoras.

Aplicación del monitoreo productos de software, Incluido el tiempo real, está diseñado:

  • determinar (localizar) todos los casos de intentos de acceso no autorizado a la información confidencial con una indicación exacta del lugar de trabajo de tiempo y red de donde se realizó dicho intento;
  • identificar los hechos de una instalación no autorizada de software;
  • identifique todos los casos de uso no autorizado de hardware adicionales (por ejemplo, módems, impresoras, etc.) analizando los hechos de lanzamiento de aplicaciones especializadas instaladas no autorizadas;
  • determine todos los casos de establecimiento en el teclado de palabras y frases críticas, la preparación de documentos críticos, la transferencia de los cuales a terceros conducirá a daños materiales;
  • controlar el acceso a servidores y computadoras personales;
  • control de contactos al surfear internet;
  • realizar investigaciones relacionadas con la determinación de la precisión, la eficiencia y la adecuación de la respuesta del personal a las influencias externas;
  • determinar la descarga de trabajos de computadora para la organización (por hora del día, día de la semana, etc.) con el objetivo de la organización científica del trabajo laboral;
  • control de casos de uso. computadoras personales tiempo inoperante e identificar el propósito de dicho uso;
  • recibir la información confiable necesaria, sobre la base de los cuales se toman las decisiones sobre el ajuste y la mejora de la política de la organización IB, etc.

La implementación de estas funciones se logra mediante la implementación de módulos de agentes (sensores) en estaciones de trabajo y servidores de CA con una encuesta adicional del estado o recibiendo informes de ellos. Los informes se procesan en la consola de administrador de seguridad. Algunos sistemas están equipados con servidores intermedios (puntos de consolidación) procesando sus áreas y grupos de seguridad.

Realizado análisis del sistema Las soluciones presentadas en el mercado (STATWIN, TIVOLI Configuration Manager, Tivoli Remote Control, OpenView Operations, el "Distrito / Empresa Guardia", INSIDER) nos permitieron resaltar una serie de propiedades específicas, lo que le da a la AsadP prometedora para aumentar sus indicadores de eficiencia en comparación con A las muestras estudiadas.

En general, junto con un paquete funcional bastante amplio y un gran paquete de opciones, los sistemas existentes se pueden usar para realizar un seguimiento de las actividades de solo usuarios individuales de la CA según una encuesta cíclica obligatoria (escaneo) de todos los elementos específicos de la CA (y Primero de todos los usuarios de brazos).

Al mismo tiempo, la distribución y escala del AU moderno, incluida una cantidad suficientemente grande de brazo, tecnologías y software, complica significativamente el proceso de monitoreo del trabajo de los usuarios, y cada uno de dispositivos de red Es capaz de generar miles de mensajes de auditoría que logren cantidades suficientemente grandes de información que requieren bases de datos enormes, a menudo duplicadas. Estos fondos, entre otras cosas, consumen recursos significativos de red y hardware, cargan en general de AC. Son inflexibles a las reconfiguraciones de hardware y software. red de computadorasNo pueden adaptarse a los tipos desconocidos de violaciones y ataques de la red, y la eficiencia de detectar violaciones de seguridad dependerá en gran medida de la frecuencia de escaneo por los elementos administradores de seguridad de la CA.

Una forma de mejorar la eficiencia de los sistemas especificados es el aumento directo en la frecuencia de exploración. Esto inevitablemente conducirá a una disminución en la efectividad de las tareas principales para las cuales, en realidad, esta AU está destinada, debido a un aumento significativo en la carga de computación tanto en el Administrador del ADM como en las computadoras de las estaciones de trabajo de los usuarios, también Como el crecimiento del tráfico. red local Au.

Además de los problemas asociados con el análisis de una gran cantidad de datos, en los sistemas de monitoreo existentes, existen serias restricciones sobre la eficiencia y la precisión de las decisiones causadas por el factor humano determinado por oportunidades físicas Administrador como hombre de operador.

La presencia en los sistemas de monitoreo existentes La posibilidad de alertas sobre acciones explícitas no autorizadas de los usuarios en tiempo real no resuelve fundamentalmente el problema en su conjunto, ya que le permite rastrear solo de antemano los tipos de violaciones conocidas (método de firma), y es No es capaz de contrarrestar nuevos tipos de violaciones.

El desarrollo y el uso de métodos extensos en los sistemas para la protección de métodos extensos de su disposición que proporcionan un aumento en el nivel de su protección a expensas de una "selección" adicional del recurso informático en la AU, reduce las posibilidades de la AU. Para resolver las tareas para las cuales está destinado, y / o aumenta su valor. El hecho de no abordar el mercado de tecnología de TI en rápido desarrollo es bastante obvio.

Sistema de auditoría automatizado (monitoreo) de acciones de usuario. Propiedades en perspectiva

A partir de los resultados de análisis anteriores, la necesidad obvia de dar las siguientes propiedades a los sistemas de monitoreo de perspectiva:

  • automatización excluyendo las operaciones de rutina "manual";
  • centralización combinada (basada en el lugar de trabajo de administrador de seguridad automatizado) con gestión de niveles elementos individuales (Intelectual programas de computador) sistemas de monitoreo del sistema de usuarios de CA;
  • escalabilidad que le permite aumentar la capacidad de los sistemas de monitoreo y ampliar sus capacidades sin un aumento significativo en los recursos computacionales necesarios para su funcionamiento efectivo;
  • adaptabilidad al cambio en la composición y características de la CA, así como al surgimiento de nuevos tipos de violaciones de seguridad.

Estructura generalizada de Asadp como, que ha marcado características distintivasque se puede implementar en AC para varios propósitos y accesorios presentados en la FIG. 3.

La estructura anterior incluye los siguientes componentes principales:

  • componentes de software-Sensores colocados en algunos elementos de la CA (en los lugares de trabajo de usuarios, servidores, equipos de red, herramientas de seguridad de la información), que sirven para solucionar y procesar datos de auditoría en tiempo real;
  • archivos de registro que contienen información intermedia sobre la operación del usuario;
  • componentes de procesamiento de datos y componentes de toma de decisiones que reciben información de los sensores a través de archivos de registro que analizan y toman decisiones sobre otras acciones (por ejemplo, el registro de alguna información en la base de datos, la notificación de funcionarios, la creación de informes, etc.);
  • una base de datos de auditoría (base de datos), que contiene información sobre todos los eventos registrados, basados \u200b\u200ben informes y monitorea el estado del AC para cualquier período de tiempo dado;
  • componentes de informes y certificados basados \u200b\u200ben la información registrada en la base de datos de auditoría y filtrando registros (por fecha, por identificadores de usuario, por estación de trabajo, por eventos de seguridad, etc.);
  • el componente de la interfaz del administrador de seguridad que sirve para administrar el trabajo de ASADP AC con su brazo, visualización e impresión de información, creando un tipo diferente de solicitudes de base de datos e informes de informes, lo que permite realizar un seguimiento real de las actividades actuales de los usuarios de CA y evaluar la corriente. nivel de seguridad de diversos recursos;
  • componentes adicionales, en particular, componentes de configuración de software, instalación y colocación de sensores, archivo y cifrado de información, etc.

El procesamiento de la información en ASADP AC incluye los siguientes pasos:

  • fijación de los sensores de información de registro;
  • recopilación de información de sensores individuales;
  • intercambio de información entre los respectivos agentes del sistema;
  • procesamiento, análisis y correlación de eventos registrados;
  • representación de la información procesada al administrador de seguridad en forma normalizada (en forma de informes, diagramas, etc.).

Para minimizar los recursos informáticos requeridos, lo que aumenta el secreto y la confiabilidad del sistema, el almacenamiento de información se puede llevar a cabo en varios elementos de la CA.

Basado en la tarea de dar la AC de ASADP fundamentalmente nueva (en comparación con sistemas existentes Auditoría del trabajo de los usuarios de la AC) Propiedades de automatización, combinaciones de centralización y descentralización, escalabilidad y adaptabilidad, una de las posibles estrategias para su construcción. tecnología moderna Sistemas inteligentes multi-agentes implementados desarrollando una comunidad de agentes integrados. diferentes tipos (Programas sin conexión inteligentes que implementan ciertas funciones de detección y oposición para contradecir las políticas de seguridad de los usuarios) y organizar su interacción.

Para realizar una auditoría de acceso a archivos y carpetas en Windows Server 2008 R2, debe habilitar la función de auditoría, así como especificar carpetas y archivos, acceso al que desea solucionar. Después de configurar la auditoría, el registro del servidor contendrá información sobre el acceso y otros eventos a los archivos y carpetas seleccionados. Vale la pena señalar que la auditoría del acceso a los archivos y carpetas solo se puede realizar en volúmenes con el sistema de archivos NTFS.

Encienda una auditoría para archivar objetos del sistema en Windows Server 2008 R2

El acceso de auditoría a archivos y carpetas se enciende y se desconecta por política de grupo: Política de dominio para el dominio de Active Directory o la política de seguridad local para servidores separados. Para habilitar la auditoría en un servidor separado, debe abrir la consola de administración de políticas local Inicio -\u003eTodas.Programas -\u003eAdministrativoHerramientas -\u003eLocalSeguridadPolítica. En la consola de políticas local, debe implementar un árbol de políticas local ( LocalPolíticas) y elige un artículo Auditoría. Política.

En el panel derecho necesitas seleccionar un artículo Auditoría.Objeto.Acceso Y en la ventana que aparece, especifique qué tipos de acceso y carpetas de eventos deben ser arreglados (acceso exitoso / sin éxito):


Después de la selección ajustes necesarios Necesita presionar está bien.

Seleccione Archivos y Carpetas, Acceso a los cuales se fijará

Después de la auditoría activada de acceso a archivos y carpetas, debe seleccionar objetos específicos sistema de archivos, Acceso de auditoría a los que se realizará. Así como los permisos de NTFS, la configuración de auditoría predeterminada se hereda para todos subsidiarias (Si no está configurado de otra manera). De la misma manera, al igual que cuando asigne los derechos de acceso a los archivos y carpetas, la herencia de la configuración de auditoría se puede habilitar tanto para todos como para los objetos seleccionados.

Para configurar una auditoría para una carpeta / archivo específica, debe hacer clic en él con el botón derecho del mouse y seleccione Propiedades ( Propiedades.). En la ventana Propiedades, debe ir a la pestaña Seguridad ( Seguridad) y haga clic en el botón Avanzado. En la ventana de configuración de seguridad avanzada ( AvanzadoSeguridadAjustes) Veamos a la pestaña Auditoría ( Revisión de cuentas.). Configuración de auditoría, naturalmente, requiere derechos de administrador. Sobre el este escenario La ventana de Auditoría mostrará una lista de usuarios y grupos para los que se enciende una auditoría para este recurso:

Para agregar usuarios o grupos cuyo acceso a este objeto se fijará, debe hacer clic en el botón Agregar ... y especifique los nombres de estos usuarios / grupos (o especifiquen Todos. - Auditar a todos los usuarios Acceso):

Inmediatamente después de aplicar estas configuraciones en el registro del sistema de seguridad (puede encontrarlo en el SNAP OrdenadorGestión -\u003eVisor de eventos), cada vez que se enciende el acceso a los objetos para los que se enciende la auditoría, aparecerán las entradas apropiadas.

Alternativamente, los eventos se pueden ver y filtrar utilizando el cmdlet PowerShell: Get-eventlog. Por ejemplo, para llevar todos los eventos con EventID 4660, realizaré un comando:

Get-eventlog Security | ? ($ _. Eventid -eq 4660)

Consejo. Es posible asignar a cualquier evento en revista de Windows Ciertas acciones, como el envío. email o ejecución del guión. La configuración se describe en el artículo:

Updice desde 06.08.2012 (Gracias).

En Windows 2008 / Windows 7, apareció el control de auditoría. utilidad especial auditpol.. Lista llena Tipos de objetos a los que puede habilitar la auditoría se puede ver usando el comando:

Auditpol / Lista / Subcategoría: *

¿Cómo ve estos objetos se dividen en 9 categorías:

  • Sistema.
  • Inicio de sesión / cierre de sesión.
  • Acceso de objetos.
  • Uso del privilegio.
  • Seguimiento detallado
  • Cambio de política
  • Administración de cuentas.
  • Acceso DS
  • Inicio de sesión de cuenta.

Y cada uno de ellos, respectivamente, compartir en la subcategoría. Por ejemplo, la categoría de auditoría de acceso a objetos incluye la subcategoría del sistema de archivos y para habilitar la auditoría para los objetos del sistema de archivos en la computadora ejecutará el comando:

Auditpol / SET / Subcategory: "Sistema de archivos" / Fallo: habilitar / éxito: habilitar

Se apaga de acuerdo con el comando:

AuditPol / SET / Subcategory: "Sistema de archivos" / Fallo: Deshabilitar / Éxito: Deshabilitar

Esos. Si apaga la auditoría de subcategorías innecesarias, puede reducir significativamente el volumen del registro y el número de eventos innecesarios.

Una vez que se activa la auditoría de acceso a archivos y carpetas, debe especificar objetos específicos que se monitorearán (en las propiedades de los archivos y carpetas). Tenga en cuenta que mediante la configuración de auditoría predeterminada se hereda a todos los objetos secundarios (a menos que se indique lo contrario).

En la necesidad de implementar los sistemas de auditoría del sistema en las organizaciones de cualquier nivel, están convencidas de la investigación de las compañías de análisis de seguridad de la información.

El estudio del laboratorio de Kaspersky, por ejemplo, mostró: Se causan dos tercios de los incidentes de IB (67%), incluidas las acciones de empleados mal informados o inatentos. Al mismo tiempo, según la investigación de ESET, el 84% de las empresas subestiman los riesgos causados \u200b\u200bpor el factor humano.

La protección contra amenazas relacionadas con el usuario "desde el interior" requiere un gran esfuerzo que la protección contra amenazas externas. Para contrarrestar las "plagas" desde el exterior, incluidos los virus y los ataques de destino en la red de la organización, es suficiente para implementar el software o el complejo de software y hardware adecuados. Para asegurar la organización del atacante interno, se requerirán inversiones más serias en la infraestructura de seguridad y el análisis profundo. El trabajo analítico incluye la asignación de tipos de amenazas, lo más crítico para las empresas, así como la compilación de "retratos de violadores", es decir, las definiciones de las cuales se pueden aplicar daños, en función de sus competencias y poderes.

Con la auditoría de las acciones de los usuarios está inextricablemente vinculada, no solo la comprensión del cual "Bresci" en el sistema de seguridad de la información debe cerrarse rápidamente, sino también la cuestión de la sostenibilidad del negocio en su conjunto. Las empresas configuradas para actividades continuas deben tener en cuenta que con complicación y creciente proceso de informatización y automatización de negocios, el número de amenazas internas solo crece.

Además de realizar un seguimiento de las acciones de un empleado ordinario, es necesario auditar las operaciones de "superáusers", empleados con derechos privilegiados y, en consecuencia, implementar más o intencionalmente la amenaza de fugas de información. Dichos usuarios incluyen administradores del sistema, administradores de bases de datos, desarrolladores de software internos. También puede agregar y atraer a los especialistas en TI, y los empleados responsables del IB.

La implementación de un sistema para monitorear las acciones de los usuarios en la empresa le permite arreglar y responder a la actividad de los empleados. IMPORTANTE: El sistema de auditoría debe tener una propiedad de inclusión. Esto significa que la información sobre las actividades de un empleado ordinario, el administrador del sistema o el gerente superior deben analizarse a nivel sistema operativo, uso de aplicaciones empresariales, a nivel de dispositivos de red, apelaciones a bases de datos, conexión de medios externos, etc.

Los sistemas de auditoría integrados modernos le permiten controlar todos los pasos de las acciones de usuario desde comenzar a desactivar la PC (Terminal Lugar de trabajo). Es cierto, en la práctica, el control total está tratando de evitar. Si en los registros de auditoría para grabar todas las operaciones, la carga en la infraestructura del sistema de información de la organización está aumentando repetidamente: las estaciones de trabajo "colgar", los servidores y los canales funcionan bajo carga completa. La paranoia en el tema de la seguridad de la información puede dañar el negocio, disminuyendo significativamente los flujos de trabajo.

Un especialista competente de seguridad de la información determina principalmente:

  • qué datos en la empresa son los más valiosos, ya que la mayoría de las amenazas internas se conectarán con ellos;
  • quién y en qué nivel pueden tener acceso a datos valiosos, es decir, describe el círculo de los posibles intrusos;
  • la cantidad de medidas de protección actuales pueden soportar las acciones intencionales y / o aleatorias de los usuarios.

Por ejemplo, los especialistas en IB del sector financiero consideran las amenazas más peligrosas para las fugas de los datos de pago y el abuso de acceso. En el sector industrial y del transporte, las fugas de conocimientos y el comportamiento desleal de los trabajadores tienen miedo. Preocupaciones similares en el negocio de TI y Telecomunicaciones, donde las amenazas más críticas de fugas de sus propios desarrollos, secretos comerciales y información de pago.

Como los intrusos "típicos" más probables de analíticos asignan:

  • Gestión superior: La elección es obvia: las potencias más amplias posibles, el acceso a lo más información valiosa. Al mismo tiempo, el responsable de la seguridad a menudo cierra sus ojos a las violaciones de las reglas de IB con tales figuras.
  • Empleados de bebés : Para determinar el grado de lealtad, los especialistas en IB de la Compañía deben realizarse mediante acciones de análisis de un empleado por separado.
  • Administradores: Los especialistas con acceso preferido y autoridad ampliada con un conocimiento profundo en la esfera de TI son susceptibles de ser seducidos acceso no autorizado a información importante;
  • Empleados de Organizaciones Contratantes / Outsourcing : Al igual que los administradores, los expertos "desde afuera", que poseen un amplio conocimiento, pueden realizar diversas amenazas por "dentro" del sistema de información del cliente.

La definición de la información más significativa y los atacantes más probables ayuda a construir un sistema de control de usuario no total, pero selectivo. Se "descarga" sistema de informacion Y elimina a los especialistas en IB del trabajo redundante.

Además del monitoreo selectivo, un papel importante para acelerar el funcionamiento del sistema, mejorar la calidad del análisis y la reducción de la carga en la infraestructura, desempeña la arquitectura de los sistemas de auditoría. Los sistemas de auditoría de sistemas modernos de las acciones del usuario tienen una estructura distribuida. A finales de las estaciones de trabajo y los servidores, se instalan los sensores, que analizan los eventos de un tipo particular y transmiten datos a centros de consolidación y almacenamiento. El análisis de la información fija sobre el sistema establecida en el sistema se encuentra en las revistas de auditoría los hechos de la actividad sospechosa o anormal, que no se pueden atribuir inmediatamente al intento de realizar la amenaza. Estos hechos se transmiten al sistema de respuesta que está notando el administrador de seguridad en violación.

Si el sistema de auditoría es capaz de hacer frente de forma independiente la violación (generalmente en tales complejos, IB proporciona un método de respuesta anajeado a la amenaza), entonces se suministra la violación a modo automatico, Y toda la información necesaria sobre el infractor, sus acciones y el objeto de amenazas caen en una base de datos especial. La consola de administrador de seguridad en este caso notifica la amenaza de neutralizar.

Si el sistema no incluye métodos de respuesta automáticos para la actividad sospechosa, entonces toda la información para neutralizar la amenaza o para analizar sus consecuencias se transmite a la consola de administrador de IB para realizar operaciones en modo manual.

En el sistema de monitoreo de cualquier organización, debe configurar las operaciones:

Auditoría de uso de estaciones de trabajo, servidores, así como tiempo (por la hora y días de la semana) de la actividad del usuario. De esta manera, se establece la viabilidad de utilizar recursos de información.

Anotación: En la conferencia final, se otorgan las últimas recomendaciones a la implementación. medios técnicos Protección de la información protectora, las características y los principios de funcionamiento de las soluciones de InfoWatch se consideran en detalle.

Soluciones de software de InfoWatch

El propósito de este curso no es un conocido detallado con los detalles técnicos del trabajo de los productos de InfoWatch, por lo que los consideran de marketing técnico. Los productos de InfoWatch se basan en dos tecnologías fundamentales: filtrado de contenido y auditoría de acciones de usuario o administrador en el lugar de trabajo. También una parte integral de la solución INFOWAPT integrada es el repositorio de información que ha llevado al sistema de información y una única consola de administración de seguridad interna.

Filtrado de contenido de información de canales de tráfico.

La característica distintiva principal del InfoWatch de filtrado de contenido es el uso del núcleo morfológico. En contraste con el filtrado de firma tradicional, la tecnología de filtrado de contenido de InfoWAPT tiene dos ventajas: insensibilidad a la codificación elemental (reemplazando algunos caracteres a otros) y un mayor rendimiento. Dado que el kernel no funciona con palabras, sino con formas de raíces, automáticamente reduce las raíces que contienen codificaciones mixtas. Además, trabaje con las raíces, que en cada idioma hay menos de diez mil, y no con formas de palabras, que en idiomas, aproximadamente un millón, le permite mostrar resultados significativos en equipos suficientemente no productivos.

Auditoría de acciones de usuario.

Para monitorear las acciones de los usuarios con los documentos en la estación de trabajo de InfoWatch, ofrece varios interceptores en un agente en la estación de trabajo: operaciones de archivos, operaciones de impresión, operaciones dentro de las aplicaciones, operaciones con dispositivos adjuntos.

Repositorio de información que dejó el sistema de información en todos los canales.

InfeWatch ofrece el repositorio de información que ha liderado el sistema de información. Los documentos aprobados a través de todos los canales que llevan al exterior del sistema, el correo electrónico, Internet, la impresión y los medios intercambiables se almacenan en la aplicación * Almacenamiento (hasta 2007 - Módulo Servidor de almacenamiento del monitor de tráfico) Con todos los atributos: nombre completo y la posición del usuario, sus proyecciones electrónicas (direcciones IP, cuenta o dirección postal), fechas y tiempo de operación, nombre y atributos de documentos. Toda la información está disponible para su análisis, incluido el contenido.

Acciones relacionadas

La introducción de medios técnicos para proteger la información confidencial es ineficaz sin el uso de otros métodos, principalmente organizativos. Arriba, ya hemos considerado algunos de ellos. Ahora vamos a permanecer con más detalle sobre otras acciones necesarias.

Modelos de comportamiento de los infractores.

Ampliando un sistema para monitorear acciones con información confidencial, además del aumento de la funcionalidad y las capacidades analíticas, es posible desarrollarse en dos direcciones. La primera es la integración de los sistemas de protección de amenazas internas y externas. Los incidentes de los últimos años muestran que hay una distribución de roles entre los intrusos internos y externos, y la combinación de información de los sistemas de monitoreo de amenazas externas e internas permitirá detectar los hechos de tales ataques combinados. Uno de los puntos de contacto de la seguridad externa e interna es administrar los derechos de acceso, especialmente en el contexto de la simulación de la producción, la necesidad de aumentar sus derechos con los empleados desleales y Sabota. Cualquier solicitud de acceso a los recursos no previstas por los derechos oficiales debe incluir inmediatamente un mecanismo para la auditoría de acciones con esta información. Todavía es más seguro resolver las tareas que surgen repentinamente sin abrir el acceso a los recursos.

Damos un ejemplo de la vida. Administrador de sistema Aplicado desde el jefe del Departamento de Marketing para abrir el acceso al sistema financiero. Como justificación de la solicitud, se aplicó la tarea. director general En la investigación de mercadotecnia de los procesos de compra de bienes producidos por la empresa. Dado que el sistema financiero es uno de los recursos más protegidos y el permiso para acceder a la CEO, el jefe del Departamento de Seguridad de la Información sobre la solicitud escribió una solución alternativa, no para dar acceso, sino de descargarse en una base especial para analizar Un impersonal (sin especificar clientes). En respuesta a las objeciones del comerciante principal que fue inconveniente de trabajar, por lo que el Director le preguntó "en la frente": "¿Por qué necesita nombres de clientes? ¿Quiere fusionar la base?" -Espués de todos fueron a trabajar. Si fue un intento de organizar fugas de información, nunca aprenderemos, pero sea lo que sea, el sistema financiero corporativo ha sido protegido.

Evitar fugas en la etapa de preparación.

Otra dirección de desarrollo del sistema de monitoreo de incidentes internos con información confidencial es construir un sistema de prevención de fugas. El algoritmo del trabajo de dicho sistema es el mismo que en las soluciones para prevenir la intrusión. Primero, se construye el modelo del intruso, se forma la "firma de la violación", es decir, la secuencia de las acciones del intruso. Si varias acciones de usuario coincidieron con una firma de violación, se predice la siguiente etapa de usuario si coincide con la firma: se alimenta la alarma. Por ejemplo, se abrió un documento confidencial, se asignó parte de él y se copió al amortiguador, luego se creó nuevo documento Y se copió los contenidos del tampón. El sistema sugiere: si el nuevo documento se guardará sin una etiqueta "confidencial", este es un intento de abducción. No se inserta una unidad USB, no se está formando una letra, y el sistema informa a un oficial de seguridad de la información que toma una decisión: detener al empleado o rastrear donde va la información. Por cierto, el modelo (en otras fuentes: "Los perfiles") del comportamiento del infractor se pueden usar, no solo recopilar información de los agentes de software. Si puede analizar la naturaleza de las consultas de la base de datos, siempre puede identificar a un empleado que una serie de consultas consecutivas a la base está tratando de obtener un número específico de información. Es necesario trazar inmediatamente lo que hace con estas solicitudes, ya sea que los mantienen, si los medios intercambiables se conectan, etc.

Organización de almacenamiento de información.

Principios de anonimización y datos de cifrado - condición requerida Organizaciones de almacenamiento y procesamiento, y acceso remoto Puede organizar el protocolo de terminal, sin salir de la computadora a partir de la cual se organiza la solicitud, no hay información.

Integración con sistemas de autenticación.

Tarde o temprano, el cliente tendrá que usar un sistema de monitoreo con documentos confidenciales para resolver problemas de personal, por ejemplo, el despido de empleados basados \u200b\u200ben los hechos documentados por este sistema o incluso el procesamiento de personas que permitieron fugas. Sin embargo, todo lo que puede dar un sistema de monitoreo es un identificador de intrusos electrónicos, una dirección IP, cuenta, Dirección de correo electrónico, etc. Para acusar legalmente al empleado, necesita unir este identificador a la persona. Aquí, el integrador abre un nuevo mercado: la introducción de sistemas de autenticación es de fichas simples a biométricos avanzados y identificadores RFID.