Зачем нужен мониторинг пользователей и как он работает
| Слушать на Яндекс Музыке | Слушать на Podcast Addict | Слушать на Pocket cast |
Руслан Рахметов, Security Vision
Когда дело доходит до повышения собственной эффективности, часто советуют использовать записи в ежедневнике, календарь и оценивать свои действия в целом. Использование такого мониторинга может быть вызвано не только необходимостью применить KPI, но и с целью повышения качества, предупреждения выгорания, составления плана обучения или даже организации цепочки коммуникаций для ускорения различных процессов.
· Планёрки и совещания призваны синхронизировать статусы и установить этапы текущих процессов.
· Табели УРВ описывают «учёт рабочего времени» и классифицируют рабочие часы по задачам.
Когда речь заходит про мониторинг действий сотрудников в компании, методика остаётся похожей, только обогащается дополнительными корпоративными средствами автоматизации, когда постоянные совещания и ручной анализ рабочего времени заменяются на сбор статистики без участия человека.
Организационно мониторинг может проводиться как фотография рабочего дня сотрудника, когда его осуществляет менеджер, отслеживающий все процессы.
Технические средства бывают разные: одни из них обеспечивают мониторинг вне зависимости от рабочих обязанностей, другие более «заточены» под конкретные учётные записи; оба класса решений объединены общими целями, но различаются в деталях:
· UAM-системы проводят «мониторинг пользовательской активности» (User Activity Monitoring), немного реже встречается термин EM – «Мониторинг сотрудников» (Employee Monitoring), хотя функционально это один и тот же класс систем.
· Для пользователей с повышенными привилегиями и возможностями (Privileged) существуют также PAM, PUM или PIM системы, которые имеют в своём арсенале функции, более удобные для контроля системных администраторов, внешних подрядчиков и других пользователей с широким набором прав.;
· СКУД-системы обеспечивают «контроль и управление доступом», который чаще всего основывается на применении специальных смарт-кард и пропусков. Такие системы позволяют мониторить, например, время прохода через турникеты или печать на общих принтерах, эффективно дополняя общую картину.
Целью этой статьи мы поставили обзор методик именно мониторинга (без управления и контроля), поэтому в основном речь будет идти об общем функционале сразу нескольких классов продуктов, а тонкости и детали контроля будут рассмотрены отдельно. Оговоримся, что мы в Security Vision не являемся сторонниками использования продуктов данного класса и исходим из того, что специалисты нашей компании обладают навыками самоорганизации и не нуждаются в тотальном контроле. Тем не менее, средства мониторинга действий сотрудников занимают свою нишу на ИТ рынке, представляют интерес для специалистов и заслуживают рассмотрения с научной точки зрения.
Начнём с технической стороны и архитектуры, которая для максимальной эффективности обычно состоит из двух ключевых элементов:
· Часть ПО работает централизованно (СЕРВЕР), что позволяет собирать в общую статистику данные из всех подключённых источников.
· Вторая часть устанавливается на хосты пользователей (АГЕНТ), чтобы обеспечить контроль всех каналов, которые невозможно увидеть с центрального узла. Например, анализ текста, вводимого с клавиатуры, активности в установленных программах и того, что происходит между рабочей станцией и периферийными устройствами.
Рис. 1. Архитектура систем мониторинга
Технически это очень похоже на архитектуру DLP-систем, которые мы рассматривали ранее. Существующие на рынке решения так или иначе пытаются совместить функционал и стать универсальными для обеих задач, поэтому они очень похожи по компонентам. Однако системы мониторинга – обычно более простые, без вмешательства в сам трафик, без блокировок и дополнительных функций контроля.
UAM система позволяет решать много задач, связанных с безопасностью и оптимизацией процессов:
· Мониторинг запускаемых программ и учёт проведённого в них времени позволяют запустить процессы управления закупками ПО. Можно не только наглядно увидеть количество сотрудников, использующих закупленное ПО, но и отследить тех сотрудников, которым можно организовать дополнительное обучение, если из статистики видно, что для выполнения задач сотрудник тратит слишком много времени (и может стесняться просить помощи). С целью оптимизации в дальнейшем можно запустить процессы жизненных циклов и обновлений через программы для управления активами и инвентаризацией.
· Мониторинг текста, вводимого с клавиатуры, позволяет повысить общую безопасность. У каждого человека есть свой неповторимый клавиатурный почерк и некоторые системы способны его анализировать (например, Стахановец). Так, при увеличении количества опечаток, изменении скорости ввода текста или использование каких-либо сочетаний UAM-система способна понять, что за компьютером одного пользователя работает кто-то другой. С целью повышения защиты можно через SOAR-платформу запустить подключение двухфакторной аутентификации и временную блокировку учётной записи через контроллер домена.
· Мониторинг используемых веб-сервисов позволит настроить на прокси-сервере нужные доступы и обеспечить бесперебойную работу всех бизнес-процессов, связанных с активностью в сети.
· Мониторинг файловых операций позволит отследить массовые удаления файлов и оптимизировать задачи бэкапа.
· Удалённое управление ПК позволит вручную или с применением средств автоматизации и оркестрации запустить необходимые скрипты, разорвать соединение или включить компьютер в режиме wake on lan.
· UAM-системы также зачастую позволяют мониторить изображения с веб-камер, что можно использовать также для задач безопасности. Конечно, многие, даже из сферы ИБ, закрывают камеры стикерами, чтобы управлять своей личной безопасностью, но технически при онлайн распознавании лиц (есть у немногих представителей UAM, например, в Стахановце) можно блокировать экран при появлении «не того» пользователя.
Также UAM системы могут включать в себя DLP-функции, вроде создания цифровых отпечатков документов или теневых копий при файловых операциях (отдельно данные функции мы уже рассматривали в другой статье), что позволяет реализовать дополнительную защиту данных от утечек в случае, если пока не реализована полноценная DLP-система.
Рис. 2. Возможности мониторинга
Также системы разных классов можно интегрировать друг с другом:
1. Данные со СКУД-систем можно направлять напрямую в UAM-системы, чтобы совместить мониторинг офиса в целом и точечных действий на рабочих станциях.
2. Данные с PAM-систем можно направлять в системы классов IRP/SOAR, в рамках организации процессов выдачи доступов и взаимодействия с подрядчиками.
3. Данные из UAM-систем можно применять для точечных расследований при появлении инцидентов из DLP-систем (при обнаружении утечки конфиденциальных данных) или SIEM-систем (при попытках, например, перебора пароля к учётной записи).
И т.д.
Для создания единой экосистемы используются:
• отдельные решения от одного вендора, которые уже нативно связаны разработчиками (Traffic Monitor как DLP + Activity Monitor как EM от вендора InfoWatch);
• парсинг и извлечение данных из БД разных источников в единую BI-систему (например, Device Lock как DLP + StaffCop как UAM от разных вендоров);
• средства разработки коннекторов SDK API, которые можно применять для самописных систем;
• low-code инструменты для интеграции (SOAR платформы и объединение любых систем и СУБД).
Таким образом, различные средства помогают решать задачи по оптимизации: мониторинг активно используемых программ поможет сэкономить на закупке новых лицензий, мониторинг активностей в различном ПО поможет обучить сотрудников, у которых трудности с решением задач, но они стесняются спросить, мониторинг коммуникаций позволит правильно рассадить сотрудников по офису и организовать HR-процессы, наконец, при помощи различных оценок можно отметить самых эффективных сотрудников и поощрить их саморазвитие.
