SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Зачем нужен мониторинг пользователей и как он работает

Зачем нужен мониторинг пользователей и как он работает
05.09.2022

  |   Слушать на Яндекс Музыке  |   Слушать на Podcast Addict  |   Слушать на Pocket cast  |  




Руслан Рахметов, Security Vision


Когда дело доходит до повышения собственной эффективности, часто советуют использовать записи в ежедневнике, календарь и оценивать свои действия в целом. Использование такого мониторинга может быть вызвано не только необходимостью применить KPI, но и с целью повышения качества, предупреждения выгорания, составления плана обучения или даже организации цепочки коммуникаций для ускорения различных процессов.

·  Планёрки и совещания призваны синхронизировать статусы и установить этапы текущих процессов.
·  Табели УРВ описывают «учёт рабочего времени» и классифицируют рабочие часы по задачам.


Когда речь заходит про мониторинг действий сотрудников в компании, методика остаётся похожей, только обогащается дополнительными корпоративными средствами автоматизации, когда постоянные совещания и ручной анализ рабочего времени заменяются на сбор статистики без участия человека.


Организационно мониторинг может проводиться как фотография рабочего дня сотрудника, когда его осуществляет менеджер, отслеживающий все процессы.


Технические средства бывают разные: одни из них обеспечивают мониторинг вне зависимости от рабочих обязанностей, другие более «заточены» под конкретные учётные записи; оба класса решений объединены общими целями, но различаются в деталях:

·  UAM-системы проводят «мониторинг пользовательской активности» (User Activity Monitoring), немного реже встречается термин EM – «Мониторинг сотрудников» (Employee Monitoring), хотя функционально это один и тот же класс систем.

·  Для пользователей с повышенными привилегиями и возможностями (Privileged) существуют также PAM, PUM или PIM системы, которые имеют в своём арсенале функции, более удобные для контроля системных администраторов, внешних подрядчиков и других пользователей с широким набором прав.;

·  СКУД-системы обеспечивают «контроль и управление доступом», который чаще всего основывается на применении специальных смарт-кард и пропусков. Такие системы позволяют мониторить, например, время прохода через турникеты или печать на общих принтерах, эффективно дополняя общую картину.


Целью этой статьи мы поставили обзор методик именно мониторинга (без управления и контроля), поэтому в основном речь будет идти об общем функционале сразу нескольких классов продуктов, а тонкости и детали контроля будут рассмотрены отдельно. Оговоримся, что мы в Security Vision не являемся сторонниками использования продуктов данного класса и исходим из того, что специалисты нашей компании обладают навыками самоорганизации и не нуждаются в тотальном контроле. Тем не менее, средства мониторинга действий сотрудников занимают свою нишу на ИТ рынке, представляют интерес для специалистов и заслуживают рассмотрения с научной точки зрения.


Начнём с технической стороны и архитектуры, которая для максимальной эффективности обычно состоит из двух ключевых элементов:

·  Часть ПО работает централизованно (СЕРВЕР), что позволяет собирать в общую статистику данные из всех подключённых источников.

·  Вторая часть устанавливается на хосты пользователей (АГЕНТ), чтобы обеспечить контроль всех каналов, которые невозможно увидеть с центрального узла. Например, анализ текста, вводимого с клавиатуры, активности в установленных программах и того, что происходит между рабочей станцией и периферийными устройствами.



1.png

Рис. 1. Архитектура систем мониторинга


Технически это очень похоже на архитектуру DLP-систем, которые мы рассматривали ранее. Существующие на рынке решения так или иначе пытаются совместить функционал и стать универсальными для обеих задач, поэтому они очень похожи по компонентам. Однако системы мониторинга – обычно более простые, без вмешательства в сам трафик, без блокировок и дополнительных функций контроля.


 UAM система позволяет решать много задач, связанных с безопасностью и оптимизацией процессов:

·  Мониторинг запускаемых программ и учёт проведённого в них времени позволяют запустить процессы управления закупками ПО. Можно не только наглядно увидеть количество сотрудников, использующих закупленное ПО, но и отследить тех сотрудников, которым можно организовать дополнительное обучение, если из статистики видно, что для выполнения задач сотрудник тратит слишком много времени (и может стесняться просить помощи). С целью оптимизации в дальнейшем можно запустить процессы жизненных циклов и обновлений через программы для управления активами и инвентаризацией.


·  Мониторинг текста, вводимого с клавиатуры, позволяет повысить общую безопасность. У каждого человека есть свой неповторимый клавиатурный почерк и некоторые системы способны его анализировать (например, Стахановец). Так, при увеличении количества опечаток, изменении скорости ввода текста или использование каких-либо сочетаний UAM-система способна понять, что за компьютером одного пользователя работает кто-то другой. С целью повышения защиты можно через SOAR-платформу запустить подключение двухфакторной аутентификации и временную блокировку учётной записи через контроллер домена.


·  Мониторинг используемых веб-сервисов позволит настроить на прокси-сервере нужные доступы и обеспечить бесперебойную работу всех бизнес-процессов, связанных с активностью в сети.


·  Мониторинг файловых операций позволит отследить массовые удаления файлов и оптимизировать задачи бэкапа.


·  Удалённое управление ПК позволит вручную или с применением средств автоматизации и оркестрации запустить необходимые скрипты, разорвать соединение или включить компьютер в режиме wake on lan.


·  UAM-системы также зачастую позволяют мониторить изображения с веб-камер, что можно использовать также для задач безопасности. Конечно, многие, даже из сферы ИБ, закрывают камеры стикерами, чтобы управлять своей личной безопасностью, но технически при онлайн распознавании лиц (есть у немногих представителей UAM, например, в Стахановце) можно блокировать экран при появлении «не того» пользователя.


Также UAM системы могут включать в себя DLP-функции, вроде создания цифровых отпечатков документов или теневых копий при файловых операциях (отдельно данные функции мы уже рассматривали в другой статье), что позволяет реализовать дополнительную защиту данных от утечек в случае, если пока не реализована полноценная DLP-система.


22.png

Рис. 2. Возможности мониторинга


Также системы разных классов можно интегрировать друг с другом:

1. Данные со СКУД-систем можно направлять напрямую в UAM-системы, чтобы совместить мониторинг офиса в целом и точечных действий на рабочих станциях.

2. Данные с PAM-систем можно направлять в системы классов IRP/SOAR, в рамках организации процессов выдачи доступов и взаимодействия с подрядчиками.

3. Данные из UAM-систем можно применять для точечных расследований при появлении инцидентов из DLP-систем (при обнаружении утечки конфиденциальных данных) или SIEM-систем (при попытках, например, перебора пароля к учётной записи).

И т.д.


Для создания единой экосистемы используются:

•   отдельные решения от одного вендора, которые уже нативно связаны разработчиками (Traffic Monitor как DLP + Activity Monitor как EM от вендора InfoWatch);

•   парсинг и извлечение данных из БД разных источников в единую BI-систему (например, Device Lock как DLP + StaffCop как UAM от разных вендоров);

•   средства разработки коннекторов SDK API, которые можно применять для самописных систем;

•   low-code инструменты для интеграции (SOAR платформы и объединение любых систем и СУБД).


Таким образом, различные средства помогают решать задачи по оптимизации: мониторинг активно используемых программ поможет сэкономить на закупке новых лицензий, мониторинг активностей в различном ПО поможет обучить сотрудников, у которых трудности с решением задач, но они стесняются спросить, мониторинг коммуникаций позволит правильно рассадить сотрудников по офису и организовать HR-процессы, наконец, при помощи различных оценок можно отметить самых эффективных сотрудников и поощрить их саморазвитие.


Подкасты ИБ Мониторинг ИБ СЗИ Управление ИБ DLP UEBA

Рекомендуем

Как управлять отарой овец с помощью одной собаки, или актуальные подходы к настройке сетевого оборудования
Как управлять отарой овец с помощью одной собаки, или актуальные подходы к настройке сетевого оборудования
Сертификация ФСТЭК
Сертификация ФСТЭК
Обзор средств информационной безопасности: данные и инциденты
Обзор средств информационной безопасности: данные и инциденты
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
DLP системы (Data Loss Prevention, ДЛП) - что это такое
DLP системы (Data Loss Prevention, ДЛП) - что это такое

Рекомендуем

Как управлять отарой овец с помощью одной собаки, или актуальные подходы к настройке сетевого оборудования
Как управлять отарой овец с помощью одной собаки, или актуальные подходы к настройке сетевого оборудования
Сертификация ФСТЭК
Сертификация ФСТЭК
Обзор средств информационной безопасности: данные и инциденты
Обзор средств информационной безопасности: данные и инциденты
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
DLP системы (Data Loss Prevention, ДЛП) - что это такое
DLP системы (Data Loss Prevention, ДЛП) - что это такое

Похожие статьи

Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных

Похожие статьи

Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных