SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Зачем нужен мониторинг пользователей и как он работает

Зачем нужен мониторинг пользователей и как он работает
05.09.2022

  |   Слушать на Яндекс Музыке  |   Слушать на Podcast Addict  |   Слушать на Pocket cast  |  




Руслан Рахметов, Security Vision


Когда дело доходит до повышения собственной эффективности, часто советуют использовать записи в ежедневнике, календарь и оценивать свои действия в целом. Использование такого мониторинга может быть вызвано не только необходимостью применить KPI, но и с целью повышения качества, предупреждения выгорания, составления плана обучения или даже организации цепочки коммуникаций для ускорения различных процессов.

·  Планёрки и совещания призваны синхронизировать статусы и установить этапы текущих процессов.
·  Табели УРВ описывают «учёт рабочего времени» и классифицируют рабочие часы по задачам.


Когда речь заходит про мониторинг действий сотрудников в компании, методика остаётся похожей, только обогащается дополнительными корпоративными средствами автоматизации, когда постоянные совещания и ручной анализ рабочего времени заменяются на сбор статистики без участия человека.


Организационно мониторинг может проводиться как фотография рабочего дня сотрудника, когда его осуществляет менеджер, отслеживающий все процессы.


Технические средства бывают разные: одни из них обеспечивают мониторинг вне зависимости от рабочих обязанностей, другие более «заточены» под конкретные учётные записи; оба класса решений объединены общими целями, но различаются в деталях:

·  UAM-системы проводят «мониторинг пользовательской активности» (User Activity Monitoring), немного реже встречается термин EM – «Мониторинг сотрудников» (Employee Monitoring), хотя функционально это один и тот же класс систем.

·  Для пользователей с повышенными привилегиями и возможностями (Privileged) существуют также PAM, PUM или PIM системы, которые имеют в своём арсенале функции, более удобные для контроля системных администраторов, внешних подрядчиков и других пользователей с широким набором прав.;

·  СКУД-системы обеспечивают «контроль и управление доступом», который чаще всего основывается на применении специальных смарт-кард и пропусков. Такие системы позволяют мониторить, например, время прохода через турникеты или печать на общих принтерах, эффективно дополняя общую картину.


Целью этой статьи мы поставили обзор методик именно мониторинга (без управления и контроля), поэтому в основном речь будет идти об общем функционале сразу нескольких классов продуктов, а тонкости и детали контроля будут рассмотрены отдельно. Оговоримся, что мы в Security Vision не являемся сторонниками использования продуктов данного класса и исходим из того, что специалисты нашей компании обладают навыками самоорганизации и не нуждаются в тотальном контроле. Тем не менее, средства мониторинга действий сотрудников занимают свою нишу на ИТ рынке, представляют интерес для специалистов и заслуживают рассмотрения с научной точки зрения.


Начнём с технической стороны и архитектуры, которая для максимальной эффективности обычно состоит из двух ключевых элементов:

·  Часть ПО работает централизованно (СЕРВЕР), что позволяет собирать в общую статистику данные из всех подключённых источников.

·  Вторая часть устанавливается на хосты пользователей (АГЕНТ), чтобы обеспечить контроль всех каналов, которые невозможно увидеть с центрального узла. Например, анализ текста, вводимого с клавиатуры, активности в установленных программах и того, что происходит между рабочей станцией и периферийными устройствами.



1.png

Рис. 1. Архитектура систем мониторинга


Технически это очень похоже на архитектуру DLP-систем, которые мы рассматривали ранее. Существующие на рынке решения так или иначе пытаются совместить функционал и стать универсальными для обеих задач, поэтому они очень похожи по компонентам. Однако системы мониторинга – обычно более простые, без вмешательства в сам трафик, без блокировок и дополнительных функций контроля.


 UAM система позволяет решать много задач, связанных с безопасностью и оптимизацией процессов:

·  Мониторинг запускаемых программ и учёт проведённого в них времени позволяют запустить процессы управления закупками ПО. Можно не только наглядно увидеть количество сотрудников, использующих закупленное ПО, но и отследить тех сотрудников, которым можно организовать дополнительное обучение, если из статистики видно, что для выполнения задач сотрудник тратит слишком много времени (и может стесняться просить помощи). С целью оптимизации в дальнейшем можно запустить процессы жизненных циклов и обновлений через программы для управления активами и инвентаризацией.


·  Мониторинг текста, вводимого с клавиатуры, позволяет повысить общую безопасность. У каждого человека есть свой неповторимый клавиатурный почерк и некоторые системы способны его анализировать (например, Стахановец). Так, при увеличении количества опечаток, изменении скорости ввода текста или использование каких-либо сочетаний UAM-система способна понять, что за компьютером одного пользователя работает кто-то другой. С целью повышения защиты можно через SOAR-платформу запустить подключение двухфакторной аутентификации и временную блокировку учётной записи через контроллер домена.


·  Мониторинг используемых веб-сервисов позволит настроить на прокси-сервере нужные доступы и обеспечить бесперебойную работу всех бизнес-процессов, связанных с активностью в сети.


·  Мониторинг файловых операций позволит отследить массовые удаления файлов и оптимизировать задачи бэкапа.


·  Удалённое управление ПК позволит вручную или с применением средств автоматизации и оркестрации запустить необходимые скрипты, разорвать соединение или включить компьютер в режиме wake on lan.


·  UAM-системы также зачастую позволяют мониторить изображения с веб-камер, что можно использовать также для задач безопасности. Конечно, многие, даже из сферы ИБ, закрывают камеры стикерами, чтобы управлять своей личной безопасностью, но технически при онлайн распознавании лиц (есть у немногих представителей UAM, например, в Стахановце) можно блокировать экран при появлении «не того» пользователя.


Также UAM системы могут включать в себя DLP-функции, вроде создания цифровых отпечатков документов или теневых копий при файловых операциях (отдельно данные функции мы уже рассматривали в другой статье), что позволяет реализовать дополнительную защиту данных от утечек в случае, если пока не реализована полноценная DLP-система.


22.png

Рис. 2. Возможности мониторинга


Также системы разных классов можно интегрировать друг с другом:

1. Данные со СКУД-систем можно направлять напрямую в UAM-системы, чтобы совместить мониторинг офиса в целом и точечных действий на рабочих станциях.

2. Данные с PAM-систем можно направлять в системы классов IRP/SOAR, в рамках организации процессов выдачи доступов и взаимодействия с подрядчиками.

3. Данные из UAM-систем можно применять для точечных расследований при появлении инцидентов из DLP-систем (при обнаружении утечки конфиденциальных данных) или SIEM-систем (при попытках, например, перебора пароля к учётной записи).

И т.д.


Для создания единой экосистемы используются:

•   отдельные решения от одного вендора, которые уже нативно связаны разработчиками (Traffic Monitor как DLP + Activity Monitor как EM от вендора InfoWatch);

•   парсинг и извлечение данных из БД разных источников в единую BI-систему (например, Device Lock как DLP + StaffCop как UAM от разных вендоров);

•   средства разработки коннекторов SDK API, которые можно применять для самописных систем;

•   low-code инструменты для интеграции (SOAR платформы и объединение любых систем и СУБД).


Таким образом, различные средства помогают решать задачи по оптимизации: мониторинг активно используемых программ поможет сэкономить на закупке новых лицензий, мониторинг активностей в различном ПО поможет обучить сотрудников, у которых трудности с решением задач, но они стесняются спросить, мониторинг коммуникаций позволит правильно рассадить сотрудников по офису и организовать HR-процессы, наконец, при помощи различных оценок можно отметить самых эффективных сотрудников и поощрить их саморазвитие.


Подкасты ИБ Мониторинг ИБ СЗИ Управление ИБ DLP UEBA ИБ для начинающих

Рекомендуем

Как устроены вредоносные программы
Как устроены вредоносные программы
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Управление мобильными устройствами
Управление мобильными устройствами
Интернет вещей и его применение
Интернет вещей и его применение
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика

Рекомендуем

Как устроены вредоносные программы
Как устроены вредоносные программы
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Управление мобильными устройствами
Управление мобильными устройствами
Интернет вещей и его применение
Интернет вещей и его применение
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика

Похожие статьи

Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Возможности новой версии продукта Security Vision UEBA
Возможности новой версии продукта Security Vision UEBA
Пентесты
Пентесты
Модель зрелости SOAR
Модель зрелости SOAR

Похожие статьи

Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Возможности новой версии продукта Security Vision UEBA
Возможности новой версии продукта Security Vision UEBA
Пентесты
Пентесты
Модель зрелости SOAR
Модель зрелости SOAR