SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

Зачем нужен мониторинг пользователей и как он работает

Зачем нужен мониторинг пользователей и как он работает
05.09.2022

  |   Слушать на Яндекс Музыке  |   Слушать на Podcast Addict  |   Слушать на Pocket cast  |  




Руслан Рахметов, Security Vision


Когда дело доходит до повышения собственной эффективности, часто советуют использовать записи в ежедневнике, календарь и оценивать свои действия в целом. Использование такого мониторинга может быть вызвано не только необходимостью применить KPI, но и с целью повышения качества, предупреждения выгорания, составления плана обучения или даже организации цепочки коммуникаций для ускорения различных процессов.

·  Планёрки и совещания призваны синхронизировать статусы и установить этапы текущих процессов.
·  Табели УРВ описывают «учёт рабочего времени» и классифицируют рабочие часы по задачам.


Когда речь заходит про мониторинг действий сотрудников в компании, методика остаётся похожей, только обогащается дополнительными корпоративными средствами автоматизации, когда постоянные совещания и ручной анализ рабочего времени заменяются на сбор статистики без участия человека.


Организационно мониторинг может проводиться как фотография рабочего дня сотрудника, когда его осуществляет менеджер, отслеживающий все процессы.


Технические средства бывают разные: одни из них обеспечивают мониторинг вне зависимости от рабочих обязанностей, другие более «заточены» под конкретные учётные записи; оба класса решений объединены общими целями, но различаются в деталях:

·  UAM-системы проводят «мониторинг пользовательской активности» (User Activity Monitoring), немного реже встречается термин EM – «Мониторинг сотрудников» (Employee Monitoring), хотя функционально это один и тот же класс систем.

·  Для пользователей с повышенными привилегиями и возможностями (Privileged) существуют также PAM, PUM или PIM системы, которые имеют в своём арсенале функции, более удобные для контроля системных администраторов, внешних подрядчиков и других пользователей с широким набором прав.;

·  СКУД-системы обеспечивают «контроль и управление доступом», который чаще всего основывается на применении специальных смарт-кард и пропусков. Такие системы позволяют мониторить, например, время прохода через турникеты или печать на общих принтерах, эффективно дополняя общую картину.


Целью этой статьи мы поставили обзор методик именно мониторинга (без управления и контроля), поэтому в основном речь будет идти об общем функционале сразу нескольких классов продуктов, а тонкости и детали контроля будут рассмотрены отдельно. Оговоримся, что мы в Security Vision не являемся сторонниками использования продуктов данного класса и исходим из того, что специалисты нашей компании обладают навыками самоорганизации и не нуждаются в тотальном контроле. Тем не менее, средства мониторинга действий сотрудников занимают свою нишу на ИТ рынке, представляют интерес для специалистов и заслуживают рассмотрения с научной точки зрения.


Начнём с технической стороны и архитектуры, которая для максимальной эффективности обычно состоит из двух ключевых элементов:

·  Часть ПО работает централизованно (СЕРВЕР), что позволяет собирать в общую статистику данные из всех подключённых источников.

·  Вторая часть устанавливается на хосты пользователей (АГЕНТ), чтобы обеспечить контроль всех каналов, которые невозможно увидеть с центрального узла. Например, анализ текста, вводимого с клавиатуры, активности в установленных программах и того, что происходит между рабочей станцией и периферийными устройствами.



1.png

Рис. 1. Архитектура систем мониторинга


Технически это очень похоже на архитектуру DLP-систем, которые мы рассматривали ранее. Существующие на рынке решения так или иначе пытаются совместить функционал и стать универсальными для обеих задач, поэтому они очень похожи по компонентам. Однако системы мониторинга – обычно более простые, без вмешательства в сам трафик, без блокировок и дополнительных функций контроля.


 UAM система позволяет решать много задач, связанных с безопасностью и оптимизацией процессов:

·  Мониторинг запускаемых программ и учёт проведённого в них времени позволяют запустить процессы управления закупками ПО. Можно не только наглядно увидеть количество сотрудников, использующих закупленное ПО, но и отследить тех сотрудников, которым можно организовать дополнительное обучение, если из статистики видно, что для выполнения задач сотрудник тратит слишком много времени (и может стесняться просить помощи). С целью оптимизации в дальнейшем можно запустить процессы жизненных циклов и обновлений через программы для управления активами и инвентаризацией.


·  Мониторинг текста, вводимого с клавиатуры, позволяет повысить общую безопасность. У каждого человека есть свой неповторимый клавиатурный почерк и некоторые системы способны его анализировать (например, Стахановец). Так, при увеличении количества опечаток, изменении скорости ввода текста или использование каких-либо сочетаний UAM-система способна понять, что за компьютером одного пользователя работает кто-то другой. С целью повышения защиты можно через SOAR-платформу запустить подключение двухфакторной аутентификации и временную блокировку учётной записи через контроллер домена.


·  Мониторинг используемых веб-сервисов позволит настроить на прокси-сервере нужные доступы и обеспечить бесперебойную работу всех бизнес-процессов, связанных с активностью в сети.


·  Мониторинг файловых операций позволит отследить массовые удаления файлов и оптимизировать задачи бэкапа.


·  Удалённое управление ПК позволит вручную или с применением средств автоматизации и оркестрации запустить необходимые скрипты, разорвать соединение или включить компьютер в режиме wake on lan.


·  UAM-системы также зачастую позволяют мониторить изображения с веб-камер, что можно использовать также для задач безопасности. Конечно, многие, даже из сферы ИБ, закрывают камеры стикерами, чтобы управлять своей личной безопасностью, но технически при онлайн распознавании лиц (есть у немногих представителей UAM, например, в Стахановце) можно блокировать экран при появлении «не того» пользователя.


Также UAM системы могут включать в себя DLP-функции, вроде создания цифровых отпечатков документов или теневых копий при файловых операциях (отдельно данные функции мы уже рассматривали в другой статье), что позволяет реализовать дополнительную защиту данных от утечек в случае, если пока не реализована полноценная DLP-система.


22.png

Рис. 2. Возможности мониторинга


Также системы разных классов можно интегрировать друг с другом:

1. Данные со СКУД-систем можно направлять напрямую в UAM-системы, чтобы совместить мониторинг офиса в целом и точечных действий на рабочих станциях.

2. Данные с PAM-систем можно направлять в системы классов IRP/SOAR, в рамках организации процессов выдачи доступов и взаимодействия с подрядчиками.

3. Данные из UAM-систем можно применять для точечных расследований при появлении инцидентов из DLP-систем (при обнаружении утечки конфиденциальных данных) или SIEM-систем (при попытках, например, перебора пароля к учётной записи).

И т.д.


Для создания единой экосистемы используются:

•   отдельные решения от одного вендора, которые уже нативно связаны разработчиками (Traffic Monitor как DLP + Activity Monitor как EM от вендора InfoWatch);

•   парсинг и извлечение данных из БД разных источников в единую BI-систему (например, Device Lock как DLP + StaffCop как UAM от разных вендоров);

•   средства разработки коннекторов SDK API, которые можно применять для самописных систем;

•   low-code инструменты для интеграции (SOAR платформы и объединение любых систем и СУБД).


Таким образом, различные средства помогают решать задачи по оптимизации: мониторинг активно используемых программ поможет сэкономить на закупке новых лицензий, мониторинг активностей в различном ПО поможет обучить сотрудников, у которых трудности с решением задач, но они стесняются спросить, мониторинг коммуникаций позволит правильно рассадить сотрудников по офису и организовать HR-процессы, наконец, при помощи различных оценок можно отметить самых эффективных сотрудников и поощрить их саморазвитие.


Подкасты ИБ Мониторинг ИБ СЗИ Управление ИБ DLP UEBA (User and Entity Behavior Analytics)

Рекомендуем

Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Государственный сектор
Государственный сектор
IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Искусственный интеллект в информационной безопасности
Искусственный интеллект в информационной безопасности
Вебинары о конструкторах рабочих процессов и коннекторов на платформе Security Vision
Вебинары о конструкторах рабочих процессов и коннекторов на платформе Security Vision
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 3
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 3
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Обзор публикации NIST SP 1800-5 "IT Asset Management"

Рекомендуем

Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Государственный сектор
Государственный сектор
IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Искусственный интеллект в информационной безопасности
Искусственный интеллект в информационной безопасности
Вебинары о конструкторах рабочих процессов и коннекторов на платформе Security Vision
Вебинары о конструкторах рабочих процессов и коннекторов на платформе Security Vision
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 3
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 3
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Обзор публикации NIST SP 1800-5 "IT Asset Management"

Похожие статьи

Практическая защита персональных данных
Практическая защита персональных данных
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Государственный сектор
Государственный сектор
Обзор средств информационной безопасности: сетевая защита
Обзор средств информационной безопасности: сетевая защита
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»

Похожие статьи

Практическая защита персональных данных
Практическая защита персональных данных
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Государственный сектор
Государственный сектор
Обзор средств информационной безопасности: сетевая защита
Обзор средств информационной безопасности: сетевая защита
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»