DZWON

Są tacy, którzy czytają tę wiadomość przed wami.
Zapisz się, aby otrzymywać najnowsze artykuły.
E-mail
Imię
Nazwisko
Jak chcesz przeczytać The Bell
Bez spamu

Audyt w Windows 7. Audyt działań użytkowników. Oprogramowanie InfoWatch

Dzielić
Dzielić
Ćwierkać
Lubić
Lubić

Adnotacja: Wykład kończący zawiera najnowsze zalecenia dotyczące wdrażania technicznych środków ochrony informacji poufnych, szczegółowo omawia charakterystykę i zasady działania rozwiązań InfoWatch.

Oprogramowanie InfoWatch

Celem tego kursu nie jest szczegółowe zapoznanie się ze szczegółami technicznymi produktów InfoWatch, dlatego rozważymy je od strony marketingu technicznego. Produkty InfoWatch są oparte na dwóch fundamentalnych technologiach - filtrowaniu treści i inspekcji działań użytkowników lub administratorów w miejscu pracy. Integralną częścią złożonego rozwiązania InfoWatch jest także repozytorium informacji, które opuściły system informatyczny oraz ujednolicona wewnętrzna konsola zarządzania bezpieczeństwem.

Filtrowanie treści kanałów przepływu informacji

Główną cechą wyróżniającą filtrowanie treści InfoWatch jest użycie morfologicznego jądra. W przeciwieństwie do tradycyjnego filtrowania podpisów, technologia filtrowania treści InfoWatch ma dwie zalety - niewrażliwość na kodowanie elementarne (zastępowanie jednego znaku innym) i wyższą wydajność. Ponieważ jądro nie działa ze słowami, ale z formami korzeni, automatycznie odcina korzenie zawierające mieszane kodowania. Również praca z korzeniami, których jest mniej niż dziesięć tysięcy w każdym języku, a nie z formami słów, których jest około miliona w językach, pozwala wykazać znaczące wyniki na raczej nieproduktywnym sprzęcie.

Audyt aktywności użytkowników

Aby monitorować działania użytkowników na dokumentach na stacji roboczej, InfoWatch oferuje kilka przechwytywaczy w jednym agencie na stacji roboczej - przechwytywacze dla operacji na plikach, operacji drukowania, operacji w aplikacjach, operacji z podłączonymi urządzeniami.

Repozytorium informacji, które opuściły system informacyjny wszystkimi kanałami.

InfoWatch oferuje repozytorium informacji, które opuściły system informacyjny. Dokumenty przechodzące wszystkimi kanałami wychodzącymi na zewnątrz systemu - poczta elektroniczna, Internet, druk i nośniki wymienne zapisywane są w aplikacji magazynowej * (do 2007 r. Serwer pamięci masowej monitora ruchu) wskazując wszystkie atrybuty - imię i nazwisko oraz pozycję użytkownika, jego elektroniczne prognozy (adres IP, konto lub adres pocztowy), datę i godzinę operacji, nazwę i atrybuty dokumentów. Wszystkie informacje są dostępne do analizy, w tym analizy treści.

Powiązane działania

Wprowadzenie technicznych środków ochrony informacji poufnych wydaje się nieskuteczne bez zastosowania innych metod, przede wszystkim organizacyjnych. Niektóre z nich omówiliśmy już powyżej. Przyjrzyjmy się teraz bardziej szczegółowo innym niezbędnym działaniom.

Wzorce zachowania sprawców

Po wdrożeniu systemu monitorowania działań z informacjami poufnymi, oprócz zwiększenia funkcjonalności i możliwości analitycznych, możliwy jest rozwój w dwóch kolejnych kierunkach. Pierwsza to integracja systemów ochrony przed zagrożeniami wewnętrznymi i zewnętrznymi. Incydenty ostatnich lat pokazują, że istnieje podział ról między wewnętrznymi i zewnętrznymi atakującymi, a połączenie informacji z systemów monitorowania zagrożeń zewnętrznych i wewnętrznych pozwoli na wykrycie faktów o takich połączonych atakach. Jednym z punktów styku bezpieczeństwa zewnętrznego i wewnętrznego jest zarządzanie prawami dostępu, szczególnie w kontekście symulacji przemysłowej konieczności zwiększenia praw nielojalnych pracowników i sabotażystów. Wszelkie wnioski o dostęp do zasobów nieprzewidzianych w ramach obowiązków służbowych powinny niezwłocznie zawierać mechanizm audytu działań z wykorzystaniem tych informacji. Jeszcze bezpieczniej jest rozwiązywać nagle pojawiające się problemy bez otwierania dostępu do zasobów.

Weźmy przykład z życia. Administrator systemu otrzymał od kierownika działu marketingu wniosek o otwarcie dostępu do systemu finansowego. Jako uzasadnienie wniosku załączono zlecenie Dyrektora Generalnego ds. Badań marketingowych procesów zakupu produkowanych przez firmę towarów. Ponieważ system finansowy jest jednym z najbardziej chronionych zasobów, a pozwolenie na dostęp do niego udziela prezes, szef działu bezpieczeństwa informacji napisał na aplikacji alternatywne rozwiązanie - nie po to, aby udostępniać, ale przesyłać zanonimizowane (bez podawania klientów) dane do specjalnej bazy danych w celu analizy. W odpowiedzi na zarzuty głównego marketera, że \u200b\u200bpraca w ten sposób była dla niego niewygodna, dyrektor zadał mu proste pytanie: „Po co im nazwiska klientów - czy chcesz scalić bazę danych? - Potem wszyscy poszli do pracy. Nigdy się nie dowiemy, czy była to próba zorganizowania wycieku informacji, ale cokolwiek to było, korporacyjny system finansowy był chroniony.

Zapobieganie wyciekom na etapie przygotowania

Kolejnym kierunkiem rozwoju systemu monitorowania incydentów wewnętrznych z wykorzystaniem informacji poufnych jest budowa systemu zapobiegania wyciekom. Algorytm takiego systemu jest taki sam jak w rozwiązaniach z zakresu zapobiegania włamaniom. Najpierw budowany jest model intruza, zgodnie z którym tworzony jest „sygnatura naruszenia”, czyli sekwencja działań intruza. Jeżeli z sygnaturą naruszenia zbiega się kilka działań użytkownika, to przewidywany jest kolejny krok użytkownika, jeśli jest on również zgodny z podpisem, generowany jest alarm. Na przykład dokument poufny został otwarty, jego część została zaznaczona i skopiowana do schowka, a następnie utworzono nowy dokument i skopiowano do niego zawartość schowka. System zakłada: jeśli nowy dokument jest dalej zapisywany bez etykiety „poufne”, jest to próba kradzieży. Dysk USB nie został jeszcze włożony, pismo nie zostało utworzone, a system informuje o tym pracownika ds. Bezpieczeństwa informacji, który decyduje, czy zatrzymać pracownika, czy śledzić, dokąd trafiają informacje. Nawiasem mówiąc, modele (w innych źródłach - „profile”) zachowania sprawcy mogą być wykorzystywane nie tylko poprzez zbieranie informacji od agentów oprogramowania. Jeśli przeanalizujesz charakter zapytań do bazy danych, zawsze możesz zidentyfikować pracownika, który serią kolejnych zapytań do bazy danych próbuje uzyskać określony wycinek informacji. Konieczne jest natychmiastowe prześledzenie, co robi z tymi żądaniami, czy je zapisuje, czy łączy nośniki wymienne itp.

Organizacja przechowywania informacji

Zasady anonimizacji i szyfrowania danych są warunkiem koniecznym do zorganizowania przechowywania i przetwarzania, a zdalny dostęp można zorganizować za pomocą protokołu terminalowego, bez pozostawiania jakichkolwiek informacji na komputerze, z którego organizowane jest żądanie.

Integracja z systemami uwierzytelniania

Wcześniej czy później klient będzie musiał skorzystać z systemu monitorowania działań z poufnymi dokumentami w celu rozwiązania problemów kadrowych - na przykład zwolnienia pracowników na podstawie faktów udokumentowanych przez ten system, a nawet ścigania tych, którzy wyciekli. Jednak wszystko, co może dać system monitoringu, to elektroniczny identyfikator intruza - adres IP, konto, adres e-mail itp. Aby prawnie oskarżyć pracownika, musisz powiązać ten identyfikator z osobą. Tutaj otwiera się przed integratorem nowy rynek - wprowadzenie systemów uwierzytelniania - od prostych tokenów po zaawansowane identyfikatory biometryczne i RFID.

Czasami zdarzają się wydarzenia, które wymagają od nas odpowiedzi na pytanie "kto to zrobił?" Może się to zdarzyć „rzadko, ale trafnie”, dlatego należy wcześniej przygotować się na odpowiedź na pytanie.

Niemal wszędzie istnieją działy projektowe, działy księgowości, programiści i inne kategorie pracowników pracujących razem nad grupami dokumentów przechowywanych w folderze publicznym (współdzielonym) na serwerze plików lub na jednej ze stacji roboczych. Może się zdarzyć, że ktoś usunie ważny dokument lub katalog z tego folderu, w wyniku czego praca całego zespołu może zostać utracona. W takim przypadku przed administratorem systemu pojawia się kilka pytań:

    Kiedy i o której godzinie wystąpił problem?

    Z której kopii zapasowej najbliżej tego czasu należy przywrócić dane?

    Może wystąpiła awaria systemu, która mogła się powtórzyć?

Windows ma system Rewizja, umożliwiając śledzenie i rejestrowanie informacji o tym, kiedy, przez kogo iz którymi dokumentami programowymi zostały usunięte. Domyślnie Audyt nie jest włączony - samo śledzenie wymaga określonego procentu mocy systemu, a jeśli zarejestrujesz wszystko z rzędu, obciążenie stanie się zbyt duże. Co więcej, nie wszystkie działania użytkowników mogą nas interesować, dlatego zasady audytu pozwalają nam na śledzenie tylko tych zdarzeń, które są dla nas naprawdę ważne.

System audytu jest wbudowany we wszystkie systemy operacyjne MicrosoftWindowsNT: Windows XP / Vista / 7, Windows Server 2000/2003/2008. Niestety w systemach Windows Home inspekcja jest głęboko ukryta i zbyt trudna do skonfigurowania.

Co musisz skonfigurować?

Aby włączyć inspekcję, zaloguj się z uprawnieniami administratora do komputera, który zapewnia dostęp do udostępnionych dokumentów, i uruchom polecenie Początek Biegać gpedit.msc. W sekcji Konfiguracja komputera rozwiń folder Ustawienia systemu Windows Ustawienia bezpieczeństwa Zasady lokalne Zasady audytu:

Kliknij dwukrotnie zasady Kontrola dostępu do obiektów (Audyt dostępu do obiektów) i zaznacz pole wyboru Sukces. Ten parametr włącza mechanizm śledzenia pomyślnego dostępu do plików i rejestru. Rzeczywiście interesują nas tylko udane próby usunięcia plików lub folderów. Włącz inspekcję tylko na komputerach bezpośrednio, na których są przechowywane śledzone obiekty.

Samo włączenie zasad audytu nie wystarczy, musimy również określić, które foldery mają śledzić dostęp. Zazwyczaj takimi obiektami są foldery współdzielonych (współdzielonych) dokumentów oraz foldery z programami produkcyjnymi lub bazami danych (księgowość, magazyn itp.) - czyli zasoby, z którymi pracuje kilka osób.

Nie można z góry przewidzieć, kto usunie plik, dlatego śledzenie jest wskazane dla wszystkich. Udane próby usunięcia śledzonych obiektów przez dowolnego użytkownika będą rejestrowane. Wywołaj właściwości wymaganego folderu (jeśli jest kilka takich folderów, to wszystkie po kolei) i na karcie Bezpieczeństwo → Zaawansowane → Audyt dodaj śledzenie obiektu Wszyscy udane próby dostępu Usunąć i Usuń podfoldery i pliki:


Może być zarejestrowanych kilka zdarzeń, więc należy również dostosować rozmiar dziennika Bezpieczeństwo (Bezpieczeństwo)do którego zostaną zapisane. Dla
uruchom to polecenie PoczątekBiegaćeventvwr. msc. W wyświetlonym oknie wywołaj właściwości dziennika zabezpieczeń i określ następujące parametry:

    Maksymalny rozmiar dziennika \u003d 65536 KB (dla stacji roboczych) lub 262144 KB (dla serwerów)

    W razie potrzeby nadpisz wydarzenia.

W rzeczywistości dane te nie gwarantują dokładności, ale są wybierane empirycznie dla każdego konkretnego przypadku.

Windows 2003/ XP)?

Kliknij Początek Biegać eventvwr.msc Bezpieczeństwo. WidokFiltr

  • Źródło zdarzenia: Bezpieczeństwo;
  • Kategoria: Dostęp do obiektów;
  • Typy zdarzeń: Audyt sukcesów;
  • Identyfikator zdarzenia: 560;


Przejrzyj listę odfiltrowanych zdarzeń, zwracając uwagę na następujące pola w każdym rekordzie:

  • ObiektImię. Nazwa folderu lub pliku, którego szukasz;
  • WizerunekPlikImię. Nazwa programu, za pomocą którego plik został usunięty;
  • Dostęp. Zbiór żądanych praw.

Program może zażądać jednocześnie kilku typów dostępu z systemu - np. Usunąć+ Synchronizować lub Usunąć+ Czytać_ Kontrola. Istotnym dla nas prawem jest Usunąć.


Więc kto usunął dokumenty (Windows 2008/ Widok)?

Kliknij Początek Biegać eventvwr.msc i otwórz dziennik do przeglądania Bezpieczeństwo. Dziennik można wypełnić zdarzeniami niezwiązanymi bezpośrednio z problemem. Kliknij prawym przyciskiem myszy dziennik zabezpieczeń i wybierz WidokFiltr i przefiltruj widok według następujących kryteriów:

  • Źródło zdarzenia: Bezpieczeństwo;
  • Kategoria: Dostęp do obiektów;
  • Typy zdarzeń: Audyt sukcesów;
  • Identyfikator zdarzenia: 4663;

Nie spiesz się, aby zinterpretować wszystkie usunięcia jako złośliwe. Ta funkcja jest często używana podczas normalnego działania programu - na przykład podczas wykonywania polecenia Zapisać (Zapisać), programy pakietowe MicrosoftGabinet najpierw utwórz nowy plik tymczasowy, zapisz w nim dokument, a następnie usuń poprzednią wersję pliku. Podobnie, wiele aplikacji bazodanowych najpierw tworzy tymczasowy plik blokady podczas uruchamiania. (. lck), następnie usuń go podczas wychodzenia z programu.

W praktyce spotkałem się również ze złośliwym zachowaniem użytkowników. Na przykład skonfliktowany pracownik pewnej firmy, po zwolnieniu z pracy, postanowił zniszczyć wszystkie wyniki swojej pracy, usuwając pliki i foldery, z którymi był powiązany. Tego typu zdarzenia są wyraźnie widoczne - generują dziesiątki, setki wpisów na sekundę w logu bezpieczeństwa. Oczywiście odzyskiwanie dokumentów z plików CieńKopie (Kopie w tle) czy codziennie tworzone automatycznie archiwum nie jest trudne, ale jednocześnie mogłem odpowiedzieć na pytania "Kto to zrobił?" i „Kiedy to się stało?”

Victor Chutov
Kierownik Projektu INFORMSVYAZ HOLDING

Wymagania wstępne do wdrożenia systemu

Pierwsza otwarta globalna ankieta dotycząca wewnętrznych zagrożeń bezpieczeństwa informacji przeprowadzona przez Infowatch w 2007 roku (na podstawie wyników z 2006 roku) wykazała, że \u200b\u200bzagrożenia wewnętrzne są nie mniej powszechne (56,5%) niż zagrożenia zewnętrzne (złośliwe oprogramowanie, spam, działania hakerów itp.) itp.). Jednocześnie w zdecydowanej większości (77%) przyczyną implementacji zagrożenia wewnętrznego jest zaniedbanie samych użytkowników (nieprzestrzeganie opisów stanowisk lub zaniedbanie elementarnych środków ochrony informacji).

Dynamika zmian sytuacji w latach 2006-2008 pokazano na ryc. 1.

Względny spadek udziału wycieków z powodu zaniedbań wynika z częściowego wdrożenia systemów zapobiegania wyciekom informacji (w tym systemu monitorowania działań użytkowników), które zapewniają dostatecznie wysoki stopień ochrony przed przypadkowymi wyciekami. Ponadto wynika to z bezwzględnego wzrostu liczby umyślnych kradzieży danych osobowych.

Mimo zmiany statystyk nadal można śmiało stwierdzić, że priorytetowym zadaniem jest walka z niezamierzonymi wyciekami informacji, ponieważ przeciwdziałanie takim wyciekom jest łatwiejsze, tańsze, a co za tym idzie, większość incydentów jest objęta ochroną.

Jednocześnie zaniedbania pracowników, według analizy wyników badań Infowatch i Perimetrix z lat 2004-2008, zajmują drugie miejsce wśród najgroźniejszych zagrożeń (podsumowanie wyników badań przedstawiono na rys. 2), a ich znaczenie rośnie wraz z doskonaleniem oprogramowania i sprzętu. zautomatyzowane systemy (AS) przedsiębiorstw.

Tym samym wprowadzenie systemów eliminujących możliwość negatywnego wpływu pracownika na SI w SZ przedsiębiorstwa (w tym programy monitorujące), zapewniających personelowi SI bazę dowodową i materiały do \u200b\u200bbadania incydentów, wyeliminuje zagrożenie wycieku z powodu zaniedbania i znacznie ograniczy przypadkowe wycieki, a także nieco zmniejszyć celowość. Docelowo działanie to powinno pozwolić na znaczne ograniczenie implementacji zagrożeń ze strony insiderów.

Nowoczesny AS do audytu działań użytkowników. Zalety i wady

Zautomatyzowane systemy do audytu (monitorowania) działań użytkownika (ASADP) AS, często nazywane oprogramowaniem monitorującym, są przeznaczone do użytku przez administratorów bezpieczeństwa AS (usługa IS organizacji) w celu zapewnienia jego obserwowalności - „właściwości systemu komputerowego, który pozwala rejestrować działania użytkowników, a także jednoznacznie ustawiać identyfikatory zaangażowany w określone zdarzenia użytkownika w celu zapobieżenia naruszeniom polityki bezpieczeństwa i / lub zapewnienia odpowiedzialności za określone działania. "

Właściwość obserwowalności UA, w zależności od jakości jej realizacji, pozwala w taki czy inny sposób kontrolować przestrzeganie przez pracowników organizacji jej polityki bezpieczeństwa i ustalonych zasad bezpiecznej pracy na komputerach.

Korzystanie z oprogramowania do monitorowania, w tym w czasie rzeczywistym, ma na celu:

  • identyfikować (lokalizować) wszystkie przypadki prób nieuprawnionego dostępu do informacji poufnych z dokładnym wskazaniem czasu i sieciowego miejsca pracy, z którego taka próba została podjęta;
  • zidentyfikować fakty dotyczące nieautoryzowanej instalacji oprogramowania;
  • ustala wszystkie przypadki nieautoryzowanego użycia dodatkowego sprzętu (na przykład modemów, drukarek itp.) poprzez analizę faktów uruchamiania nieautoryzowanych, zainstalowanych specjalistycznych aplikacji;
  • zidentyfikować wszystkie przypadki wpisywania krytycznych słów i zwrotów na klawiaturze, przygotowywania krytycznych dokumentów, których przekazanie osobom trzecim doprowadzi do szkód materialnych;
  • kontrola dostępu do serwerów i komputerów osobistych;
  • kontrolować kontakty podczas surfowania po Internecie;
  • prowadzić badania związane z określeniem dokładności, wydajności i adekwatności reakcji personelu na wpływy zewnętrzne;
  • określić obciążenie stanowisk komputerowych organizacji (według pory dnia, dni tygodnia itp.) w celu naukowej organizacji pracy użytkowników;
  • kontrolować korzystanie z komputerów osobistych poza godzinami pracy i identyfikować cel takiego użytkowania;
  • uzyskać niezbędne wiarygodne informacje, na podstawie których podejmowane są decyzje o dostosowaniu i doskonaleniu polityki SI organizacji itp.

Realizacja tych funkcji odbywa się poprzez implementację modułów agentowych (czujników) na stacjach roboczych i serwerach AS z dalszym odpytywaniem statusu lub otrzymywaniem od nich raportów. Raporty są przetwarzane w konsoli administratora zabezpieczeń. Niektóre systemy są wyposażone w serwery pośrednie (punkty konsolidacji), które obsługują ich obszary i grupy zabezpieczeń.

Systematyczna analiza rozwiązań prezentowanych na rynku (StatWin, Tivoli Configuration Manager, Tivoli Remote Control, OpenView Operations, „Police Officer / Enterprise Guard”, Insider) pozwoliła zidentyfikować szereg specyficznych właściwości, wskazując, które obiecujący ASADP poprawiłby swoje wskaźniki wydajności w porównaniu z badanymi próbami ...

W ogólnym przypadku, wraz z dość szeroką funkcjonalnością i dużym pakietem opcji, istniejące systemy można wykorzystać do śledzenia działań tylko pojedynczych użytkowników AU na podstawie obowiązkowego cyklicznego odpytywania (skanowania) wszystkich określonych elementów AU (a przede wszystkim użytkowników AWP).

Jednocześnie dystrybucja i skala współczesnego AS, w tym dość duża liczba AWP, technologii i oprogramowania, znacznie komplikuje sam proces monitorowania pracy użytkowników, a każde z urządzeń sieciowych jest w stanie wygenerować tysiące komunikatów audytowych, które docierają do odpowiednio dużych ilości informacji wymagających ogromnych, często dublujących się bazy danych. Oznacza to, między innymi, zużycie znacznych zasobów sieciowych i sprzętowych, ładowanie wspólnego AS. Okazują się nieelastyczni w zakresie rekonfiguracji sprzętu i oprogramowania sieci komputerowych, nie są w stanie dostosować się do nieznanych typów naruszeń i ataków sieciowych, a skuteczność ich wykrywania naruszeń polityki bezpieczeństwa będzie w dużej mierze zależna od częstotliwości skanowania elementów systemu przez administratora bezpieczeństwa.

Jednym ze sposobów na poprawę wydajności tych systemów jest bezpośrednie zwiększenie częstotliwości skanowania. Nieuchronnie doprowadzi to do spadku wydajności wykonywania tych głównych zadań, do których w istocie ten AS jest przeznaczony, ze względu na znaczny wzrost obciążenia obliczeniowego zarówno na stacji roboczej administratora, jak i na komputerach stacji roboczych użytkowników, a także ze wzrostem ruchu w sieci lokalnej AS.

Oprócz problemów związanych z analizą dużej ilości danych, istniejące systemy monitoringu mają poważne ograniczenia szybkości i trafności podejmowanych decyzji, spowodowane czynnikiem ludzkim, zdeterminowane fizycznymi możliwościami administratora jako człowieka-operatora.

Obecność w istniejących systemach monitoringu możliwości powiadamiania w czasie rzeczywistym o jawnych niedozwolonych działaniach użytkowników nie rozwiązuje zasadniczo problemu jako całości, gdyż umożliwia śledzenie tylko wcześniej znanych rodzajów naruszeń (metoda podpisu), a nie jest w stanie zapewnić przeciwdziałania nowym typom naruszeń.

Opracowanie i wykorzystanie rozbudowanych metod zabezpieczania informacji w systemach bezpieczeństwa informacji, zapewniających zwiększenie poziomu jej ochrony dzięki dodatkowemu „doborowi” zasobów obliczeniowych z OS, ogranicza możliwości AS do rozwiązywania zadań, do których jest przeznaczony, i / lub zwiększa jego koszt. Niepowodzenie tego podejścia na szybko rozwijającym się rynku technologii informatycznych jest dość oczywiste.

Zautomatyzowany system do audytu (monitorowania) działań użytkowników. Obiecujące właściwości

Z powyższych wyników analizy wynika, że \u200b\u200bistnieje oczywista potrzeba nadania następujących właściwości obiecującym systemom monitorowania:

  • automatyzacja, z wyłączeniem rutynowych operacji „ręcznych”;
  • połączenie centralizacji (w oparciu o zautomatyzowane stanowisko dla administratora bezpieczeństwa) z kontrolą na poziomie poszczególnych elementów (inteligentnych programów komputerowych) systemu monitorowania pracy użytkowników NPP;
  • skalowalność, która pozwala na zwiększenie wydajności systemów monitoringu i poszerzenie ich możliwości bez znaczącego zwiększania zasobów obliczeniowych niezbędnych do ich efektywnego funkcjonowania;
  • zdolność adaptacji do zmian składu i charakterystyk elektrowni jądrowej, a także do pojawiania się nowych rodzajów naruszeń polityki bezpieczeństwa.

Uogólnioną strukturę ASADP AS, która ma zauważone charakterystyczne cechy, które można zaimplementować w AS do różnych celów i akcesoriów, pokazano na rys. 3.

Powyższa struktura obejmuje następujące główne elementy:

  • komponenty oprogramowania - czujniki zlokalizowane na niektórych elementach AU (na stacjach roboczych użytkowników, serwerach, sprzęcie sieciowym, narzędziach bezpieczeństwa informacji), służące do rejestrowania i przetwarzania danych audytowych w czasie rzeczywistym;
  • pliki rejestracyjne zawierające pośrednie informacje o pracy użytkowników;
  • komponenty przetwarzające i decyzyjne, które otrzymują informacje z czujników poprzez pliki rejestracyjne, analizują je i decydują o dalszych działaniach (np. o wprowadzaniu niektórych informacji do bazy danych, powiadamianiu urzędników, tworzeniu raportów itp.);
  • baza danych audytów (DB) zawierająca informacje o wszystkich zarejestrowanych zdarzeniach, na podstawie których tworzone są raporty i monitorowany jest stan EJ przez dowolny okres;
  • komponenty do generowania raportów i referencji na podstawie informacji zapisanych w bazie danych audytów i filtrowania rekordów (według daty, według identyfikatora użytkownika, według stacji roboczej, według zdarzeń bezpieczeństwa itp.);
  • komponent interfejsu administratora bezpieczeństwa, który służy do kontroli pracy ASADP AS z jego AWS, przeglądania i drukowania informacji, tworzenia różnego rodzaju zapytań do bazy danych oraz generowania raportów, co pozwala na monitorowanie w czasie rzeczywistym bieżących działań użytkowników AS oraz ocenę aktualnego poziomu bezpieczeństwa różnych zasobów;
  • komponenty dodatkowe, w szczególności komponenty oprogramowania do konfiguracji systemu, instalacji i rozmieszczenia czujników, archiwizacji i szyfrowania informacji itp.

Przetwarzanie informacji w ASADP AS obejmuje następujące etapy:

  • utrwalanie informacji rejestracyjnych przez czujniki;
  • zbieranie informacji z poszczególnych czujników;
  • wymiana informacji między odpowiednimi agentami systemu;
  • przetwarzanie, analiza i korelacja zarejestrowanych zdarzeń;
  • prezentacja przetwarzanych informacji administratorowi bezpieczeństwa w znormalizowanej formie (w postaci raportów, wykresów itp.).

W celu zminimalizowania wymaganych zasobów obliczeniowych, zwiększenia poufności i niezawodności systemu, przechowywanie informacji może odbywać się na różnych elementach jednostki AU.

Opierając się na zadaniu nadania ASADP AS zupełnie nowych (w porównaniu z istniejącymi systemami do audytu pracy użytkowników AS) właściwości automatyzacji, połączenia centralizacji i decentralizacji, skalowalności i adaptowalności, jedną z możliwych strategii jego budowy jest nowoczesna technologia inteligentnych systemów wieloagentowych, wdrażana poprzez rozwój zintegrowanej społeczności agenty różnego typu (inteligentne programy autonomiczne, które realizują określone funkcje wykrywania i przeciwdziałania działaniom użytkowników sprzecznym z polityką bezpieczeństwa) i organizują ich interakcje.

Aby przeprowadzić audyt dostępu do plików i folderów w systemie Windows Server 2008 R2, należy włączyć funkcję audytu, a także określić foldery i pliki, do których chcesz rejestrować dostęp. Po skonfigurowaniu audytu, log serwera będzie zawierał informacje o dostępie i innych zdarzeniach dla wybranych plików i folderów. Należy zauważyć, że inspekcja dostępu do plików i folderów może być wykonywana tylko na woluminach z systemem plików NTFS.

Jak włączyć inspekcję obiektów systemu plików w systemie Windows Server 2008 R2

Inspekcja dostępu do plików i folderów jest włączana i wyłączana za pomocą zasad grupy: zasad domeny dla domeny Active Directory lub lokalnych zasad zabezpieczeń dla serwerów autonomicznych. Aby włączyć inspekcję na oddzielnym serwerze, należy otworzyć konsolę zarządzania zasadami lokalnymi Start -\u003eWszystkoProgramy -\u003eAdministracyjnyNarzędzia -\u003eLokalnyBezpieczeństwoPolityka... W konsoli zasad lokalnych rozwiń drzewo zasad lokalnych ( LokalnyZasady) i wybierz element Rewizja Polityka.

W prawym okienku wybierz element RewizjaObiektDostęp iw wyświetlonym oknie określ, jakie typy zdarzeń dostępu do plików i folderów mają być rejestrowane (dostęp udany / nieudany):


Po wybraniu żądanego ustawienia kliknij DOBRZE.

Wybieranie plików i folderów, do których dostęp będzie nagrywany

Po uruchomieniu kontroli dostępu do plików i folderów konieczne jest wybranie określonych obiektów systemu plików, do których dostęp będzie kontrolowany. Podobnie jak uprawnienia NTFS, ustawienia inspekcji są dziedziczone domyślnie dla wszystkich obiektów podrzędnych (chyba że skonfigurowano inaczej). Podobnie jak w przypadku nadawania uprawnień do plików i folderów, dziedziczenie ustawień inspekcji można włączyć dla wszystkich lub tylko dla wybranych obiektów.

Aby skonfigurować inspekcję dla określonego folderu / pliku, należy kliknąć go prawym przyciskiem myszy i wybrać Właściwości ( Nieruchomości). W oknie właściwości przejdź do zakładki Bezpieczeństwo ( Bezpieczeństwo) i naciśnij przycisk zaawansowane... W oknie zaawansowanych ustawień zabezpieczeń ( zaawansowaneBezpieczeństwoUstawienia) przejdź do zakładki Audyt ( Audyt). Skonfigurowanie audytu wymaga oczywiście uprawnień administratora. Na tym etapie okno audytu wyświetli listę użytkowników i grup, dla których audyt jest włączony w tym zasobie:

Aby dodać użytkowników lub grupy, których dostęp do tego obiektu będzie rejestrowany, kliknij przycisk Dodaj ... i określ nazwy tych użytkowników / grup (lub określ Wszyscy - do audytu dostępu wszystkich użytkowników):

Natychmiast po zastosowaniu tych ustawień w dzienniku systemu Security (można go znaleźć w przystawce KomputerZarządzanie -\u003ePrzeglądarka zdarzeń), za każdym razem, gdy uzyskasz dostęp do obiektów, dla których włączona jest kontrola, pojawią się odpowiednie wpisy.

Alternatywnie zdarzenia można wyświetlać i filtrować za pomocą polecenia cmdlet programu PowerShell - Get-EventLog Na przykład, aby wyświetlić wszystkie zdarzenia z identyfikatora zdarzenia 4660, wykonaj polecenie:

Bezpieczeństwo Get-EventLog | ? ($ _. eventid -eq 4660)

Rada... Możliwe jest przypisanie określonych akcji do dowolnych zdarzeń w dzienniku systemu Windows, takich jak wysłanie wiadomości e-mail lub wykonanie skryptu. Sposób konfiguracji opisano w artykule:

UPD od 06.08.2012 (Podziękowania dla komentatora).

W Windows 2008 / Windows 7 pojawiło się specjalne narzędzie do zarządzania audytem auditpol... Pełną listę typów obiektów, dla których można włączyć audyt, można zobaczyć za pomocą polecenia:

Auditpol / lista / podkategoria: *

Jak widać, obiekty te są podzielone na 9 kategorii:

  • System
  • Logowanie / wylogowanie
  • Dostęp do obiektu
  • Korzystanie z przywilejów
  • Szczegółowe śledzenie
  • Zmiana zasad
  • Zarządzanie kontem
  • DS Access
  • Logowanie do konta

Każda z nich jest odpowiednio podzielona na podkategorie. Na przykład kategoria Inspekcja dostępu do obiektów zawiera podkategorię System plików i aby włączyć inspekcję obiektów systemu plików na komputerze, uruchom polecenie:

Auditpol / set / subcategory: "System plików" / awaria: włącz / powodzenie: włącz

Wyłącza się odpowiednio poleceniem:

Auditpol / set / subcategory: "System plików" / awaria: wyłącz / powodzenie: wyłącz

Te. Jeśli wyłączysz inspekcję niepotrzebnych podkategorii, możesz znacznie zmniejszyć rozmiar dziennika i liczbę niepotrzebnych zdarzeń.

Po uruchomieniu audytu dostępu do plików i folderów należy wskazać konkretne obiekty, które będziemy kontrolować (we właściwościach plików i folderów). Należy pamiętać, że domyślnie ustawienia inspekcji są dziedziczone we wszystkich obiektach podrzędnych (chyba że zaznaczono inaczej).

O potrzebie wdrażania systemów audytu działań użytkowników w organizacjach na każdym poziomie przemawiają badania firm zajmujących się analizą bezpieczeństwa informacji.

Na przykład badanie przeprowadzone przez Kaspersky Lab wykazało, że dwie trzecie incydentów związanych z bezpieczeństwem informacji (67%) jest spowodowanych między innymi działaniami słabo poinformowanych lub nieuważnych pracowników. Jednocześnie według badań ESET 84% firm nie docenia ryzyka związanego z czynnikami ludzkimi.

Obrona przed zagrożeniami związanymi z użytkownikiem „od wewnątrz” jest trudniejsza niż ochrona przed zagrożeniami zewnętrznymi. Aby przeciwdziałać „szkodnikom” z zewnątrz, w tym wirusom i ukierunkowanym atakom na sieć organizacji, wystarczy zaimplementować odpowiednie oprogramowanie lub kompleks sprzętowo-programowy. Ochrona organizacji przed atakiem wewnętrznym będzie wymagała większych inwestycji w infrastrukturę bezpieczeństwa i dogłębnej analizy. Prace analityczne obejmują identyfikację typów zagrożeń, które są najbardziej krytyczne dla biznesu, a także sporządzenie „portretów sprawców”, czyli określenie, jakie szkody może wyrządzić użytkownik na podstawie jego kompetencji i uprawnień.

Audyt działań użytkowników jest nierozerwalnie związany nie tylko ze zrozumieniem, które „luki” w systemie bezpieczeństwa informacji należy szybko zlikwidować, ale także z całością zagadnienia zrównoważonego rozwoju biznesu. Firmy, które stawiają na ciągłość działania, powinny liczyć się z tym, że wraz ze złożonością i wzrostem procesów informatyzacji i automatyzacji biznesu rośnie liczba zagrożeń wewnętrznych.

Oprócz śledzenia poczynań zwykłego pracownika, konieczny jest audyt działań „superużytkowników” - pracowników z uprzywilejowanymi uprawnieniami, a co za tym idzie, większych możliwości przypadkowego lub celowego zaimplementowania zagrożenia wyciekiem informacji. Do tych użytkowników należą administratorzy systemu, administratorzy baz danych i programiści oprogramowania układowego. Możesz również dodać zaangażowanych specjalistów IT i pracowników odpowiedzialnych za bezpieczeństwo informacji.

Wprowadzenie systemu monitorowania działań użytkowników w firmie pozwala na rejestrację i szybką reakcję na działania pracowników. Ważne: system audytu musi być integracyjny. Oznacza to, że informacje o działaniach zwykłego pracownika, administratora systemu czy najwyższego kierownika wymagają analizy na poziomie systemu operacyjnego, wykorzystania aplikacji biznesowych, na poziomie urządzeń sieciowych, połączeń z bazami danych, połączeń z mediami zewnętrznymi itd.

Nowoczesne systemy kompleksowego audytu pozwalają kontrolować wszystkie etapy działań użytkownika od uruchomienia do wyłączenia komputera PC (stanowiska terminalowego). To prawda, że \u200b\u200bw praktyce starają się unikać całkowitej kontroli. Jeśli wszystkie operacje są rejestrowane w dziennikach audytów, obciążenie infrastruktury systemu informatycznego organizacji wzrasta wielokrotnie: stacje robocze „zawieszają się”, serwery i kanały pracują pod pełnym obciążeniem. Paranoja dotycząca bezpieczeństwa informacji może zaszkodzić firmie, znacznie spowalniając procesy pracy.

Kompetentny specjalista ds. Bezpieczeństwa informacji określa przede wszystkim:

  • jakie dane w firmie są najbardziej wartościowe, skoro większość zagrożeń wewnętrznych będzie z nimi związana;
  • kto i na jakim poziomie może mieć dostęp do cennych danych, czyli nakreśla krąg potencjalnych sprawców;
  • w jakim stopniu obecne środki ochrony są w stanie wytrzymać celowe i / lub przypadkowe działania użytkowników.

Na przykład specjaliści ds. Cyberbezpieczeństwa z sektora finansowego za najbardziej niebezpieczne uważają zagrożenia związane z wyciekiem danych płatniczych i nadużyciami dostępu. W sektorze przemysłowym i transportowym największe obawy dotyczą przecieków i nielojalnych pracowników. Podobne obawy istnieją w branży IT i telekomunikacji, gdzie najbardziej krytycznymi zagrożeniami są wycieki prawnie zastrzeżonych rozwiązań, tajemnic handlowych i informacji o płatnościach.

JAKO NAJPRAWDOPODOBNE „TYPOWE” WYŁĄCZNIKI ANALITYCZNE IDENTYFIKUJĄ:

  • Najwyższe kierownictwo: wybór jest oczywisty - możliwie najszerszy autorytet, dostęp do najcenniejszych informacji. Jednocześnie osoby odpowiedzialne za bezpieczeństwo często przymykają oko na łamanie zasad bezpieczeństwa informacji przez takie osoby.
  • Nielojalni pracownicy : aby określić stopień lojalności, specjaliści ds. bezpieczeństwa informacji w firmie powinni przeanalizować działania pojedynczego pracownika.
  • Administratorzy: Specjaliści z uprzywilejowanym dostępem i wzmocnionymi uprawnieniami z głęboką wiedzą informatyczną są kuszeni, by uzyskać nieautoryzowany dostęp do poufnych informacji.
  • Pracownicy kontrahentów / outsourcing : podobnie jak administratorzy, eksperci „z zewnątrz”, posiadający szeroką wiedzę, potrafią wdrażać różne zagrożenia „wewnątrz” systemu informatycznego klienta.

Określenie najważniejszych informacji i najbardziej prawdopodobnych napastników pomaga zbudować system nie całkowitej, ale selektywnej kontroli użytkowników. To „odciąża” system informatyczny i odciąża specjalistów ds. Bezpieczeństwa informacji od zbędnej pracy.

Oprócz selektywnego monitorowania architektura systemów audytowych odgrywa istotną rolę w przyspieszaniu działania systemu, poprawie jakości analiz oraz zmniejszaniu obciążenia infrastruktury. Nowoczesne systemy audytu działań użytkowników mają rozproszoną strukturę. Na końcowych stacjach roboczych i serwerach instalowane są agenty czujników, które analizują zdarzenia określonego typu i przesyłają dane do centrów konsolidacji i przechowywania. Systemy do analizy zarejestrowanych informacji na podstawie parametrów wbudowanych w system znajdują w dziennikach audytów fakty o podejrzanej lub nietypowej aktywności, których nie można od razu przypisać próbie implementacji zagrożenia. Fakty te są przekazywane do systemu reagowania, który powiadamia administratora bezpieczeństwa o naruszeniu.

Jeżeli system audytowy jest w stanie samodzielnie poradzić sobie z naruszeniem (zwykle w takich kompleksach SI zapewniona jest oparta na sygnaturach metoda reagowania na zagrożenie), to naruszenie jest automatycznie tłumione, a wszystkie niezbędne informacje o intruzie, jego działaniach i przedmiocie zagrożenia trafiają do specjalnej bazy danych. W takim przypadku konsola administratora zabezpieczeń powiadamia o neutralizacji zagrożenia.

Jeżeli system nie ma możliwości automatycznego reagowania na podejrzaną aktywność, wówczas wszelkie informacje służące zneutralizowaniu zagrożenia lub analizie jego konsekwencji są przesyłane do konsoli administratora IS w celu wykonania operacji w trybie ręcznym.

W SYSTEMIE MONITOROWANIA KAŻDEJ ORGANIZACJI NALEŻY USTAWIĆ OPERACJE:

Audyt wykorzystania stacji roboczych, serwerów, a także czasu (wg godzin i dni tygodnia) aktywności użytkownika na nich. W ten sposób ustala się celowość wykorzystania zasobów informacyjnych.

Dzielić
Dzielić
Ćwierkać
Lubić
Lubić

Przeczytaj także

DZWON

Są tacy, którzy czytają tę wiadomość przed wami.
Zapisz się, aby otrzymywać najnowsze artykuły.
E-mail
Imię
Nazwisko
Jak chcesz przeczytać The Bell
Bez spamu