Мониторинг пользователей, как средство борьбы против инсайда

В данной статье рассматривается стратегия по выявлению инсайдерской деятельности внутри компании на основе системы мониторинга пользователей.

В данной статье рассматривается стратегия по выявлению инсайдерской деятельности внутри компании на основе системы мониторинга пользователей.

В данной статье не рассматривается конкретная техническая реализация системы мониторинга пользователей.

В крупных компаниях очень сложно осуществлять качественный мониторинг учетных записей пользователей. Сотрудникам ИТ - подразделений, как правило нет до этого дела, а у сотрудников ИБ подразделений других насущных дел полно. Однако именно контроль учетных записей пользователей, может помочь в борьбе с утечками информации и инсайдерскими атаками.

Для более четкого понимания предпосылок контроля учетных записей пользователей рассмотрим такой пример.

Обычно сотрудников со сходными должностными обязанностями (менеджеров по продажам, проектам, бухгалтеров и т.д.) располагают в одном кабинете. Часто такие сотрудники, не смотря на дружеские отношения или работу в рамках одного подразделения, конкурируют между собой и в качестве «яблока раздора» помимо банальной заработной платы (которая может существенно различаться) так же вылезают наружу чисто человеческие чувства, как зависть, амбиции и т.д., что и является предпосылками к инсайдерской деятельности.

Комментарии излишни, подобрав (подсмотрев) пароль инсайдер получает легитимный доступ ко всем локальным и сетевым дискам, почтовому ящику и к корпоративным ИС с правами жертвы.

Допустим инсайдером является сотрудник обладающий знаниями ПК на уровне пользователя. Тогда рассмотрим, два самых простых способа (без экзотики) получения доступа злоумышленником к данным жертвы. Доступ предполагает аутентификацию на ПК при помощи логина/пароля и может быть получен либо с ПК инсайдера, либо с ПК жертвы в рабочее время, либо в нерабочее время.

Операционная система оперирует следующими основными сущностями: Пользователь, Компьютер. Сущность Пользователь характеризуется параметрами: вход/выход, дата, время.

Таким образом, собирая информацию о том: кто, когда, во-сколько и на каком ПК осуществил вход и выход можно построить матрицу «нормального» доступа. Как только вы получите информацию, что какой-то пользователь идентифицировался на разных ПК, останется только зафиксировать инцидент и приступить к его расследованию. Данный способ актуален для выявления доступа инсайдера со своего ПК к данным жертвы в рабочее время.

Практически в любой компании имеется система контроля управления доступом (СКУД), в которой ведется централизованная БД хранящая информацию о том: кто, когда и во-сколько ушел и пришел на работу. Объединив данные из системы мониторинга учетных записей с данными из СКУД можно определить, какие пользователи, где и во-сколько были аутентифицированы в тот момент, когда их не было в компании. Данный способ актуален для выявления доступа инсайдера к данным жертвы в нерабочее время.

Получая информацию из отдела кадров, о том кто из сотрудников, как долго (сроки) будет отсутствовать на рабочем месте (командировки, отпуск, больничный) и объединив ее с информацией из системы мониторинга можно так же выявить попытки инсайда к данным тех сотрудников, которых нет на рабочем месте.

Каждую из этих стратегий можно успешно видоизменять под конкретные реалии, конкретной компании не говоря уже о технической реализации системы мониторинга.

23-05-2011  | Permalink |  Comments (1)