La campana.

Ci sono quelli che hanno letto questa notizia prima di te.
Iscriviti per ricevere articoli freschi.
E-mail
Nome
Cognome
Come vuoi leggere la campana
Senza spam

Audit in Windows 7. Audit delle azioni dell'utente. Soluzioni software InfoWatch.

Condividere.
Condividere.
Tweet.
Piace
Piace

Annotazione: Nella conferenza finale, le ultime raccomandazioni sono dati all'attuazione. mezzi tecnici protezione informazioni confidenzialiLe caratteristiche e i principi di funzionamento delle soluzioni InfoWatch sono considerati in dettaglio.

Soluzioni software InfoWatch.

Lo scopo di questo corso non è una conoscenza dettagliata con i dettagli tecnici del lavoro dei prodotti InfoWatch, quindi considerali dal marketing tecnico. I prodotti InfoWatch si basano su due tecnologie fondamentali - filtraggio del contenuto e controllo delle azioni utente o amministratore sul posto di lavoro. Anche parte integrante della soluzione InfoWatch integrata è il repository di informazioni che ha condotto il sistema informativo e una singola console di gestione della sicurezza interna.

Filtro dei contenuti dei canali di traffico delle informazioni

Principale una caratteristica distintiva Il filtraggio dei contenuti InfoWatch è l'uso del nucleo morfologico. In contrasto con il filtro della firma tradizionale, la tecnologia di filtraggio dei contenuti InfoWatch ha due vantaggi - insensibilità alla codifica elementare (sostituire un personaggio ad altri) e altro alte prestazioni. Dal momento che il kernel non funziona con le parole, ma con forme di root, taglia automaticamente le radici che contengono codifiche misti. Inoltre, collaborare con le radici, che in ogni lingua ci sono meno di diecimila, e non con Wordforms, che nelle lingue di circa un milione, ti permette di mostrare risultati significativi sulle apparecchiature sufficientemente non produttive.

Audit delle azioni dell'utente

Per monitorare le azioni degli utenti con documenti su workstation. InfoWatch offre diversi intercettori in un agente sulla workstation - Operazioni file, operazioni di stampa, operazioni all'interno delle applicazioni, operazioni con dispositivi collegati.

Repository di informazioni che hanno lasciato il sistema informativo su tutti i canali.

InfoWatch offre il repository delle informazioni che ha portato il sistema informativo. I documenti passati attraverso tutti i canali che conducono all'esterno del sistema - e-mail, Internet, stampa e supporti intercambiabili sono memorizzati nell'applicazione * di archiviazione (fino al 2007 - Modulo Server di archiviazione del monitor del traffico) Con tutti gli attributi - nome completo e la posizione dell'utente, le sue proiezioni elettroniche (indirizzi IP, account o indirizzo postale), Date e ora dell'operazione, nome e attributi dei documenti. Tutte le informazioni sono disponibili per l'analisi, incluso il contenuto.

Azioni correlate

L'introduzione dei mezzi tecnici per la protezione delle informazioni riservate è inefficace senza l'uso di altri metodi, principalmente organizzativi. Sopra, abbiamo già considerato alcuni. Ora fermiamo di più da altri azioni richieste.

Modelli di comportamento dei violatori

Espansione di un sistema per il monitoraggio delle azioni con informazioni riservate, oltre all'aumento delle funzionalità e delle funzionalità analitiche, è possibile sviluppare in due direzioni. Il primo è l'integrazione dei sistemi di protezione da minacce interne ed esterne. Incidenti anni recenti Viene dimostrato che esiste una distribuzione di ruoli tra gli attaccanti interni ed esterni e la combinazione di informazioni dai sistemi di monitoraggio delle minacce esterne e interne consentiranno di rilevare i fatti di tali attacchi combinati. Uno dei punti di contatto della sicurezza esterna e interna è gestire i diritti di accesso, in particolare nel contesto della simulazione della necessità di aumentare i loro diritti con dipendenti sleali e sabota. Tutte le domande di accesso alle risorse non previste da doveri ufficiali dovrebbero immediatamente includere un meccanismo per le azioni di controllo con queste informazioni. È ancora più sicuro risolvere improvvisamente i compiti derivanti senza aprire l'accesso alle risorse.

Diamo un esempio dalla vita. L'amministratore di sistema ha ricevuto un'offerta dal capo del reparto marketing per l'apertura dell'accesso al sistema finanziario. Come sostentamento della domanda, è stato applicato un assegnazione del direttore generale per gli studi di marketing dei processi di acquisto di beni prodotti dalla Società. Dal momento che il sistema finanziario è una delle risorse più protette e l'accesso fornisce al direttore generale, il capo del dipartimento informazioni di sicurezza Su richiesta ha scritto soluzione alternativa - Non dare accesso, ma scaricato in una base speciale per analizzare un impersonale (senza specificare i dati dei client). In risposta alle obiezioni del marketer principale che era scomodo da lavorare così, è stato chiesto dal direttore "nella fronte": "Perché hai bisogno di nomi dei clienti - vuoi unire la base?" -Fter tutti sono andati a lavorare. Che sia stato un tentativo di organizzare perdite di perdite di informazioni, non impareremo mai, ma qualunque sia il sistema finanziario aziendale è stato protetto.

Prevenire perdite nella fase di preparazione

Un'altra direzione di sviluppo del sistema di monitoraggio degli incidenti interni con informazioni riservate è quella di costruire un sistema di prevenzione delle perdite. L'algoritmo del lavoro di tale sistema è lo stesso delle soluzioni per prevenire l'intrusione. Innanzitutto, viene costruito il modello dell'intruso, la "firma della violazione" è formata, cioè la sequenza delle azioni degli intrusi. Se diverse azioni dell'utente hanno coinciso con una firma di violazione, il prossimo passo utente è previsto se coincide con la firma - l'allarme è alimentato. Ad esempio, è stato aperto un documento confidenziale, parte di esso è stato assegnato e copiato nel buffer, è stato creato nuovo documento E il contenuto del buffer è stato copiato ad esso. Il sistema suggerisce: se il nuovo documento verrà salvato senza un'etichetta "riservata" - questo è un tentativo di rapimento. Un'unità USB non è inserita, non è formata una lettera, e il sistema informa un ufficiale di sicurezza delle informazioni che prende una decisione - per fermare il dipendente o la traccia in cui le informazioni vanno. A proposito, è possibile utilizzare il modello (in altre fonti - "profili") del comportamento del violatore, non solo la raccolta di informazioni dagli agenti software. Se è possibile analizzare la natura delle query del database, è sempre possibile identificare un dipendente che un certo numero di query consecutive alla base sta cercando di ottenere un numero specifico di informazioni. È necessario rintracciare immediatamente ciò che fa con queste richieste, se li mantengono, se i media intercambiabili si collegano e così via.

Organizzazione di stoccaggio di informazioni

I principi di anonimizzazione e crittografia dei dati sono una condizione prerequisita per l'organizzazione di stoccaggio e lavorazione, e accesso remoto È possibile organizzare il protocollo del terminale, senza lasciare il computer da cui è organizzata la richiesta, nessuna informazione.

Integrazione con sistemi di autenticazione

Prima o poi, il cliente dovrà utilizzare un sistema di monitoraggio con documenti riservati per risolvere i problemi del personale, ad esempio il licenziamento dei dipendenti basato sui fatti documentati da questo sistema o addirittura il perseguimento delle persone che hanno permesso perdite. Tuttavia, tutto ciò che può dare un sistema di monitoraggio è un identificatore di intruso elettronico - un indirizzo IP, account, indirizzo email, ecc. Per accusare legalmente il dipendente, è necessario vincolare questo identificatore alla persona. Qui, l'integratore apre un nuovo mercato - l'introduzione dei sistemi di autenticazione proviene da semplici gettoni a biometrici avanzati e identificatori RFID.

A volte eventi che ci richiedono di rispondere alla domanda "chi ha fatto questo?" Questo può accadere "raramente, ma adatto", quindi la risposta alla domanda dovrebbe essere preparata in anticipo.

Ci sono praticamente reparti di progetto, contabilità, sviluppatori e altre categorie di dipendenti che stanno lavorando a gruppi di documenti memorizzati nella cartella (condivisa) disponibile pubblicamente file server O su una delle workstation. Può accadere che qualcuno cancellerà un documento o una directory importante da questa cartella, come risultato della quale il lavoro dell'intera squadra potrebbe essere persa. In questo caso, diverse domande sorgono all'amministratore di sistema:

    Quando e quanto si è verificato il problema?

    Cosa c'è più vicino a questa volta backup. Hai bisogno di ripristinare i dati?

    Forse c'era un fallimento del sistema che potrebbe ripetere di nuovo?

Windows ha un sistema Audit. Permettere di tenere traccia e registrazione delle informazioni su quando, da chi, i documenti sono stati cancellati. Per impostazione predefinita, l'audit non è coinvolto - il monitoraggio della stessa richiede una certa percentuale della potenza del sistema, e se si scrive tutto in fila, il carico diventerà troppo grande. Inoltre, non tutte le azioni dell'utente possono interessarci, quindi le politiche di audit consentono di abilitare il monitoraggio solo tali eventi che sono davvero importanti per noi.

Il sistema di audit è integrato in tutti i sistemi operativi Microsoft.finestreNt.: Windows XP / VISTA / 7, Windows Server 2000/2003/2008. Sfortunatamente, nei sistemi di sistema di home di Windows, l'audit è nascosto in profondità, ed è troppo difficile configurarlo.

Cosa devi configurare?

Per abilitare l'audit, accedere ai diritti dell'amministratore su un computer che fornisce l'accesso ai documenti condivisi ed eseguire il comando Inizio. CORRERE. gpet.msc.. Nella sezione Configurazione del computer, apri la cartella Impostazioni di Windows Impostazioni di sicurezza Politiche locali. Politiche di audit:

Doppio clic su Politica Accesso all'oggetto di controllo (Audit accesso agli oggetti) E selezionare Tick. Successo.. Questo parametro include un meccanismo per il monitoraggio dell'accesso riuscito a file e registro. Infatti, perché siamo interessati solo ai tentativi eliminati di eliminare file o cartelle. Accendere l'audit solo sui computer direttamente su cui vengono memorizzati gli oggetti monitorati.

Non è abbastanza facile abilitare la politica di audit, dobbiamo anche specificare l'accesso a che tipo di cartelle devono essere monitoranti. Di solito, tali oggetti sono cartelle di documenti e cartelle generali (condivisi) con programmi di produzione o database (contabilità, magazzino, ecc.) - Cioè, le risorse con cui diverse persone funzionano.

Indovina in anticipo chi elimina esattamente il file è impossibile, quindi monitoraggio ed è indicato per tutti (tutti). Coloro che stavano tentando di eliminare gli oggetti monitorati con qualsiasi utente verranno registrati registrati. Chiamare le proprietà della cartella desiderata (se ci sono diverse cartelle, quindi tutte a turno) e sulla scheda Security (Security) → Avanzato (Avanzato) → Auditing (Audit) Aggiungi problemi al soggetto Tutti (tutti), I suoi tentativi di accesso di successo Elimina e Elimina sottocartelle e file:


Gli eventi possono essere migliorati parecchio, quindi dovrebbe anche regolare le dimensioni del caricatore Sicurezza (Sicurezza)quali saranno registrati. Per
Prendi questo comando Inizio.CORRERE.eventvwr.. mSC.. Nella finestra visualizzata, chiamare le proprietà del registro di sicurezza e specificare i seguenti parametri:

    Dimensione del registro massima \u003d 65536 Kb. (per workstation) o 262144 Kb. (per i server)

    Sovrascrivere gli eventi come necessario.

In effetti, i numeri specificati non sono garantiti accurati, ma sono selezionati con esperienza per ogni caso specifico.

finestre 2003/ XP.)?

Clic Inizio. CORRERE. eventvwr.msc. Sicurezza. VISUALIZZA.Filtro.

  • Fonte dell'evento: sicurezza;
  • Categoria: Accesso all'oggetto;
  • Tipi di eventi: Audit di successo;
  • ID evento: 560;


Sfoglia un elenco di eventi filtrati, prestando attenzione ai seguenti campi all'interno di ciascun record:

  • Oggetto.Nome.. Il nome della cartella o del file di ricerca;
  • Immagine.FileNome.. Il nome del programma tramite il quale il file ha cancellato;
  • Accessi.. Un insieme di diritti richiesti.

Il programma può richiedere diversi tipi di accesso al sistema - ad esempio, Elimina.+ Sincronizzare o Elimina.+ Leggere._ Controllo. Significativo per noi giusto è Elimina..


Quindi chi ha cancellato i documenti (finestre 2008/ Vista.)?

Clic Inizio. CORRERE. eventvwr.msc. e aperto per la visualizzazione della rivista Sicurezza. La rivista può essere riempita con eventi, atteggiamento diretto per il problema di non avere. Facendo clic con il tasto destro del mouse sul registro di sicurezza, selezionare Comando VISUALIZZA.Filtro. E filtra i seguenti criteri:

  • Fonte dell'evento: sicurezza;
  • Categoria: Accesso all'oggetto;
  • Tipi di eventi: Audit di successo;
  • ID evento: 4663;

Non correre a interpretare tutta la rimozione come dannoso. Questa funzione è spesso utilizzata quando lavoro normale Programmi - ad esempio, eseguendo il comando Salva. (Salva), Programmi del pacchetto Microsoft.Ufficio. Prima crea un nuovo file temporaneo, salva il documento su di esso, quindi rimuovi versione precedente file. Allo stesso modo, molte applicazioni di database all'avvio prima di creare un file di blocco temporaneo (. lck.), Quindi rimuoverlo quando si lascia il programma.

Ho dovuto affrontare entrambe le azioni dannose degli utenti. Ad esempio, un ufficiale di conflitto di alcune società, quando licenziando dal luogo di lavoro, ha deciso di distruggere tutti i risultati del suo lavoro, eliminando i file e le cartelle a cui aveva una relazione. Gli eventi di questo tipo sono molto evidenti: generano dozzine, centinaia di record al secondo nella rivista di sicurezza. Naturalmente, ripristinare i documenti da Ombra.Copie. (Copie shadow) O ogni giorno creata automaticamente l'archivio non è molto difficile, ma allo stesso tempo potrei rispondere alle domande "Chi l'ha fatto?" E "Quando è successo?".

Viktor Lyudov.
Project Manager informsvyaz holding

Prerequisiti per l'implementazione del sistema

Il primo studio globale aperto delle minacce per la sicurezza delle informazioni interne per l'infOatch (secondo i risultati del 2006) ha mostrato che le minacce interne non sono meno comuni (56,5%) rispetto a quelli esterni ( programmi dannosi, Spam, azioni di hacker, ecc.). Allo stesso tempo, nella maggioranza travolgente (77%), la ragione per l'attuazione della minaccia interna è la negligenza degli stessi utenti (non adempimento delle descrizioni del lavoro o trascurare i mezzi elementari della protezione delle informazioni).

Dinamica dei cambiamenti nella situazione nel periodo 2006-2008 Riflesso in fig. uno.

La diminuzione relativa della quota di perdite dovuta alla negligenza è dovuta all'implementazione parziale dei sistemi per prevenire la perdita di informazioni (compresi i sistemi di monitoraggio degli utenti), che forniscono un grado di protezione sufficientemente elevato rispetto alle perdite casuali. Inoltre, è dovuto all'aumento assoluto del numero di furto intenzionale dei dati personali.

Nonostante il cambiamento delle statistiche, è ancora possibile affermare con sicurezza che la priorità è quella di combattere perdite di informazioni involontarie, poiché è più facile contrastare tali perdite, meno costosi e il risultato è coperto dalla maggior parte degli incidenti.

Allo stesso tempo, gli ufficiali di negligence, secondo l'analisi dei risultati degli InfoWatch e Perimetrix Studies per il periodo 2004-2008, secondo tra le minacce più pericolose (i risultati della ricerca consolidati sono presentati in Fig. 2), e la sua rilevanza continua a Crescere con migliorare le imprese del software e dei sistemi automatizzati hardware (AC).

Pertanto, l'introduzione di sistemi che eliminano la possibilità di un impatto negativo di un dipendente su IB agli ACS aziendali (compresi i programmi di monitoraggio), per fornire ai dipendenti il \u200b\u200bservizio IB alla base di prove e ai materiali per l'indagine sull'incidente, eliminerà il Minaccia di perdita a causa della negligenza, ridurre significativamente la perdita casuale e anche ridurre leggermente intenzionale. In definitiva, questa misura dovrebbe consentire in modo significativo la realizzazione di minacce dei violatori interni.

Audit AU moderno delle azioni dell'utente. Vantaggi e svantaggi

I sistemi di audit automatizzati (monitoraggio) delle azioni utente (ASADP) AUS, spesso indicato dai prodotti del software di monitoraggio, sono destinati all'uso da parte degli amministratori di sicurezza (organizzazione IB) per garantire la sua osservabilità - "Proprietà sistema di calcoloConsentire di registrare l'attività dell'utente, nonché installare inequivocabilmente gli identificatori coinvolti in determinati eventi dell'utente al fine di prevenire la violazione delle politiche di sicurezza e / o di assicurare la responsabilità di determinate azioni ".

La proprietà dell'osservabilità dell'AC, a seconda della qualità della sua attuazione, consente di monitorare l'osservanza dei dipendenti dell'organizzazione della sua politica di sicurezza e delle regole stabilite per il lavoro sicuro sui computer.

L'uso dei prodotti del software di monitoraggio, incluso in tempo reale, è progettato:

  • determinare (localizzare) tutti i casi di tentativi di accesso non autorizzato a informazioni riservate con un'indicazione esatta del tempo di lavoro e di rete da cui è stato effettuato un tale tentativo;
  • identificare i fatti di un'installazione non autorizzata di software;
  • identificare tutti i casi di uso non autorizzato di hardware aggiuntivo (ad esempio modem, stampanti, ecc.) Analizzando i fatti di avviare applicazioni specializzate installate non autorizzata;
  • determina tutti i casi di set sulla tastiera delle parole e delle frasi critiche, la preparazione dei documenti critici, il trasferimento di cui a terzi porterà al danno materiale;
  • controllo accesso a server e personal computer;
  • contatti di controllo durante la navigazione su Internet;
  • condurre ricerche relative alla determinazione dell'accuratezza, dell'efficienza e dell'adeguatezza della risposta del personale alle influenze esterne;
  • determina il download dei lavori del computer per l'organizzazione (per ora del giorno, di giorno della settimana, ecc.) Con lo scopo dell'organizzazione scientifica del lavoro lavorativo;
  • casi di controllo di utilizzo computer personale tempo operativo e identificare lo scopo di tale uso;
  • ricevere le informazioni affidabili necessarie, sulla base della quale le decisioni vengono effettuate sulla regolazione e nel miglioramento della politica dell'organizzazione IB, ecc.

L'implementazione di queste funzioni è raggiunta implementando moduli agenti (sensori) su workstation e server AC con un ulteriore sondaggio dello stato o ricezione dei rapporti da loro. I report vengono elaborati sulla console dell'amministratore della sicurezza. Alcuni sistemi sono dotati di server intermedi (punti di consolidamento) che elaborano le loro aree e gruppi di sicurezza.

L'analisi del sistema delle soluzioni presentate nel mercato (Statwin, Tivoli Configuration Manager, Tivoli Remote Control, OpenView Operations, "District / Enterprise Guard", Insider) ha permesso di distinguere un numero di proprietà specifiche, dando al promettente ASADP di aumentare I suoi indicatori di prestazione rispetto ai campioni studiati.

In generale, insieme a un funzionario abbastanza ampio e un grande pacchetto di opzioni, i sistemi esistenti possono essere utilizzati per tenere traccia delle attività di solo singoli utenti della CA sulla base di un sondaggio ciclico obbligatorio (scansione) di tutti gli elementi specificati dell'AC (e Primo di tutti gli utenti del braccio).

Allo stesso tempo, la distribuzione e la scala del Modern AUS, incluso un numero sufficientemente elevato di braccio, tecnologie e software, complica in modo significativo il processo di monitoraggio del lavoro degli utenti, e ciascuno dei dispositivi di rete può generare migliaia di messaggi di controllo che raggiungono abbastanza Grandi quantità di informazioni che richiedono enormi database che duplicano spesso. Questi fondi, tra le altre cose, consumano risorse significative di rete e hardware, caricare l'AC complessiva. Sono inflessibili all'hardware e alle riconfigurazioni software. reti di computerNon sono in grado di adattarsi a tipi sconosciuti di violazioni e attacchi di rete, e l'efficienza di rilevare le violazioni della sicurezza dipende in larga misura dalla frequenza di scansione da parte degli elementi dell'amministratore della sicurezza dell'AC.

Un modo per migliorare l'efficienza dei sistemi specificati è l'aumento diretto della frequenza di scansione. Ciò comporterà inevitabilmente a una riduzione dell'efficacia dell'attuazione dei compiti principali per i quali, infatti, questo AU è inteso, a causa di un aumento significativo del carico di calcolo sia all'amministratore ADM, sia sui computer degli utenti » workstation, nonché la crescita del traffico di rete LAN.

Oltre ai problemi associati all'analisi di una grande quantità di dati, nei sistemi di monitoraggio esistenti, vi sono gravi restrizioni sull'efficienza e l'accuratezza delle decisioni causate dal fattore umano determinato dalle capacità fisiche dell'amministratore come operatore.

La presenza dei sistemi di monitoraggio esistenti La possibilità di avvisi su azioni non autorizzate esplicite di utenti in tempo reale non risolve fondamentalmente il problema nel suo complesso, poiché consente di tenere traccia solo in anticipo tipi noti di violazioni (metodo di firma), ed è non in grado di contrastare nuovi tipi di violazioni.

Sviluppo e utilizzo di metodi ampi dei sistemi per la protezione di ampi metodi della sua disposizione che prevedono un aumento del livello della sua protezione a spese di una "selezione" aggiuntiva della risorsa informatica presso l'AU, riduce le possibilità dell'UU Per risolvere i compiti per i quali è inteso, e / o aumenta il suo valore. L'incapacità di avvicinarsi al mercato tecnologico IT in rapido sviluppo è piuttosto ovvio.

Sistema di audit automatico (monitoraggio) delle azioni dell'utente. Proprietà prospettiche

Dai risultati di analisi di cui sopra, l'ovvia necessità di fornire le seguenti proprietà ai sistemi di monitoraggio prospettici:

  • automazione Escludendo le operazioni di "manuale" di routine;
  • combinazioni di centralizzazione (basata sul posto di lavoro Automated Security Administrator) con controllo a livello di singoli elementi (intelligente programmi per computer) sistemi di monitoraggio del sistema di utenti AC;
  • scalabilità che consente di aumentare la capacità dei sistemi di monitoraggio ed espandere le loro capacità senza un aumento significativo delle risorse computazionali necessarie per il loro funzionamento efficace;
  • adattabilità al cambiamento nella composizione e alle caratteristiche della AC, nonché all'emergere di nuovi tipi di violazioni della sicurezza.

Struttura generalizzata di ASADP AS, che ha segnato caratteristiche distintiveche può essere implementato in AC per vari scopi e accessori, presentato in FIG. 3.

La struttura di cui sopra include i seguenti componenti principali:

  • componenti del sensore del sensore del software situato su alcuni elementi dell'UOM AU (sui luoghi di lavoro degli utenti, dei server, delle apparecchiature di rete, degli strumenti di protezione delle informazioni), che servono a risolvere ed elaborare i dati di controllo in tempo reale;
  • file di registrazione contenenti informazioni intermedie sull'operazione dell'utente;
  • componenti per l'elaborazione dei dati e componenti decisionali che ricevono informazioni da sensori tramite file di registrazione che analizzano le sue analisi e decisioni su ulteriori azioni (ad esempio, per registrare alcune informazioni al database, notificare ai funzionari, la creazione di report, ecc.);
  • un database di audit (database), contenente informazioni su tutti gli eventi registrati, sulla base di report e monitora lo stato della AC per qualsiasi determinato periodo di tempo;
  • componenti di reporting e certificati in base alle informazioni registrate nel database di audit e ai record di filtraggio (per data, da identificatori utente, da workstation, da eventi di sicurezza, ecc.);
  • il componente dell'interfaccia dell'amministratore della sicurezza che serve a gestire il lavoro di ASADP AC con il braccio, la visualizzazione e la stampa di informazioni, creando un tipo diverso di richieste di requisiti di database e report report, consentendo in tempo reale di tenere traccia delle attività correnti degli utenti AC e valutare la corrente e valutare la corrente livello di sicurezza di varie risorse;
  • componenti aggiuntivi, in particolare, componenti di configurazione del software, installazione e collocamento di sensori, archiviazione e crittografia di informazioni, ecc.

L'elaborazione delle informazioni in ASADP AC include i seguenti passaggi:

  • fissazione dei sensori delle informazioni di registrazione;
  • raccolta di informazioni da singoli sensori;
  • scambio di informazioni tra i rispettivi agenti di sistema;
  • elaborazione, analisi e correlazione di eventi registrati;
  • rappresentazione delle informazioni elaborate all'amministratore di sicurezza in forma normalizzata (sotto forma di report, diagrammi, ecc.).

Per ridurre al minimo le risorse informatiche richieste, aumentando la segretezza e l'affidabilità del sistema, la memorizzazione delle informazioni può essere eseguita su vari elementi della AC.

Sulla base del compito di dare a ASADP AC fondamentalmente nuovo (rispetto a sistemi esistenti Audit del lavoro degli utenti della CA) Proprietà dell'automazione, combinazioni di centralizzazione e decentramento, scalabilità e adattabilità, una delle possibili strategie per la sua costruzione è vista tecnologia moderna Intelligenti sistemi multi-agente implementati sviluppando una comunità di agenti integrati tipi diversi (Intelligenti programmi offline che implementano alcune funzioni di rilevamento e opposizione per contraddire le politiche di sicurezza degli utenti) e organizzare la loro interazione.

Per condurre un audit di accesso a file e cartelle in Windows Server 2008 R2, è necessario abilitare la funzionalità di audit, nonché specificare cartelle e file, accedere a cui si desidera risolvere. Dopo aver impostato l'audit, il registro del server conterrà informazioni sull'accesso e altri eventi a file e cartelle selezionati. Vale la pena notare che l'audit di accesso a file e cartelle può essere condotto solo sui volumi con il file system NTFS.

Attiva un audit sugli oggetti del file system in Windows Server 2008 R2

L'accesso all'audit a file e cartelle si accende e disconnesso da politica di gruppo: Politica di dominio per il dominio Active Directory. o politiche di sicurezza locali per server separati. Per abilitare l'audit su un server separato, è necessario aprire la console di controllo politico locale Inizio - \u003e.Tutti.Programmi - \u003e.AmministrativoStrumenti - \u003e.LocaleSicurezzaPolitica. Nella console di politica locale, è necessario distribuire un albero di politica locale ( LocalePOLITICHE) e scegli un oggetto Audit. Politica.

Nel riquadro di destra è necessario selezionare un oggetto Audit.Oggetto.Accesso E nella finestra che appare, specificare quali tipi di accessi e cartelle degli eventi devono essere fissati (accesso riuscito / non riuscito):


Dopo la selezione impostazioni necessarie Bisogno di premere. OK.

Seleziona file e cartelle, accesso a cui verrà risolto

Dopo aver attivato l'audit di accesso a file e cartelle, è necessario selezionare oggetti specifici file system., Audit Access a cui sarà condotto. Oltre alle autorizzazioni NTFS, le impostazioni di audit predefinite sono ereditate a tutti gli oggetti figlio (se non configurati diversamente). Allo stesso modo, poiché quando si assegna i diritti di accesso ai file e alle cartelle, l'ereditarietà delle impostazioni di audit può essere abilitata sia per tutti che solo per gli oggetti selezionati.

Per configurare un audit per una cartella / file specifica, è necessario fare clic su di esso con il tasto destro del mouse e selezionare Proprietà ( Proprietà.). Nella finestra Proprietà, è necessario andare alla scheda Sicurezza ( Sicurezza) E fai clic sul pulsante Avanzate. Nella finestra delle impostazioni di sicurezza avanzata ( AvanzateSicurezzaimpostazioni) Procediamo alla scheda Audit ( Auditing.). Configurazione di audit, naturalmente, richiede i diritti di amministratore. In questa fase, un elenco di utenti e gruppi verrà visualizzato nella finestra di audit per i quali è incluso un audit per questa risorsa:

Per aggiungere utenti o gruppi il cui accesso a questo oggetto verrà risolto, è necessario fare clic sul pulsante Inserisci ... e specificare i nomi di questi utenti / gruppi (o specificare Tutti. - Audificare tutti gli utenti Access):

Immediatamente dopo aver applicato queste impostazioni nel registro del sistema di sicurezza (puoi trovarlo nello snap ComputerGestione - \u003e.Eventi Viewer), ogni volta l'accesso agli oggetti per i quali viene attivato l'audit, appariranno voci appropriate.

In alternativa, gli eventi possono essere visualizzati e filtrando utilizzando il cmdlet PowerShell - Get-Eventlog. Ad esempio, per portare tutti gli eventi con EventID 4660, eseguirò un comando:

Get-Eventlog Security | ? ($ _. Eventid -eq 4660)

Consiglio. È possibile assegnare determinate azioni su qualsiasi evento in Windows, come inviare un'esecuzione di e-mail o script. Quanto è configurato è descritto nell'articolo:

UFF da 06.08.2012. (Grazie).

In Windows 2008 / Windows 7, un'utilità speciale è apparsa per controllare l'audit auditpol.. Lista completa Tipi di oggetti a cui è possibile abilitare l'audit può essere visto utilizzando il comando:

Auditpol / elenco / sottocategoria: *

Come vedi questi oggetti sono suddivisi in 9 categorie:

  • Sistema.
  • Accesso / disconnessione.
  • Accesso all'oggetto.
  • Uso del privilegio.
  • Tracciamento dettagliato
  • Cambiamento delle politiche
  • Gestione contabile.
  • DS Access.
  • Accesso all'account.

E ognuno di loro, rispettivamente, da condividere sulla sottocategoria. Ad esempio, la categoria Audit Access Object include la sottocategoria del file system e per abilitare l'audit per gli oggetti del file system sul computer eseguirà il comando:

Auditpol / Set / Sottocategoria: "File System" / Failure: Abilita / Successo: Abilita

Si spegne in base al comando:

Auditpol / Set / Sottocategoria: "File System" / Failure: Disabilita / Successo: disabilita

Quelli. Se si spegne l'audit delle sottocategorie non necessarie, è possibile ridurre in modo significativo il volume del registro e il numero di eventi non necessari.

Dopo aver attivato l'audit di accesso a file e cartelle, è necessario specificare oggetti specifici che verranno monitorati (nelle proprietà dei file e delle cartelle). Tieni presente che per impostazione predefinita Le impostazioni di audit sono ereditate a tutti gli oggetti figlio (se non diversamente indicato).

Nella necessità di attuare i sistemi di audit di sistema nelle organizzazioni di qualsiasi livello, sono convinti della ricerca delle società di analisi della sicurezza delle informazioni.

Lo studio del laboratorio Kaspersky, ad esempio, ha mostrato: due terzi degli incidenti IB (67%) sono causati comprese le azioni dei dipendenti mal informati o disattenti. Allo stesso tempo, secondo la ricerca ESET, l'84% delle società sottovaluta i rischi causati dal fattore umano.

La protezione contro le minacce relative all'utente "dall'interno" richiede un grande sforzo rispetto alla protezione contro le minacce esterne. Per contrastare "i parassiti" dall'esterno, compresi virus e attacchi target sulla rete dell'organizzazione, è sufficiente implementare il software o il software e il complesso software e hardware appropriati. Per garantire l'organizzazione dall'attaccante interiore, saranno richiesti investimenti più gravi nell'infrastruttura di sicurezza e nell'analisi profonda. Il lavoro analitico include l'assegnazione dei tipi di minacce, la più critica per gli affari, nonché la compilazione dei "ritratti dei violatori", cioè le definizioni di cui possono essere applicate danni, in base alle sue competenze e poteri.

Con l'audit delle azioni degli utenti è inestricabilmente collegata non solo la comprensione di cui "Bresci" nel sistema di sicurezza delle informazioni deve essere rapidamente chiuso, ma anche la questione della sostenibilità del business nel suo complesso. Le aziende configurate per le attività continue dovrebbero tener conto che con complicazione e crescente processo di informatizzazione e automazione aziendale, il numero di minacce interne è solo cresce.

Oltre alle azioni di monitoraggio di un dipendente ordinario, è necessario verificare le operazioni di "sovrapposti" - dipendenti con diritti privilegiati e, di conseguenza, più ampiamente o intenzionalmente implementano la minaccia della perdita di informazioni. Tali utenti includono amministratori di sistema, amministratori del database, sviluppatori software interni. Puoi anche aggiungere e attirare gli specialisti IT e i dipendenti responsabili di IB.

L'implementazione di un sistema per il monitoraggio delle azioni degli utenti in azienda consente di risolvere e rispondere all'attività dei dipendenti. IMPORTANTE: il sistema di audit deve avere una proprietà di inclusione. Ciò significa che le informazioni sulle attività di un impiegato ordinario, amministratore di sistema o il top manager deve essere analizzato a livello sistema operativo, Utilizzo delle applicazioni aziendali, a livello di dispositivi di rete, ricorso ai database, connessione dei supporti esterni e così via.

Sistemi moderni Audit completo consente di controllare tutte le fasi delle azioni dell'utente da iniziare a disattivare PC (workstation del terminale). È vero, in pratica il controllo totale sta cercando di evitare. Se nel registro di audit per registrare tutte le operazioni, il carico sull'infrastruttura del sistema informativo dell'organizzazione è ripetutamente aumentando: "Hang" workstation, server e canali funzionano a pieno carico. La paranoia nella questione della sicurezza delle informazioni può danneggiare il business, rallentare significativamente i flussi di lavoro.

Uno specialista di sicurezza dell'informazione competente determina principalmente:

  • quali dati in azienda sono i più preziosi, dal momento che la maggior parte delle minacce interne sarà collegata con loro;
  • chi e a quale livello può avere accesso a dati preziosi, cioè delinea il cerchio di potenziali intrusi;
  • quante attuali misure di protezione sono in grado di resistere alle azioni intenzionali e / o casuali degli utenti.

Ad esempio, gli specialisti IB del settore finanziario considerano le minacce più pericolose alla perdita di dati di pagamento e all'abuso di accesso. Nel settore industriale e di trasporto, le perdite di know-how e il comportamento sleale dei lavoratori sono più paura. Preoccupazioni simili nell'attività IT-Sphere e Telecommunications, dove le minacce più critiche di perdite dei propri sviluppi, segreti commerciali e informazioni di pagamento.

Come i più probabili intrusi "tipici" di analisi assegnati:

  • Top management.: La scelta è ovvia - i più ampi poteri possibili, accesso alle informazioni più preziose. Allo stesso tempo, il responsabile della sicurezza spesso chiude gli occhi alle violazioni delle regole di IB con tali figure.
  • Dipendenti del bambino : Per determinare il grado di lealtà, gli specialisti IB della Società dovrebbero essere effettuati dalle azioni di analisi di un dipendente separato.
  • Amministratori: Gli specialisti con accesso preferito e autorità ampliata con profonda conoscenza nella sfera IT sono suscettibili di essere sedotti accesso non autorizzato per informazioni importanti;
  • Dipendenti di organizzazioni contraenti / outsourcing : Come amministratori, esperti "dall'esterno", possiedono un'ampia conoscenza, può implementare varie minacce Essere "all'interno" del sistema informativo del cliente.

La definizione delle informazioni più significative e gli attaccanti più probabili aiutano a costruire un sistema di non totale totale, ma controllo utente selettivo. "Scarica" sistema informativo Ed elimina gli specialisti IB del lavoro ridondante.

Oltre al monitoraggio selettivo, un ruolo significativo nell'accelerare il funzionamento del sistema, migliorare la qualità dell'analisi e la riduzione del carico sull'infrastruttura riproduce l'architettura dei sistemi di audit. I moderni sistemi di audit di sistema di azioni dell'utente hanno una struttura distribuita. Alla workstation e server di estremità, sono installati sensori, che analizzano gli eventi di un particolare tipo e trasmettono dati di consolidamento e dei centri di stoccaggio. L'analisi delle informazioni fisse sul sistema posata nel sistema si trova nelle riviste di Audit i fatti di attività sospettosa o anomala, che non possono essere immediatamente attribuite al tentativo di realizzare la minaccia. Questi fatti vengono trasmessi al sistema di risposta che nota l'amministratore della sicurezza sulla violazione.

Se il sistema di audit è in grado di far fronte all'indirizzo della violazione (di solito tali complessi di IB forniscono un metodo anti-minaccia di risposta), la violazione viene fornita automaticamente e tutte le informazioni necessarie sul violatore, le sue azioni e l'oggetto delle minacce cadere in un database speciale. La console di amministrazione di sicurezza in questo caso notifica la minaccia di neutralizzare.

Se il sistema non include metodi di risposta automatici per attività sospette, tutte le informazioni per neutralizzare la minaccia o analizzare le sue conseguenze vengono trasmesse alla console di amministrazione IB per eseguire le operazioni in modalità manuale.

Nel sistema di monitoraggio di qualsiasi organizzazione, è necessario configurare le operazioni:

Audit uso di workstation, server, nonché tempo (entro l'attività ora e giorni della settimana) su di loro dell'utente. In questo modo, la fattibilità dell'utilizzo delle risorse informative è stabilita.

Condividere.
Condividere.
Tweet.
Piace
Piace

Leggi anche

La campana.

Ci sono quelli che hanno letto questa notizia prima di te.
Iscriviti per ricevere articoli freschi.
E-mail
Nome
Cognome
Come vuoi leggere la campana
Senza spam