Menü
Bedava
kayıt
ev  /  Kurulum ve konfigürasyon/ Kullanıcı eylemlerini denetlemek (izlemek) için otomatik sistem. Kullanıcı etkinliği denetimi Hazırlık aşamasında sızıntı önleme

Kullanıcı eylemlerini denetlemek (izlemek) için otomatik bir sistem. Kullanıcı etkinliği denetimi Hazırlık aşamasında sızıntı önleme

Bazen bir soruyu cevaplamamızı gerektiren olaylar olur "bunu kim yaptı?" Bu "nadiren, ancak uygun bir şekilde" olabilir, bu nedenle sorunun cevabına önceden hazırlanmalısınız.

Hemen hemen her yerde, bir dosya sunucusunda veya iş istasyonlarından birinde ortak (Paylaşılan) bir klasörde depolanan belge grupları üzerinde birlikte çalışan tasarım departmanları, muhasebe departmanları, geliştiriciler ve diğer çalışan kategorileri vardır. Birisi bu klasörden önemli bir belgeyi veya dizini silebilir ve bunun sonucunda tüm ekibin çalışması kaybolabilir. Bu durumda, sistem yöneticisinin önünde birkaç soru ortaya çıkar:

    Sorun ne zaman ve ne zaman ortaya çıktı?

    Bu sefer en yakın hangisi destek olmak verilerimi kurtarmalı mıyım?

    belki vardı sistem hatası bu tekrar olabilir mi?

Windows'un bir sistemi var Denetim, belgelerin ne zaman, kim tarafından ve hangi program yardımıyla silindiğini takip etmenize ve kaydetmenize olanak sağlar. Varsayılan olarak, Denetim etkin değildir - izlemenin kendisi, sistem gücünün belirli bir yüzdesini gerektirir ve her şeyi arka arkaya kaydederseniz yük çok büyük olur. Ayrıca, tüm kullanıcı eylemleri bizi ilgilendirmeyebilir, bu nedenle Denetim politikaları yalnızca bizim için gerçekten önemli olan olayların izlenmesini sağlamamıza izin verir.

Denetim sistemi tüm işletim sistemlerinde yerleşiktir MicrosoftpencerelerNT: Windows XP / Vista / 7, Windows Server 2000/2003/2008. Ne yazık ki, serinin sistemlerinde Windows Ana Sayfası denetim derinlere gömülür ve özelleştirilmesi çok zordur.

Özelleştirmek için neye ihtiyacınız var?

Denetimi etkinleştirmek için, paylaşılan belgelere erişim sağlayan bilgisayarda yönetici haklarıyla oturum açın ve komutu çalıştırın. BaşlangıçÇalıştırmakgpedit.msc. Bilgisayar Yapılandırması bölümünde, klasörü genişletin Windows AyarlarıGüvenlik ayarlarıYerel PolitikalarDenetim Politikaları:

Politikaya çift tıklayın Denetim nesnesi erişimi (Nesne Erişim Denetimi) ve onay kutusunu seçin Başarı. Bu parametre, dosyalara ve kayıt defterine başarılı erişimi izlemek için bir mekanizma sağlar. Aslında, yalnızca başarılı dosya veya klasör silme girişimleriyle ilgileniyoruz. Yalnızca doğrudan izlenen nesnelerin depolandığı bilgisayarlarda Denetimi etkinleştirin.

Yalnızca Denetim ilkesini etkinleştirmek yeterli değildir, ayrıca erişimi izleyeceğimiz klasörleri de belirtmemiz gerekir. Genellikle bu tür nesneler, paylaşılan (paylaşılan) belge klasörleri ve üretim programlarına veya veritabanlarına (muhasebe, depo vb.) sahip klasörlerdir - yani, birkaç kişinin çalıştığı kaynaklar.

Dosyayı kimin sileceğini önceden tahmin etmek imkansızdır, bu nedenle Herkes için izleme belirtilir. Herhangi bir kullanıcı tarafından izlenen nesneleri silmeye yönelik başarılı girişimler günlüğe kaydedilir. Gerekli klasörün özelliklerini arayın (bu tür birkaç klasör varsa, sırayla hepsi) ve sekmede Güvenlik → Gelişmiş → Denetim konu takibi ekle Herkes başarılı erişim girişimleri Silmek ve Alt Klasörleri ve Dosyaları Sil:


Birçok olay günlüğe kaydedilebilir, bu nedenle günlüğün boyutunu da ayarlamalısınız. Güvenlik(Güvenlik) hangisinde kaydedilecek. İçin
bu komutu çalıştır BaşlangıçÇalıştırmakolayvwr. msc. Görünen pencerede Güvenlik günlüğünün özelliklerini çağırın ve aşağıdaki parametreleri belirtin:

    Maksimum Günlük Boyutu = 65536 KB(iş istasyonları için) veya 262144 KB(sunucular için)

    Olayların üzerine gerektiği gibi yazın.

Aslında, bu rakamların kesinliği garanti edilmez, ancak her bir özel durum için ampirik olarak seçilir.

pencereler 2003/ deneyim)?

Tıklamak BaşlangıçÇalıştırmakeventvwr.msc Güvenlik. görüşfiltre

  • Olay Kaynağı: Güvenlik;
  • Kategori: Nesne Erişimi;
  • Olay Türleri: Başarı Denetimi;
  • Olay Kimliği: 560;


Her kaydın içindeki aşağıdaki alanlara dikkat ederek filtrelenmiş olaylar listesini gözden geçirin:

  • Nesneİsim. Aradığınız klasör veya dosyanın adı;
  • resimDosyaİsim. Dosyanın silindiği programın adı;
  • Erişim. İstenen haklar kümesi.

Program, sistemden aynı anda birkaç erişim türü talep edebilir - örneğin, Silmek+ senkronize et veya Silmek+ Okumak_ Kontrol. Bizim için önemli bir hak Silmek.


Peki, belgeleri kim sildi (pencereler 2008/ manzara)?

Tıklamak BaşlangıçÇalıştırmakeventvwr.msc ve görüntülemek için günlüğü açın Güvenlik. Günlük, doğrudan sorunla ilgili olmayan olaylarla doldurulabilir. Güvenlik günlüğüne sağ tıklayın ve görüşfiltre ve görünümü aşağıdaki kriterlere göre filtreleyin:

  • Olay Kaynağı: Güvenlik;
  • Kategori: Nesne Erişimi;
  • Olay Türleri: Başarı Denetimi;
  • Olay Kimliği: 4663;

Tüm silme işlemlerini kötü niyetli olarak yorumlamak için zaman ayırın. Bu işlev genellikle şu durumlarda kullanılır: rutin çalışma programlar - örneğin, komutu yürüterek Kaydetmek(Kaydetmek), paket programlar MicrosoftOfisönce yeni bir geçici dosya oluşturun, belgeyi bu dosyaya kaydedin ve ardından silin önceki versiyon dosya. Benzer şekilde, birçok veritabanı uygulaması, başlangıçta geçici bir kilit dosyası oluşturur. (. lck), daha sonra programdan çıkarken kaldırın.

Uygulamada, kötü niyetli kullanıcı davranışlarıyla da karşılaştım. Örneğin, belirli bir şirketin çatışan bir çalışanı işten çıkarıldığında, ilgili olduğu dosya ve klasörleri silerek çalışmasının tüm sonuçlarını yok etmeye karar verdi. Bu tür olaylar açıkça görülebilir - güvenlik günlüğünde saniyede onlarca, yüzlerce giriş oluştururlar. Tabii ki, belgelerin kurtarılması Gölgekopyalar (Gölge Kopyalar) ya da günlük olarak otomatik olarak oluşturulan bir arşiv zor değil ama aynı zamanda "Bunu kim yaptı?" sorularına da cevap verebildim. ve "Bu ne zaman oldu?"

Dipnot: Son ders, uygulama için nihai öneriler sunar. teknik araçlar gizli bilgilerin korunması, InfoWatch çözümlerinin özellikleri ve çalışma prensipleri ayrıntılı olarak tartışılır

InfoWatch yazılım çözümleri

Bu kursun amacı, InfoWatch ürünlerinin çalışmalarının teknik detayları ile ayrıntılı bir tanışma değildir, bu nedenle bunları teknik pazarlama açısından ele alacağız. InfoWatch ürünleri iki temel teknolojiye dayanmaktadır - içerik filtreleme ve işyerinde kullanıcı veya yönetici eylemlerinin denetimi. Ayrıca karmaşık InfoWatch çözümünün ayrılmaz bir parçası, bilgi sisteminden ve birleşik bir dahili güvenlik yönetim konsolundan ayrılan bir bilgi deposudur.

Bilgi hareket kanallarının içerik filtrelemesi

InfoWatch içerik filtrelemenin ana ayırt edici özelliği, morfolojik bir çekirdeğin kullanılmasıdır. Geleneksel imza filtrelemeden farklı olarak, InfoWatch içerik filtreleme teknolojisinin iki avantajı vardır - temel kodlamaya karşı duyarsızlık (bir karakterin diğeriyle değiştirilmesi) ve daha yüksek performans. Çekirdek kelimelerle değil kök formlarla çalıştığı için karışık kodlamalar içeren kökleri otomatik olarak keser. Ayrıca, dillerde yaklaşık bir milyon olan kelime formlarıyla değil, her dilde on binden az olan köklerle çalışmak, oldukça verimsiz ekipmanlarda önemli sonuçlar göstermenize olanak tanır.

Kullanıcı eylemlerinin denetimi

Bir iş istasyonundaki belgelerle kullanıcı eylemlerini izlemek için, InfoWatch bir iş istasyonundaki bir aracıda birkaç durdurucu sunar - dosya işlemleri, yazdırma işlemleri, uygulamalar içindeki işlemler, bağlı cihazlarla işlemler için önleyiciler.

Bilgi sisteminden tüm kanallardan ayrılan bilgi deposu.

InfoWatch, bilgi sisteminden ayrılan bir bilgi deposu sunar. Sistemin dışına çıkan tüm kanallardan geçirilen belgeler - e-posta, İnternet, basılı ve çıkarılabilir medya, depolama uygulamasına * kaydedilir (2007'ye kadar - Trafik İzleyici Depolama Sunucusu) tüm özellikleri belirten - kullanıcının adı ve konumu, elektronik projeksiyonları (IP adresi, hesap veya posta adresi), işlemin tarihi ve saati, belgelerin adı ve özellikleri. İçerik analizi de dahil olmak üzere tüm bilgiler analiz için kullanılabilir.

ilişkili eylemler

Gizli bilgileri korumaya yönelik teknik araçların tanıtılması, başta örgütsel olmak üzere diğer yöntemler kullanılmadan etkisiz görünmektedir. Bazılarını yukarıda zaten tartıştık. Şimdi diğer gerekli eylemler üzerinde daha ayrıntılı olarak duralım.

İhlal edenlerin davranış kalıpları

Artan işlevsellik ve analitik yeteneklere ek olarak, gizli bilgilerle eylemleri izlemek için bir sistem kurarak, iki yönde daha geliştirmek mümkündür. Birincisi, iç ve dış tehditlere karşı koruma sistemlerinin entegrasyonudur. Son yıllardaki olaylar, iç ve dış saldırganlar arasında bir rol dağılımı olduğunu ve dış ve iç tehditleri izleme sistemlerinden gelen bilgilerin kombinasyonunun, bu tür birleşik saldırılara ilişkin gerçekleri tespit etmeyi mümkün kıldığını göstermektedir. Dış ve iç güvenlik arasındaki temas noktalarından biri, özellikle sadakatsiz çalışanların ve sabotajcıların haklarını artırmak için endüstriyel gerekliliği simüle etme bağlamında erişim haklarının yönetimidir. Resmi görevlerin öngörmediği kaynaklara erişim talepleri, derhal bu bilgilerle eylemleri denetlemek için bir mekanizma içermelidir. Aniden ortaya çıkan sorunları kaynaklara erişim açmadan çözmek daha da güvenlidir.

Gerçek hayattan bir örnek alalım. Sistem yöneticisi, finansal sisteme açık erişim için pazarlama departmanı başkanından bir başvuru aldı. Başvuru gerekçesi olarak bir atama eklenmiştir. genel müdürşirket tarafından üretilen malları satın alma süreçlerinin pazarlama araştırması için. Finansal sistem en çok korunan kaynaklardan biri olduğundan ve erişim izni bölüm başkanı CEO tarafından verilir. bilgi Güvenliği uygulamaya yazdı alternatif çözüm- erişim vermeyin, ancak anonimleştirilmiş (istemcileri belirtmeden) verileri analiz için özel bir veritabanına yükleyin. Baş pazarlamacının bu şekilde çalışmasının sakıncalı olduğu yönündeki itirazlarına yanıt olarak, müdür ona doğrudan bir soru sordu: "Neden müşterilerin adlarına ihtiyacınız var - veritabanını birleştirmek istiyor musunuz?" - ondan sonra herkes işe gitti. Bunun bir bilgi sızıntısı düzenleme girişimi olup olmadığını asla bilemeyeceğiz ama her ne ise, kurumsal finansal sistem korunuyordu.

Hazırlık aşamasında sızıntıların önlenmesi

Gizli bilgiler içeren dahili olaylar için bir izleme sisteminin geliştirilmesindeki bir diğer yön, bir sızıntı önleme sisteminin oluşturulmasıdır. Böyle bir sistemin çalışma algoritması, izinsiz giriş önleme çözümlerindeki ile aynıdır. İlk olarak, bir "ihlal imzasının", yani davetsiz misafirin bir dizi eyleminin oluşturulduğu bir davetsiz misafir modeli oluşturulur. İhlal imzası ile birden fazla kullanıcı eylemi çakışırsa, kullanıcının bir sonraki adımı tahmin edilir, imzayla da eşleşirse bir alarm üretilir. Örneğin, gizli bir belge açıldı, bir kısmı seçilip panoya kopyalandı, ardından bir yeni belge ve arabelleğin içeriği içine kopyalanmıştır. Sistem, yeni bir belgenin daha sonra "gizli" etiketi olmadan kaydedilmesi durumunda bunun bir çalma girişimi olduğunu varsayar. USB sürücüsü henüz takılmadı, bir mektup oluşturulmadı ve sistem, çalışanı durdurmaya veya bilginin nereye gittiğini takip etmeye karar veren bilgi güvenliği görevlisini bilgilendiriyor. Bu arada, ihlal edenin davranışının modelleri (diğer kaynaklarda - "profiller") yalnızca yazılım aracılarından bilgi toplayarak kullanılamaz. Veritabanına yapılan sorguların doğasını analiz ederseniz, veritabanına yapılan bir dizi ardışık sorguyla belirli bir bilgi dilimi almaya çalışan bir çalışanı her zaman tanımlayabilirsiniz. Bu isteklerle ne yaptığını, kaydedip kaydetmediğini, çıkarılabilir medyaya bağlanıp bağlanmadığını vb. hemen izlemek gerekir.

Bilgi depolama organizasyonu

Anonimleştirme ve veri şifreleme ilkeleri - gerekli koşul depolama ve işleme organizasyonu ve uzaktan erişim isteğin düzenlendiği bilgisayarda herhangi bir bilgi bırakmadan terminal protokolüne göre düzenlenebilir.

Kimlik doğrulama sistemleriyle entegrasyon

Er ya da geç, müşteri, personel sorunlarını çözmek için gizli belgelerle eylemleri izlemek için bir sistem kullanmak zorunda kalacak - örneğin, bu sistem tarafından belgelenen gerçeklere dayanarak çalışanları işten çıkarmak veya hatta sızdıranları kovuşturmak. Ancak, izleme sisteminin verebileceği tek şey, davetsiz misafirin elektronik tanımlayıcısıdır - IP adresi, hesap, e-posta adresi vb. Bir çalışanı yasal olarak suçlamak için bu tanımlayıcıyı kişiye bağlamanız gerekir. Burada entegratör için yeni bir pazar açılıyor - basit belirteçlerden gelişmiş biyometri ve RFID - tanımlayıcılara kadar kimlik doğrulama sistemlerinin tanıtımı.

Windows Server 2008 R2'de dosya ve klasörlere erişimi denetlemek için, denetleme işlevini etkinleştirmeniz ve erişimi kaydetmek istediğiniz klasörleri ve dosyaları belirtmeniz gerekir. Denetimi yapılandırdıktan sonra, sunucu günlüğü, seçilen dosya ve klasörler için erişim ve diğer olaylar hakkında bilgi içerecektir. Dosya ve klasörlere erişim denetiminin yalnızca NTFS dosya sistemi olan birimlerde yapılabileceğine dikkat edilmelidir.

Windows Server 2008 R2'de dosya sistemi nesneleri için denetim nasıl etkinleştirilir

Dosyalara ve klasörlere erişimin denetimi, grup ilkeleri kullanılarak etkinleştirilir ve devre dışı bırakılır: Active Directory etki alanı için etki alanı ilkeleri veya bağımsız sunucular için yerel güvenlik ilkeleri. Ayrı bir sunucuda denetimi etkinleştirmek için yönetim konsolunu açmanız gerekir. yerel politikacı Başlat ->TümProgramlar ->YönetimAraçlar ->YerelGüvenlikPolitika... Yerel politika konsolunda, yerel politika ağacını genişletin ( YerelPolitikalar) ve öğeyi seçin DenetimPolitika.

Sağ bölmede, öğeyi seçin DenetimNesneErişim ve beliren pencerede, ne tür dosya ve klasör erişim olaylarının kaydedilmesi gerektiğini belirtin (başarılı / başarısız erişim):


seçimden sonra gerekli ayar basmak gerekiyor TAMAM.

Erişimi kaydedilecek dosya ve klasörleri seçme

Dosya ve klasörlere erişim denetimi etkinleştirildikten sonra, belirli nesnelerin seçilmesi gerekir. dosya sistemi, erişim denetlenecek. NTFS izinleri gibi, denetim ayarları da varsayılan olarak tümü için devralınır. alt nesneler(aksi şekilde yapılandırılmadıkça). Dosyalara ve klasörlere izinler atanırken olduğu gibi, denetim ayarlarının devralınması tüm veya yalnızca seçilen nesneler için etkinleştirilebilir.

Belirli bir klasör / dosya için denetimi yapılandırmak için, üzerine sağ tıklamanız ve Özellikler'i seçmeniz gerekir ( Özellikler). Özellikler penceresinde, Güvenlik sekmesine gidin ( Güvenlik) ve düğmesine basın ileri... Gelişmiş güvenlik ayarları penceresinde ( ileriGüvenlikAyarlar) Denetim sekmesine gidin ( Denetim). Denetimi ayarlamak doğal olarak yönetici hakları gerektirir. Açık bu aşama denetim penceresi, bu kaynak için denetimin etkinleştirildiği kullanıcıların ve grupların bir listesini görüntüler:

Erişimi olan kullanıcıları veya grupları eklemek için bu nesne düzeltilecek, düğmeye basmalısınız Ekle ... ve bu kullanıcıların / grupların adlarını belirtin (veya Herkes- tüm kullanıcıların erişimini denetlemek için):

Bu ayarları Güvenlik sistemi günlüğünde uyguladıktan hemen sonra (bunu ek bileşende bulabilirsiniz). BilgisayarYönetim -> Olay Görüntüleyici), denetimin etkinleştirildiği nesnelere her eriştiğinizde ilgili girişler görünecektir.

Alternatif olarak, olaylar PowerShell cmdlet'i kullanılarak görüntülenebilir ve filtrelenebilir - Get-EventLogÖrneğin, olay kimliği 4660'daki tüm olayları görüntülemek için şu komutu yürütün:

Get-EventLog güvenliği | ? ($ _. olay kimliği -eq 4660)

Tavsiye... Herhangi bir etkinlik için atama yapmak mümkündür. Windows dergisi gönderme gibi belirli eylemler e-posta veya komut dosyası yürütme. Nasıl yapılandırıldığı makalede açıklanmıştır:

06/08/2012 tarihinden itibaren UPD (Yorumcuya teşekkürler).

Denetim yönetimi için Windows 2008 / Windows 7'de göründü özel yardımcı program denetim pol. Tam liste Denetimi etkinleştirebileceğiniz nesne türleri şu komut kullanılarak görülebilir:

Auditpol / liste / alt kategori: *

Gördüğünüz gibi, bu nesneler 9 kategoriye ayrılmıştır:

  • sistem
  • Oturum Açma / Oturumu Kapatma
  • Nesne Erişimi
  • Ayrıcalık Kullanımı
  • Ayrıntılı izleme
  • Politika Değişikliği
  • Hesap Yönetimi
  • DS Erişimi
  • Hesap Oturum Açma

Ve her biri sırasıyla alt kategorilere ayrılmıştır. Örneğin, Nesne Erişimi denetimi kategorisi, Dosya Sistemi alt kategorisini içerir ve bilgisayardaki dosya sistemi nesnelerinin denetimini etkinleştirmek için şu komutu çalıştırın:

Auditpol / set / alt kategori: "Dosya Sistemi" / hata: etkinleştir / başarı: etkinleştir

Sırasıyla şu komutla kapanır:

Auditpol / set / alt kategori: "Dosya Sistemi" / hata: devre dışı bırakma / başarı: devre dışı bırakma

Onlar. Gereksiz alt kategorilerin denetimini kapatırsanız, günlüğün boyutunu ve gereksiz olay sayısını önemli ölçüde azaltabilirsiniz.

Dosya ve klasörlere erişim denetimi etkinleştirildikten sonra, kontrol edeceğimiz belirli nesneleri belirtmeniz gerekir (dosya ve klasörlerin özelliklerinde). Varsayılan olarak, denetim ayarlarının tüm alt nesnelerde devralındığını unutmayın (aksi belirtilmediği sürece).

Herhangi bir seviyedeki kuruluşta kullanıcı eylemleri için denetim sistemlerinin uygulanması ihtiyacı, bilgi güvenliği analizine dahil olan şirketlerin araştırmaları ile ikna edilmiştir.

Örneğin Kaspersky Lab tarafından yapılan bir araştırma, siber güvenlik olaylarının üçte ikisinin (%67) diğer şeylerin yanı sıra yetersiz bilgilendirilmiş veya dikkatsiz çalışanların eylemlerinden kaynaklandığını gösterdi. Aynı zamanda, ESET araştırmasına göre şirketlerin %84'ü insan faktörleriyle ilişkili riskleri hafife alıyor.

Kullanıcıyla ilişkili tehditlere karşı "içeriden" savunma yapmak, dış tehditlere karşı savunmaktan daha zordur. Kuruluşun ağına yönelik virüsler ve hedefli saldırılar dahil olmak üzere dışarıdan "zararlılara" karşı koymak için uygun yazılım veya donanım-yazılım kompleksini uygulamak yeterlidir. Bir organizasyonu dahili bir saldırgandan korumak, güvenlik altyapısına ve derinlemesine analize daha fazla yatırım yapılmasını gerektirecektir. Analitik çalışma, iş için en kritik olan tehdit türlerini tanımlamanın yanı sıra "ihlal edenlerin portrelerini", yani bir kullanıcının yetkinliklerine ve yetkilerine dayalı olarak ne tür zararlara yol açabileceğini belirlemeyi içerir.

Kullanıcı eylemlerinin denetimi, yalnızca bilgi güvenliği sistemindeki hangi "boşlukların" hızla kapatılması gerektiğinin anlaşılmasıyla değil, aynı zamanda bir bütün olarak iş sürdürülebilirliği konusuyla da ayrılmaz bir şekilde bağlantılıdır. İş sürekliliğini taahhüt eden işletmeler, artan karmaşıklık ve bilişim ve iş otomasyonu süreçlerindeki artışla birlikte iç tehditlerin sayısının sadece arttığını dikkate almalıdır.

Sıradan bir çalışanın eylemlerini izlemeye ek olarak, "süper kullanıcıların" - ayrıcalıklı hakları olan çalışanların ve buna bağlı olarak, bilgi sızıntısı tehdidini yanlışlıkla veya kasıtlı olarak uygulamak için daha fazla fırsat olan operasyonlarını denetlemek gerekir. Bu kullanıcılar, sistem yöneticilerini, veritabanı yöneticilerini ve üretici yazılımı geliştiricilerini içerir. Ayrıca ilgili BT uzmanlarını ve bilgi güvenliğinden sorumlu çalışanları da buraya ekleyebilirsiniz.

Şirkette kullanıcı eylemlerini izlemek için bir sistemin tanıtılması, çalışanların faaliyetlerini kaydetmenize ve derhal yanıt vermenize olanak tanır. Önemli: Denetim sistemi kapsayıcı olmalıdır. Bu, sıradan bir çalışanın faaliyetleri hakkında bilgi, sistem yöneticisi veya bir üst yöneticinin düzeyde analiz edilmesi gerekir işletim sistemi, iş uygulamalarının kullanımı, düzeyde ağ cihazları, veritabanı çağrıları, harici medya bağlantıları vb.

Modern sistemler kapsamlı denetim, PC'nin (terminal iş istasyonu) başlatılmasından kapatılmasına kadar kullanıcı eylemlerinin tüm aşamalarını kontrol etmenizi sağlar. Doğru, pratikte tam kontrolden kaçınmaya çalışıyorlar. Tüm işlemler denetim günlüklerine kaydedilirse, kuruluşun bilgi sisteminin altyapısındaki yük kat kat artar: iş istasyonları "askıda kalır", sunucular ve kanallar tam yük altında çalışır. Bilgi güvenliğiyle ilgili paranoya, iş süreçlerini önemli ölçüde yavaşlatarak bir işletmeye zarar verebilir.

Yetkili bir bilgi güvenliği uzmanı öncelikle şunları belirler:

  • şirketteki hangi veriler en değerlidir, çünkü iç tehditlerin çoğu onunla ilişkilendirilecektir;
  • değerli verilere kimin ve hangi düzeyde erişebileceği, yani potansiyel ihlalcilerin çemberini özetlemektedir;
  • mevcut koruma önlemlerinin, kullanıcıların kasıtlı ve / veya kazara eylemlerine ne ölçüde dayanabileceği.

Örneğin, finans sektöründeki siber güvenlik uzmanları, ödeme verilerinin sızdırılması ve erişimin kötüye kullanılması tehditlerini en tehlikeli olarak görmektedir. Sanayi ve ulaşım sektörlerinde en büyük korku, bilinen sızıntılar ve sadakatsiz işçilerdir. En kritik tehditlerin tescilli gelişmelerin, ticari sırların ve ödeme bilgilerinin sızdırıldığı BT ve telekomünikasyon işinde de benzer endişeler var.

ANALİST, EN OLASI "TİPİK" KESİCİLER OLARAK TANIMLAR:

  • Üst yönetim: seçim açıktır - mümkün olan en geniş yetkiler, en fazla erişim degerli bilgi... Aynı zamanda, güvenlikten sorumlu olanlar, genellikle bu tür rakamlarla bilgi güvenliği kurallarının ihlal edilmesine göz yummaktadır.
  • sadakatsiz çalışanlar : sadakat derecesini belirlemek için, şirketin bilgi güvenliği uzmanları, bireysel bir çalışanın eylemlerinin bir analizini yapmalıdır.
  • Yöneticiler: Ayrıcalıklı erişime ve derin BT bilgisine sahip gelişmiş ayrıcalıklara sahip profesyoneller, Yetkisiz Erişim NS önemli bilgi;
  • Müteahhit çalışanları / dış kaynak kullanımı : yöneticiler gibi, "dışarıdan" uzmanlar, geniş bilgiye sahip, müşterinin bilgi sisteminin "içinde" iken çeşitli tehditler uygulayabilir.

En önemli bilgilerin ve en olası davetsiz misafirlerin belirlenmesi, kullanıcıların toplam değil, seçici bir şekilde kontrol edildiği bir sistem oluşturmaya yardımcı olur. Bu "boşaltma" bilgi sistemi bilgi güvenliği uzmanlarını gereksiz işlerden kurtarır.

Seçici izlemeye ek olarak, denetim sistemlerinin mimarisi, sistem performansının hızlandırılmasında, analiz kalitesinin iyileştirilmesinde ve altyapı üzerindeki yükün azaltılmasında önemli bir rol oynamaktadır. Kullanıcı eylemlerini denetlemek için modern sistemler dağıtılmış bir yapıya sahiptir. Uç iş istasyonlarında ve sunucularda, belirli türdeki olayları analiz eden ve verileri konsolidasyon ve depolama merkezlerine ileten sensör aracıları kurulur. Sistemde belirtilen parametrelere dayalı olarak kaydedilen bilgileri analiz etmeye yönelik sistemler, denetim günlüklerinde, bir tehdit uygulama girişimine hemen atfedilemeyecek olan şüpheli veya anormal faaliyet gerçeklerini bulur. Bu gerçekler, güvenlik yöneticisine ihlali bildiren yanıt sistemine iletilir.

Denetim sistemi bir ihlalle bağımsız olarak başa çıkabiliyorsa (genellikle bu tür IS komplekslerinde, bir tehdide yanıt vermek için bir imza yöntemi sağlanır), o zaman ihlal şu ​​şekilde bastırılır: otomatik mod ve davetsiz misafir, eylemleri ve tehdidin nesnesi hakkında gerekli tüm bilgiler özel bir veritabanına düşer. Bu durumda, Güvenlik Yönetici Konsolu, tehdidin etkisiz hale getirildiğini size bildirir.

Sistemin şüpheli etkinliğe otomatik olarak yanıt verme yolları yoksa, tehdidi etkisiz hale getirmek veya sonuçlarını analiz etmek için tüm bilgiler manuel işlemler için IS yöneticisinin konsoluna iletilir.

HERHANGİ BİR KURULUŞUN İZLEME SİSTEMİNDE İŞLEMLER KURULMALIDIR:

İş istasyonlarının, sunucuların kullanımının yanı sıra kullanıcının bunlar üzerindeki etkinliğinin zamanının (haftanın saatlerine ve günlerine göre) denetimi. Bu şekilde, bilgi kaynaklarını kullanmanın uygunluğu sağlanır.