Аудит действий пользователя

В необходимости внедрять системы аудита действий пользователей в организациях любого уровня убеждают исследования компаний, занимающихся анализом информационной безопасности.

Исследование «Лаборатории Касперского», например, показало: две трети ИБ-инцидентов (67%) вызваны в том числе действиями плохо информированных или невнимательных сотрудников. При этом, согласно данным исследования ESET, 84% компаний недооценивают риски, обусловленные человеческим фактором.

Защита от угроз, связанных с пользователем «изнутри», требует больших усилий, чем защита от внешних угроз. Для противодействия «вредителям» извне, включая вирусы и целевые атаки на сеть организации, достаточно внедрить соответствующий программный или программно-аппаратный комплекс. Чтобы обезопасить организацию от внутреннего злоумышленника, потребуются более серьезные вложения в инфраструктуру безопасности и проведение глубокого анализа. Аналитическая работа включает выделение типов угроз, наиболее критичных для бизнеса, а также составление «портретов нарушителей», то есть определения, какой ущерб может нанести пользователь, исходя из своих компетенций и полномочий.

С аудитом действий пользователей неразрывно связано не только понимание того, какие именно «бреши» в системе информационной безопасности необходимо оперативно закрыть, но и вопрос устойчивости бизнеса в целом. Компании, настроенные на непрерывную деятельность, должны учитывать, что с усложнением и увеличением процессов информатизации и автоматизации бизнеса количество внутренних угроз только растет.

 

Кроме отслеживания действий рядового работника нужно производить аудит операций «суперпользователей» – сотрудников с привилегированными правами и, соответственно, более широкими возможностями случайно или намеренно реализовать угрозу утечки информации. К таким пользователям относятся системные администраторы, администраторы баз данных, разработчики внутреннего ПО. Сюда же можно добавить и привлеченных IT-специалистов, и сотрудников, отвечающих за ИБ.

Внедрение системы мониторинга действий пользователей в компании позволяет фиксировать и оперативно реагировать на активность сотрудников. Важно: система аудита должна обладать свойством всеохватности. Это означает, что сведения о деятельности рядового сотрудника, системного администратора или топ-менеджера нужно анализировать на уровне операционной системы, использования бизнес-приложений, на уровне сетевых устройств, обращений к базам данных, подключения внешних носителей и так далее.

Современные системы комплексного аудита позволяют контролировать все этапы действий пользователей от запуска до выключения ПК (терминального рабочего места). Правда, на практике тотального контроля стараются избегать. Если в журналах аудита фиксировать все операции, многократно возрастает нагрузка на инфраструктуру информационной системы организации: «висят» рабочие станции, серверы и каналы работают под полной загрузкой. Паранойя в вопросе информационной безопасности может навредить бизнесу, значительно замедлив рабочие процессы.

Грамотный специалист по информационной безопасности в первую очередь определяет:

  • какие данные в компании являются наиболее ценными, так как с ними будет связано большинство внутренних угроз;
  • кто и на каком уровне может иметь доступ к ценным данным, то есть очерчивает круг потенциальных нарушителей;
  • насколько текущие меры защиты способны противостоять намеренным и/или случайным действиям пользователей.

Например, ИБ-специалисты из финансового сектора считают наиболее опасными угрозы утечки платежных данных и злоупотребления доступом. В промышленном и транспортном секторе больше всего опасаются утечек ноу-хау и нелояльного поведения работников. Схожие опасения в ИТ-сфере и телекоммуникационном бизнесе, где наиболее критичны угрозы утечки собственных разработок, коммерческой тайны и платежной информации.

В КАЧЕСТВЕ НАИБОЛЕЕ ВЕРОЯТНЫХ «ТИПОВЫХ» НАРУШИТЕЛЕЙ АНАЛИТИКИ ВЫДЕЛЯЮТ:

 

  • Топ-менеджмент: выбор очевиден – максимально широкие полномочия, доступ к наиболее ценной информации. При этом ответственные за безопасность часто закрывают глаза на нарушения правил ИБ такими фигурами.
  • Нелояльные сотрудники: для определения степени лояльности, ИБ-специалистам компании следует проводить аналитику действий отдельного сотрудника.
  • Администраторы: специалисты с привилегированным доступом и расширенными полномочиями, обладающие глубокими знаниями в ИТ-сфере, подвержены соблазну получить несанкционированный доступ к важной информации;
  • Сотрудники подрядных организаций / аутсорсинг: как и администраторы, эксперты «извне», обладая широкими знаниями, могут реализовать различные угрозы находясь «внутри» информационной системы заказчика.

Определение наиболее значимой информации и наиболее вероятных злоумышленников помогает выстроить систему не тотального, а выборочного контроля пользователей. Это «разгружает» информационную систему и избавляет ИБ-специалистов от избыточной работы.

Помимо выборочного мониторинга значительную роль в ускорении работы системы, повышении качества анализа и снижении нагрузки на инфраструктуру играет архитектура систем аудита. Современные системы аудита действий пользователей имеют распределенную структуру. На конечных рабочих станциях и серверах устанавливаются агенты-сенсоры, которые анализируют события определенного типа и передают данные в центры консолидации и хранения. Системы анализа зафиксированной информации по заложенным в систему параметрам находят в журналах аудита факты подозрительной либо аномальной активности, которую нельзя сразу отнести к попытке реализации угрозы. Эти факты передаются в систему реагирования, которая оповещает администратора безопасности о нарушении.

Если система аудита способна самостоятельно справиться с нарушением (обычно в подобных комплексах ИБ предусмотрен сигнатурный метод реагирования на угрозу), то нарушение пресекается в автоматическом режиме, а все нужные сведения о нарушителе, его действиях и объекте угрозы попадают в специальную базу данных. Консоль администратора безопасности в таком случае уведомляет об обезвреживании угрозы.

Если в системе не заложены способы автоматического реагирования на подозрительную активность, то вся информация для нейтрализации угрозы либо для анализа ее последствий передается на консоль администратора ИБ для выполнения операций в ручном режиме.

ОПЕРАЦИИ, КОТОРЫЕ СЛЕДУЕТ НАСТРОИТЬ В СИСТЕМЕ МОНИТОРИНГА ЛЮБОЙ ОРГАНИЗАЦИИ:

Аудит использования рабочих станций, серверов, а также времени (по часам и дням недели) активности на них пользователя. Таким способом устанавливается целесообразность использования информационных ресурсов.
Аудит использования рабочих станций, серверов, а также времени (по часам и дням недели) активности на них пользователя. Таким способом устанавливается целесообразность использования информационных ресурсов.
Выявление попыток или фактов установки несанкционированных программ и аппаратных средств. Такие действия позволяют реализовать угрозу утечки, уничтожения данных либо угрожают самой информационной системе.
Мониторинг и реагирование на набор фраз или отдельных слов (работа сенсора аудита в качестве кейлогера) выявляет, какой пользователь работает с документами с критичной информацией, определяет его цели и предотвращает утечку данных.
Аудит и фиксация попыток несанкционированного доступа к информации ограниченного использования с отражением в журналах безопасности данных формирует полную картину: кто, откуда, в какое время и какой именно информацией пытался воспользоваться.

Исчерпывающий перечень операций зависит от нескольких параметров: выбранного программного комплекса мониторинга; активации возможностей операционных систем на рабочих станциях и серверах; грамотной и неизбыточной настройки прав доступа и систем логгирования в бизнес-приложениях. Здесь важны компетентность ИБ-специалистов, понимание важности ИБ-обеспечения руководством организации и осознание того, что вложение средств в инфраструктуру мониторинга и защиты информации – не бессмысленные затраты, а фундамент устойчивости и развития бизнеса.