LA CAMPANA

C'è chi legge questa notizia prima di te.
Iscriviti per ricevere articoli freschi.
E-mail
Nome
Cognome
Come vuoi leggere The Bell
Niente spam

Controllo in Windows 7. Controllo delle azioni dell'utente. Soluzioni software InfoWatch

Condividere
Condividere
Tweet
Piace
Piace

Annotazione: La lezione finale fornisce le ultime raccomandazioni per l'implementazione di mezzi tecnici per proteggere le informazioni riservate, descrive in dettaglio le caratteristiche e i principi delle soluzioni di InfoWatch

Soluzioni software InfoWatch

Lo scopo di questo corso non è quello di acquisire familiarità con i dettagli tecnici del funzionamento dei prodotti InfoWatch, quindi li considereremo dal lato del marketing tecnico. I prodotti InfoWatch si basano su due tecnologie fondamentali: filtro dei contenuti e controllo delle azioni dell'utente o dell'amministratore sul posto di lavoro. Anche parte della soluzione integrata di InfoWatch è un repository di informazioni che ha lasciato il sistema informativo e una singola console di gestione della sicurezza interna.

Filtraggio del contenuto dei canali del flusso di informazioni

La principale caratteristica distintiva del filtraggio dei contenuti di InfoWatch è l'uso di un nucleo morfologico. A differenza del filtraggio tradizionale delle firme, la tecnologia di filtraggio dei contenuti di InfoWatch presenta due vantaggi: insensibilità alla codifica elementare (sostituzione di un carattere con un altro) e prestazioni migliori. Poiché il kernel non funziona con le parole, ma con le forme di root, taglia automaticamente le radici che contengono codifiche miste. Inoltre, lavorando con le radici, di cui ce ne sono meno di diecimila in ogni lingua, e non con forme di parole, di cui ci sono circa un milione di lingue, ti consente di mostrare risultati significativi su apparecchiature abbastanza improduttive.

Controlla le azioni dell'utente

Per monitorare le azioni dell'utente con documenti su una workstation, InfoWatch offre diversi intercettori in un agente su una workstation: intercettori per operazioni su file, operazioni di stampa, operazioni all'interno di applicazioni, operazioni con dispositivi collegati.

Un repository di informazioni che ha lasciato il sistema informativo attraverso tutti i canali.

InfoWatch offre un repository di informazioni che ha lasciato il sistema informativo. I documenti passati attraverso tutti i canali che portano all'esterno del sistema - e-mail, Internet, stampa e supporti rimovibili sono archiviati nell'applicazione di archiviazione * (fino al 2007 - il modulo Server di archiviazione di Traffic Monitor) indicando tutti gli attributi - nome e posizione dell'utente, sue proiezioni elettroniche (indirizzo IP, account o indirizzo postale), data e ora dell'operazione, nome e attributi dei documenti. Tutte le informazioni sono disponibili per l'analisi, incluso il contenuto.

Azioni associate

L'introduzione di mezzi tecnici per proteggere le informazioni riservate sembra essere inefficace senza l'uso di altri metodi, principalmente organizzativi. Ne abbiamo già esaminati alcuni. Ora ci soffermiamo più in dettaglio su altre azioni necessarie.

Modelli di comportamento degli intrusi

Distribuendo un sistema per monitorare le azioni con informazioni riservate, oltre ad aumentare la funzionalità e le capacità analitiche, è possibile sviluppare in altre due direzioni. Il primo è l'integrazione dei sistemi di protezione contro le minacce interne ed esterne. Gli incidenti degli ultimi anni mostrano che esiste una distribuzione di ruoli tra aggressori interni ed esterni e la combinazione di informazioni dai sistemi di monitoraggio delle minacce esterne ed interne consentirà di rilevare i fatti di tali attacchi combinati. Uno dei punti di contatto tra la sicurezza esterna e interna è la gestione dei diritti di accesso, soprattutto nel contesto della simulazione della necessità di produzione per aumentare i diritti dei dipendenti sleali e dei sabotatori. Qualsiasi richiesta di accesso a risorse non coperte da funzioni ufficiali dovrebbe includere immediatamente un meccanismo di audit per le azioni con queste informazioni. È ancora più sicuro risolvere i problemi che sorgono all'improvviso senza aprire l'accesso alle risorse.

Diamo un esempio dalla vita. L'amministratore di sistema ha ricevuto una domanda dal capo del dipartimento marketing per aprire l'accesso al sistema finanziario. Come giustificazione per la domanda, è stato allegato il compito del direttore generale per la ricerca di mercato dei processi di acquisto di beni fabbricati dalla società. Poiché il sistema finanziario è una delle risorse più protette e il direttore generale dà il permesso di accedervi, il capo del dipartimento di sicurezza delle informazioni ha scritto sull'applicazione una soluzione alternativa - non dare accesso, ma caricare dati anonimi (senza indicare i clienti) su un database di analisi speciale. In risposta alle obiezioni del capo marketing che non si sentiva a proprio agio a lavorare in questo modo, il regista gli ha posto la domanda "fronte": "Perché hai bisogno dei nomi dei clienti - vuoi unire la base?" -dopo il quale tutti andarono a lavorare. Se si trattasse di un tentativo di organizzare una fuga di informazioni, non lo sapremo mai, ma qualunque cosa fosse, il sistema finanziario aziendale era protetto.

Prevenzione delle perdite in preparazione

Un'altra direzione nello sviluppo di un sistema di monitoraggio degli incidenti interni con informazioni riservate è la costruzione di un sistema di prevenzione delle perdite. L'algoritmo per il funzionamento di tale sistema è lo stesso delle soluzioni per prevenire le intrusioni. Innanzitutto, viene costruito un modello di intruso e su di esso viene formata una "firma di violazione", ovvero una sequenza di azioni di un intruso. Se diverse azioni dell'utente coincidono con la firma della violazione, viene previsto il passaggio successivo dell'utente, se corrisponde alla firma, viene emesso un allarme. Ad esempio, è stato aperto un documento riservato, parte di esso è stato selezionato e copiato nel buffer, quindi è stato creato un nuovo documento e il contenuto del buffer è stato copiato in esso. Il sistema presume: se un nuovo documento viene successivamente salvato senza il marchio "riservato", si tratta di un tentativo di furto. Non è stata ancora inserita un'unità USB, non è stata generata una lettera e il sistema informa il responsabile della sicurezza delle informazioni che decide se arrestare il dipendente o tenere traccia della destinazione delle informazioni. A proposito, possono essere utilizzati modelli (in altre fonti - "profili") del comportamento dell'intruso, non solo la raccolta di informazioni dagli agenti software. Se si analizza la natura delle query del database, è sempre possibile identificare un dipendente che sta cercando di ottenere una specifica porzione di informazioni da una serie di query consecutive al database. È necessario tracciare immediatamente ciò che fa con queste richieste, se le salva, se si collegano supporti rimovibili, ecc.

Organizzazione della memorizzazione delle informazioni

I principi di anonimizzazione e crittografia dei dati sono un prerequisito per l'organizzazione dell'archiviazione e dell'elaborazione e l'accesso remoto può essere organizzato utilizzando il protocollo terminale senza lasciare alcuna informazione sul computer da cui è organizzata la richiesta.

Integrazione con i sistemi di autenticazione

Prima o poi, il cliente dovrà utilizzare un sistema per monitorare le azioni con documenti riservati per risolvere i problemi del personale, ad esempio il licenziamento dei dipendenti sulla base di fatti documentati da questo sistema o persino il perseguimento di persone trapelate. Tuttavia, tutto ciò che il sistema di monitoraggio può fornire è l'identificatore elettronico dell'intruso: indirizzo IP, account, indirizzo e-mail, ecc. Per accusare legalmente un dipendente, è necessario associare questo identificatore alla persona. Qui l'integratore apre un nuovo mercato - l'introduzione dei sistemi di autenticazione - dai semplici token ai biometrici avanzati e agli identificatori RFID.

A volte accadono eventi che ci richiedono di rispondere a una domanda "chi ha fatto questo?" Ciò può accadere "raramente, ma in modo appropriato", pertanto la risposta alla domanda dovrebbe essere preparata in anticipo.

Quasi ovunque, ci sono dipartimenti di progetto, contabilità, sviluppatori e altre categorie di dipendenti che lavorano insieme su gruppi di documenti archiviati in una cartella pubblica (condivisa) su un file server o su una delle workstation. Può succedere che qualcuno elimini un documento o una directory importanti da questa cartella, a causa della quale il lavoro di tutto il team potrebbe andare perso. In questo caso, sorgono diverse domande davanti all'amministratore di sistema:

    Quando e a che ora si è verificato il problema?

    Qual è il backup più vicino da cui ripristinare i dati?

    Forse si è verificato un errore di sistema che potrebbe ripetersi?

Windows ha un sistema revisione che consente di tenere traccia e registrare le informazioni su quando, da chi e con l'aiuto di quali documenti del programma sono stati eliminati. Per impostazione predefinita, l'audit non è coinvolto: il monitoraggio stesso richiede una certa percentuale di potenza del sistema e se si registra tutto in una riga, il carico diventerà troppo grande. Inoltre, lontano da tutte le azioni degli utenti potrebbero interessarci, pertanto le politiche di audit consentono di monitorare solo quegli eventi che sono veramente importanti per noi.

Il sistema di controllo è integrato in tutti i sistemi operativi MicrosoftfinestreNT: Windows XP / Vista / 7, Windows Server 2000/2003/2008. Sfortunatamente, sui sistemi Windows Home Series, il controllo è profondamente nascosto ed è troppo difficile da configurare.

Cosa deve essere configurato?

Per abilitare il controllo, accedere con i privilegi di amministratore al computer che fornisce l'accesso ai documenti condivisi ed eseguire il comando Inizio Correre gpedit.msc. In Configurazione computer, espandi la cartella Impostazioni di Windows Impostazioni di sicurezza Politiche locali Politiche di audit:

Fare doppio clic sulla politica Controlla accesso agli oggetti (Controlla l'accesso agli oggetti) e seleziona il segno di spunta Successo. Questo parametro abilita il meccanismo per tracciare con successo l'accesso ai file e al registro. Infatti, perché siamo interessati solo a tentativi riusciti di eliminare file o cartelle. Abilitare il controllo solo su computer direttamente su cui sono archiviati oggetti monitorati.

Abilitare semplicemente la politica di controllo non è sufficiente; dobbiamo anche indicare a quali cartelle si desidera monitorare l'accesso. In genere, questi oggetti sono cartelle di documenti condivisi (condivisi) e cartelle con programmi o database di produzione (contabilità, magazzino, ecc.), Ovvero risorse con cui lavorano diverse persone.

È impossibile indovinare in anticipo chi eliminerà il file, pertanto il tracciamento è indicato per Tutti. Verranno registrati tentativi riusciti di eliminare oggetti rilevati da qualsiasi utente. Chiama le proprietà della cartella richiesta (se ne esistono diverse, quindi tutte a turno) e nella scheda Sicurezza → Avanzate → Controllo aggiungi il tracking del soggetto Tutti i suoi tentativi di accesso riusciti Elimina e Elimina sottocartelle e file:


Gli eventi possono essere registrati abbastanza, quindi dovresti anche regolare le dimensioni del registro Sicurezza (Sicurezza)in cui verranno registrati. Per
eseguire questo comando InizioCorrereeventvwr. msc. Nella finestra visualizzata, chiama le proprietà del registro di sicurezza e specifica i seguenti parametri:

    Dimensione massima registro \u003d 65536 KB (per workstation) o 262144 KB (per server)

    Sovrascrivi gli eventi secondo necessità.

In effetti, queste cifre non sono garantite per essere accurate, ma sono selezionate empiricamente per ogni caso specifico.

finestre 2003/ XP)?

Clic Inizio Correre eventvwr.msc Sicurezza VisualizzaFiltro

  • Origine evento: sicurezza;
  • Categoria: Accesso agli oggetti;
  • Tipi di eventi: audit di successo;
  • ID evento: 560;


Sfoglia l'elenco degli eventi filtrati, prestando attenzione ai seguenti campi all'interno di ciascun record:

  • OggettoNome. Il nome della cartella o del file desiderato;
  • ImmagineFileNome. Il nome del programma con cui è stato eliminato il file;
  • accessi. Una serie di diritti richiesti.

Un programma può richiedere diversi tipi di accesso dal sistema contemporaneamente, ad esempio Elimina+ Sincronizzare o Elimina+ Leggere_ Controllo. Un diritto significativo per noi è Elimina.


Quindi, chi ha eliminato i documenti (finestre 2008/ Vista)?

Clic Inizio Correre eventvwr.msc e aperto per visualizzare la rivista Sicurezza Il diario può essere riempito con eventi che non hanno alcuna relazione diretta con il problema. Fare clic con il tasto destro sul registro di sicurezza, selezionare il comando VisualizzaFiltro e filtra la vista in base ai seguenti criteri:

  • Origine evento: sicurezza;
  • Categoria: Accesso agli oggetti;
  • Tipi di eventi: audit di successo;
  • ID evento: 4663;

Non abbiate fretta di interpretare tutte le cancellazioni come dannose. Questa funzione viene spesso utilizzata durante il normale funzionamento dei programmi, ad esempio eseguendo un comando Salva (Salva) pacchetto del programma MicrosoftUfficio creare innanzitutto un nuovo file temporaneo, salvare il documento al suo interno, quindi eliminare la versione precedente del file. Allo stesso modo, molte applicazioni di database, all'avvio, creano prima un file di blocco temporaneo (. lCK), quindi eliminarlo quando si esce dal programma.

In pratica, ho dovuto anche occuparmi di azioni da parte di utenti malintenzionati. Ad esempio, un dipendente in conflitto di una determinata azienda, quando è stato licenziato dal suo posto di lavoro, ha deciso di distruggere tutti i risultati del suo lavoro eliminando i file e le cartelle a cui era collegato. Eventi di questo tipo sono chiaramente visibili: generano decine, centinaia di voci al secondo nel registro di sicurezza. Naturalmente, il recupero di documenti da Ombracopie (Copia shadow) o l'archivio creato automaticamente ogni giorno non è difficile, ma allo stesso tempo potrei rispondere alle domande "Chi è stato?" e "Quando è successo?"

Victor Chutov
Responsabile del progetto INFORMSVYAZ HOLDING

Prerequisiti per l'implementazione del sistema

Il primo studio globale aperto sulle minacce interne alla sicurezza delle informazioni di Infowatch (nel 2006), condotto nel 2007, ha mostrato che le minacce interne non sono meno comuni (56,5%) di quelle esterne (malware, spam, hacker, ecc.) .d.). Allo stesso tempo, la stragrande maggioranza (77%) è causata dalla negligenza degli utenti stessi (inosservanza delle descrizioni del lavoro o negligenza dei mezzi di base per la protezione delle informazioni).

Le dinamiche della situazione nel periodo 2006-2008 riflessa in fig. 1.

La riduzione relativa della percentuale di perdite dovuta a negligenza è dovuta all'implementazione parziale dei sistemi di prevenzione delle perdite di informazioni (compresi i sistemi di monitoraggio delle attività degli utenti), che offrono un livello abbastanza elevato di protezione contro le perdite accidentali. Inoltre, è dovuto all'aumento assoluto del numero di furti intenzionali di dati personali.

Nonostante il cambiamento delle statistiche, si può ancora affermare con sicurezza che la priorità è combattere le perdite involontarie di informazioni, poiché è più facile, più economico contrastare tali perdite e, di conseguenza, la maggior parte degli incidenti è coperta.

Inoltre, la negligenza dei dipendenti, secondo l'analisi dei risultati della ricerca Infowatch e Perimetrix per il periodo 2004-2008, occupa il secondo posto tra le minacce più pericolose (i risultati della ricerca sintetica sono presentati in Fig. 2) e la sua rilevanza continua a crescere insieme al miglioramento del software e dell'hardware sistemi automatizzati (AS) delle imprese.

Pertanto, l'introduzione di sistemi per eliminare la possibilità di impatto negativo di un dipendente sull'IS nell'AS dell'impresa (compresi i programmi di monitoraggio), fornire ai dipendenti del servizio IS una base di prova e materiali per le indagini sugli incidenti, eliminerà la minaccia di perdite dovute a negligenza, ridurrà significativamente le perdite accidentali, così come in qualche modo ridurre quelli intenzionali. In definitiva, questa misura dovrebbe offrire un'opportunità per ridurre significativamente l'implementazione delle minacce da parte dei trasgressori interni.

Controllo AS moderno delle azioni dell'utente. Vantaggi e svantaggi

I sistemi automatizzati per il controllo (monitoraggio) delle azioni dell'utente (ASADP) di AS, spesso indicati come prodotti software di monitoraggio, sono destinati all'uso da parte degli amministratori della sicurezza AS (servizio IS di un'organizzazione) per garantirne l'osservabilità - "proprietà di un sistema informatico che consente la registrazione dell'attività dell'utente e l'identificazione univoca degli identificatori coinvolti in determinati eventi degli utenti al fine di prevenire la violazione delle politiche di sicurezza e / o garantire la responsabilità di determinate azioni. "

La proprietà dell'osservabilità degli AC, a seconda della qualità della sua implementazione, consente in un modo o nell'altro di controllare la conformità da parte dei dipendenti dell'organizzazione con la sua politica di sicurezza e le regole stabilite per un funzionamento sicuro sui computer.

L'uso di prodotti software di monitoraggio, anche in tempo reale, è progettato per:

  • identificare (localizzare) tutti i casi di tentativi di accesso non autorizzato a informazioni riservate con un'indicazione esatta dell'ora e della workstation di rete da cui è stato effettuato tale tentativo;
  • identificare fatti relativi all'installazione non autorizzata di software;
  • identificare tutti i casi di utilizzo non autorizzato di hardware aggiuntivo (ad esempio modem, stampanti, ecc.) analizzando i fatti relativi all'avvio di applicazioni specializzate installate non autorizzate;
  • identificare tutti i casi di digitazione sulla tastiera di parole e frasi critiche, preparazione di documenti critici, il cui trasferimento a terzi porterà a danni materiali;
  • controllare l'accesso a server e personal computer;
  • controllare i contatti durante la navigazione in Internet;
  • condurre ricerche relative alla determinazione dell'accuratezza, dell'efficienza e dell'adeguatezza delle risposte del personale alle influenze esterne;
  • determinare il carico di postazioni informatiche dell'organizzazione (per ora del giorno, per giorno della settimana, ecc.) ai fini dell'organizzazione scientifica del lavoro degli utenti;
  • monitorare i casi di utilizzo dei personal computer dopo le ore e identificare lo scopo di tale utilizzo;
  • ricevere le informazioni affidabili necessarie, sulla base delle quali vengono prese le decisioni in merito all'adeguamento e al miglioramento della politica IS dell'organizzazione, ecc.

L'implementazione di queste funzioni è ottenuta introducendo moduli di agenti (sensori) su stazioni di lavoro e relatori dell'AS con ulteriore polling dello stato o ricevendo rapporti da essi. I report vengono elaborati sulla console dell'amministratore della sicurezza. Alcuni sistemi sono dotati di server intermedi (punti di consolidamento) che elaborano le loro aree e gruppi di sicurezza.

Un'analisi sistematica delle soluzioni disponibili sul mercato (StatWin, Tivoli Configuration Manager, Tivoli Remote Control, OpenView Operations, "Uryadnik / Enterprise Guard", Insider) ha permesso di identificare un numero di proprietà specifiche, dando loro promettenti ASADP aumenterà i suoi indicatori di prestazione rispetto ai campioni studiati .

Nel caso generale, insieme a una funzionalità abbastanza ampia e un ampio pacchetto di opzioni, i sistemi esistenti possono essere utilizzati per tenere traccia dell'attività dei singoli oratori sulla base del polling ciclico obbligatorio (scansione) di tutti gli altoparlanti specificati (e in particolare degli utenti AWP).

Allo stesso tempo, la distribuzione e la scala dei moderni AS, incluso un numero piuttosto elevato di postazioni di lavoro, tecnologie e software, complica notevolmente il processo di monitoraggio del lavoro degli utenti e ciascuno dei dispositivi di rete può generare migliaia di messaggi di controllo che raggiungono quantità piuttosto grandi di informazioni che richiedono enormi, spesso duplicati banche dati. Questi strumenti, tra le altre cose, consumano notevoli risorse di rete e hardware, caricano un AS comune. Si rivelano poco flessibili nella riconfigurazione dell'hardware e del software delle reti di computer, non sono in grado di adattarsi a tipi sconosciuti di violazioni e attacchi di rete e l'efficacia del rilevamento delle violazioni delle politiche di sicurezza dipenderà in gran parte dalla frequenza di scansione da parte dell'amministratore della sicurezza degli elementi CA.

Un modo per aumentare l'efficienza di questi sistemi è aumentare direttamente la frequenza di scansione. Ciò porterà inevitabilmente a una riduzione dell'efficienza nell'esecuzione delle attività di base cui è destinato questo AS, in connessione con un aumento significativo del carico computazionale sia sulla workstation dell'amministratore che sui computer delle workstation degli utenti, nonché con un aumento del traffico della rete locale dell'AS.

Oltre ai problemi associati all'analisi di una grande quantità di dati, i sistemi di monitoraggio esistenti presentano serie limitazioni sull'efficienza e l'accuratezza delle decisioni prese a causa del fattore umano determinato dalle capacità fisiche dell'amministratore come operatore umano.

La presenza nei sistemi di monitoraggio esistenti della possibilità di notifica in tempo reale di azioni non autorizzate ovvie degli utenti non risolve fondamentalmente il problema nel suo insieme, in quanto consente di tracciare solo tipi noti di violazioni (metodo della firma) e non è in grado di fornire resistenza a nuovi tipi di violazioni.

Lo sviluppo e l'uso nei sistemi di protezione delle informazioni di estesi metodi di fornitura, che prevedono un aumento del livello della sua protezione a causa dell'ulteriore "selezione" della risorsa informatica dagli oratori, riducono le capacità degli oratori di risolvere i problemi a cui sono destinati e / o ne aumentano i costi. Il fallimento di questo approccio nel mercato in rapida crescita delle tecnologie IT è abbastanza evidente.

Sistema automatizzato di audit (monitoraggio) delle azioni dell'utente. Proprietà promettenti

Dai risultati dell'analisi di cui sopra, segue un'ovvia necessità di assegnare le seguenti proprietà ai promettenti sistemi di monitoraggio:

  • automazione escluse le operazioni "manuali" di routine;
  • una combinazione di centralizzazione (basata sulla workstation automatizzata dell'amministratore della sicurezza) con la gestione a livello di singoli elementi (programmi informatici intelligenti) di un sistema di monitoraggio per il funzionamento degli utenti AS;
  • scalabilità, che consente di aumentare la capacità dei sistemi di monitoraggio ed espandere le loro capacità senza aumentare significativamente le risorse informatiche necessarie per il loro efficace funzionamento;
  • adattabilità ai cambiamenti nella composizione e nelle caratteristiche delle centrali nucleari, nonché alla comparsa di nuovi tipi di violazioni delle politiche di sicurezza.

La struttura generalizzata di ASADP AS, che ha segnato caratteristiche distintive, che può essere implementata in AS per vari scopi e accessori, è presentata in Fig. 3.

La struttura sopra include i seguenti componenti principali:

  • sensori-componenti software, posizionati su alcuni elementi dell'AS (presso le stazioni di lavoro degli utenti, server, apparecchiature di rete, strumenti di protezione delle informazioni), che vengono utilizzati per correggere ed elaborare i dati di audit in tempo reale;
  • file di registrazione contenenti informazioni intermedie sul lavoro dell'utente;
  • componenti per l'elaborazione dei dati e il processo decisionale che ricevono informazioni dai sensori attraverso i file di registrazione, li analizzano e prendono decisioni su ulteriori azioni (ad esempio, immissione di alcune informazioni nel database, notifica ai funzionari, creazione di rapporti, ecc.);
  • un database di audit (DB) contenente informazioni su tutti gli eventi registrati, in base ai quali vengono generati i rapporti e lo stato della centrale nucleare viene monitorato per un determinato periodo di tempo;
  • componenti per la generazione di report e riferimenti basati sulle informazioni registrate nel database di audit e sui filtri di filtraggio (per data, ID utente, workstation, eventi di sicurezza, ecc.);
  • un componente dell'interfaccia dell'amministratore della sicurezza, che viene utilizzato per controllare il funzionamento di ASADP AS con il suo AWP, visualizzare e stampare informazioni, creare vari tipi di query sul database e generare report, che consente il monitoraggio in tempo reale delle attività correnti degli utenti AS e la valutazione dell'attuale livello di sicurezza di varie risorse;
  • componenti aggiuntivi, in particolare componenti software di configurazione del sistema, installazione e posizionamento dei sensori, archiviazione e crittografia delle informazioni, ecc.

L'elaborazione delle informazioni in ASADP AS comprende le seguenti fasi:

  • fissazione delle informazioni di registrazione mediante sensori;
  • raccolta di informazioni dai singoli sensori;
  • scambio di informazioni tra i pertinenti agenti del sistema;
  • elaborazione, analisi e correlazione di eventi registrati;
  • presentazione delle informazioni elaborate all'amministratore della sicurezza in forma normalizzata (sotto forma di report, diagrammi, ecc.).

Al fine di ridurre al minimo le risorse informatiche richieste, aumentare la segretezza e l'affidabilità del sistema, le informazioni possono essere memorizzate su vari elementi dell'AS.

Sulla base del compito di fornire ad ASADP AS proprietà di automazione fondamentalmente nuove (rispetto ai sistemi esistenti per l'auditing del lavoro degli utenti AS), combinando centralizzazione e decentralizzazione, scalabilità e adattabilità, una delle possibili strategie per la sua costruzione è la moderna tecnologia di sistemi multi-agente intelligenti implementati sviluppando una comunità integrata agenti di vario tipo (programmi autonomi intelligenti che implementano determinate funzioni di rilevamento e contrasto delle azioni dell'utente in contrasto con la politica di sicurezza) e organizzazione della loro interazione.

Per controllare l'accesso a file e cartelle in Windows Server 2008 R2, è necessario abilitare la funzione di controllo e specificare anche le cartelle e i file a cui è necessario correggere l'accesso. Dopo aver impostato il controllo, il registro del server conterrà informazioni sull'accesso e altri eventi ai file e alle cartelle selezionati. Vale la pena notare che l'accesso a file e cartelle può essere verificato solo su volumi con il file system NTFS.

Abilitare il controllo per gli oggetti del file system in Windows Server 2008 R2

Il controllo dell'accesso a file e cartelle è abilitato e disabilitato mediante criteri di gruppo: criteri di dominio per un dominio Active Directory o criteri di sicurezza locali per server autonomi. Per abilitare il controllo su un server separato, è necessario aprire la console di gestione dei criteri locali Avvia -\u003eTuttiProgrammi -\u003eAmministrativoStrumenti -\u003eLocaleSicurezzaPolitica. Nella console delle politiche locali, è necessario espandere l'albero delle politiche locali ( LocalePolitiche) e seleziona un elemento revisione Politica.

Nel riquadro destro, selezionare l'elemento revisioneOggettoAccesso e nella finestra che appare, specifica quali tipi di eventi di accesso a file e cartelle devono essere registrati (accesso riuscito / non riuscito):


Dopo aver selezionato le impostazioni necessarie, fare clic su ok

Seleziona i file e le cartelle a cui verrà fissato l'accesso

Dopo l'attivazione del controllo dell'accesso a file e cartelle, è necessario selezionare gli oggetti specifici del file system, il controllo dell'accesso al quale verrà condotto. Come le autorizzazioni NTFS, le impostazioni di controllo vengono ereditate per impostazione predefinita su tutti gli oggetti figlio (se non diversamente configurato). Come quando si assegnano i diritti di accesso a file e cartelle, l'ereditarietà delle impostazioni di controllo può essere abilitata per tutti e solo gli oggetti selezionati.

Per configurare il controllo per una specifica cartella / file, è necessario fare clic con il tasto destro su di esso e selezionare Proprietà ( Proprietà) Nella finestra delle proprietà, vai alla scheda Sicurezza ( Sicurezza) e premere il pulsante Avanzate. Nella finestra delle impostazioni di sicurezza avanzate ( AvanzateSicurezzaimpostazioni) vai alla scheda Audit ( revisione) La configurazione di un controllo richiede naturalmente i diritti di amministratore. In questa fase, la finestra di controllo mostrerà un elenco di utenti e gruppi per i quali è abilitato il controllo per questa risorsa:

Per aggiungere utenti o gruppi il cui accesso a questo oggetto verrà corretto, fare clic sul pulsante Inserisci ... e specifica i nomi di questi utenti / gruppi (o specifica Tutti - per controllare l'accesso per tutti gli utenti):

Immediatamente dopo aver applicato queste impostazioni nel registro del sistema di sicurezza (è possibile trovarlo nello snap-in ComputerGestione -\u003eVisualizzatore eventi), con ogni accesso agli oggetti per i quali è abilitato il controllo, verranno visualizzate le voci corrispondenti.

In alternativa, è possibile visualizzare e filtrare gli eventi utilizzando il cmdlet di PowerShell: Get-EventLog Ad esempio, per visualizzare tutti gli eventi con eventid 4660, eseguire il comando:

Sicurezza Get-EventLog | ? ($ _. eventid -eq 4660)

Mancia. È possibile assegnare azioni specifiche a tutti gli eventi nel registro di Windows, come l'invio di un'e-mail o l'esecuzione di uno script. Come è configurato questo è descritto nell'articolo:

UPD dall'08 / 06/2012 (Grazie al commentatore).

In Windows 2008 / Windows 7 è apparsa un'utilità speciale per la gestione del controllo auditpol. Un elenco completo di tipi di oggetti su cui è possibile abilitare il controllo può essere visualizzato utilizzando il comando:

Auditpol / elenco / sottocategoria: *

Come puoi vedere, questi oggetti sono divisi in 9 categorie:

  • Sistema
  • Accesso / disconnessione
  • Accesso agli oggetti
  • Uso del privilegio
  • Tracciamento dettagliato
  • Cambio di politica
  • Gestione contabile
  • Accesso DS
  • Accesso all'account

E ciascuno di essi, rispettivamente, è diviso in sottocategorie. Ad esempio, la categoria di controllo Accesso agli oggetti include la sottocategoria del file system e per abilitare il controllo per gli oggetti del file system su un computer, eseguire il comando:

Auditpol / set / sottocategoria: "File System" / errore: abilita / successo: abilita

È disconnesso secondo il comando:

Auditpol / set / sottocategoria: "File System" / errore: disabilita / successo: disabilita

Coloro. se si disabilita il controllo di sottocategorie non necessarie, è possibile ridurre in modo significativo il volume del registro e il numero di eventi non necessari.

Dopo l'attivazione del controllo dell'accesso a file e cartelle, è necessario specificare oggetti specifici che controlleremo (nelle proprietà di file e cartelle). Tenere presente che, per impostazione predefinita, le impostazioni di controllo sono ereditate da tutti gli oggetti figlio (se non diversamente specificato).

La necessità di implementare sistemi per il controllo delle azioni degli utenti nelle organizzazioni di qualsiasi livello è convincente per gli studi condotti sulle società coinvolte nell'analisi della sicurezza delle informazioni.

Uno studio di Kaspersky Lab, ad esempio, ha mostrato che i due terzi degli incidenti di sicurezza delle informazioni (67%) sono stati causati, tra l'altro, dalle azioni di dipendenti scarsamente informati o disattenti. Inoltre, secondo la ricerca ESET, l'84% delle aziende sottovaluta i rischi associati al fattore umano.

La protezione dalle minacce associate all'utente dall'interno richiede uno sforzo maggiore rispetto alla protezione dalle minacce esterne. Per contrastare i "parassiti" dall'esterno, compresi virus e attacchi mirati alla rete dell'organizzazione, è sufficiente implementare il complesso software o hardware-software appropriato. Proteggere la tua organizzazione da un aggressore interno richiederà investimenti più seri in infrastrutture di sicurezza e analisi approfondite. Il lavoro analitico comprende l'identificazione dei tipi di minacce più critiche per l'azienda, nonché la preparazione di "ritratti di violatori", ovvero la determinazione del danno che l'utente può infliggere in base alle proprie competenze e poteri.

L'audit delle azioni degli utenti è indissolubilmente legato non solo alla comprensione di quali "lacune" nel sistema di sicurezza delle informazioni debbano essere prontamente colmati, ma anche alla questione della sostenibilità dell'intera impresa. Le società avviate al funzionamento continuo dovrebbero tenere conto del fatto che, con la complicazione e l'aumento dei processi di informatizzazione e automazione aziendale, il numero di minacce interne è in aumento.

Oltre a monitorare le azioni di un normale dipendente, è necessario controllare le operazioni dei "superutenti" - dipendenti con diritti privilegiati e, di conseguenza, maggiori opportunità di realizzare accidentalmente o intenzionalmente la minaccia della perdita di informazioni. Questi utenti includono amministratori di sistema, amministratori di database e sviluppatori di software interni. Qui è possibile aggiungere gli specialisti IT coinvolti e il personale responsabile della sicurezza delle informazioni.

L'implementazione di un sistema per il monitoraggio delle azioni degli utenti in azienda consente di registrare e rispondere rapidamente alle attività dei dipendenti. Importante: il sistema di audit deve essere completo. Ciò significa che le informazioni sulle attività di un normale dipendente, amministratore di sistema o top manager devono essere analizzate a livello di sistema operativo, l'uso di applicazioni aziendali, a livello di dispositivi di rete, l'accesso a database, il collegamento di supporti esterni e così via.

I moderni sistemi di controllo integrati consentono di controllare tutte le fasi delle azioni dell'utente dall'inizio alla chiusura del PC (stazione terminale). È vero, in pratica cercano di evitare il controllo totale. Se tutte le operazioni vengono registrate nei registri di controllo, il carico sull'infrastruttura del sistema informativo dell'organizzazione aumenta molte volte: le stazioni di lavoro si "bloccano", i server e i canali funzionano a pieno carico. La paranoia sulla sicurezza delle informazioni può danneggiare le imprese rallentando significativamente i processi di lavoro.

Uno specialista della sicurezza delle informazioni competente determina innanzitutto:

  • quali dati dell'azienda sono i più preziosi, poiché la maggior parte delle minacce interne saranno associate ad essa;
  • chi ea quale livello può avere accesso a dati preziosi, ovvero delineare una cerchia di potenziali violatori;
  • in che misura le attuali misure di protezione sono in grado di resistere ad azioni intenzionali e / o accidentali degli utenti.

Ad esempio, i professionisti della sicurezza del settore finanziario considerano le minacce più pericolose della perdita di dati di pagamento e dell'abuso dell'accesso. Nei settori industriali e dei trasporti, hanno più paura delle perdite di know-how e del comportamento sleale dei lavoratori. Esistono preoccupazioni simili nel settore IT e nel settore delle telecomunicazioni, in cui le più critiche sono le minacce di fuoriuscita dei nostri sviluppi, segreti commerciali e informazioni sui pagamenti.

COME VIENE PROPOSTO I VIOLATORI “TIPICI” DELL'ANALISI ANALITICA:

  • Alta direzione: la scelta è ovvia: i più ampi poteri possibili, l'accesso alle informazioni più preziose. Allo stesso tempo, i responsabili della sicurezza spesso chiudono un occhio sulle violazioni delle regole IS da parte di tali figure.
  • Dipendenti sleali : per determinare il grado di lealtà, gli specialisti della sicurezza delle informazioni dell'azienda dovrebbero condurre un'analisi delle azioni di un singolo dipendente.
  • Amministratori: I professionisti con accesso privilegiato e autorità avanzata con una conoscenza IT approfondita sono tentati di ottenere un accesso non autorizzato a informazioni importanti;
  • Dipendenti dell'appaltatore / outsourcing : Come gli amministratori, esperti dall'esterno, con una vasta conoscenza, possono realizzare varie minacce all'interno del sistema informativo del cliente.

L'identificazione delle informazioni più significative e degli aggressori più probabili aiuta a costruire un sistema di controllo dell'utente, non totale, ma selettivo. Questo "scarica" \u200b\u200bil sistema informativo e salva gli specialisti della sicurezza delle informazioni da un lavoro eccessivo.

Oltre al monitoraggio selettivo, l'architettura dei sistemi di audit svolge un ruolo significativo nell'accelerare il sistema, migliorare la qualità dell'analisi e ridurre il carico sull'infrastruttura. I moderni sistemi per il controllo delle azioni dell'utente hanno una struttura distribuita. Alla fine di workstation e server, vengono installati agenti sensoriali che analizzano eventi di un certo tipo e trasferiscono i dati ai centri di consolidamento e archiviazione. I sistemi di analisi per le informazioni registrate in base ai parametri stabiliti nel sistema rilevano nei registri di audit fatti di attività sospette o anormali che non possono essere immediatamente attribuiti al tentativo di attuare una minaccia. Questi fatti vengono trasmessi al sistema di risposta, che notifica la violazione all'amministratore della sicurezza.

Se il sistema di controllo è in grado di far fronte autonomamente alla violazione (di solito in tali sistemi di sicurezza delle informazioni viene fornito un metodo di firma per rispondere a una minaccia), la violazione viene interrotta automaticamente e tutte le informazioni necessarie sul violatore, le sue azioni e l'oggetto della minaccia vengono inserite in un database speciale. In questo caso, Security Administrator Console avvisa l'utente della neutralizzazione della minaccia.

Se il sistema non include metodi per rispondere automaticamente ad attività sospette, tutte le informazioni per neutralizzare la minaccia o per analizzarne le conseguenze vengono trasmesse alla console dell'amministratore IS per le operazioni manuali.

QUALSIASI SISTEMA DI MONITORAGGIO DELL'ORGANIZZAZIONE DOVREBBE OPERAZIONI DI CONFIGURAZIONE:

Una verifica dell'uso di stazioni di lavoro, server, nonché il tempo (per ore e giorni della settimana) dell'attività degli utenti su di essi. In questo modo, viene stabilita l'opportunità di utilizzare le risorse di informazioni.

Condividere
Condividere
Tweet
Piace
Piace

Leggi anche

LA CAMPANA

C'è chi legge questa notizia prima di te.
Iscriviti per ricevere articoli freschi.
E-mail
Nome
Cognome
Come vuoi leggere The Bell
Niente spam