Мониторинг пользователей, как средство борьбы против инсайда
В данной статье рассматривается стратегия по выявлению инсайдерской деятельности внутри компании на основе системы мониторинга пользователей.
В данной статье рассматривается стратегия по выявлению инсайдерской деятельности внутри компании на основе системы мониторинга пользователей.
В данной статье не рассматривается конкретная техническая реализация системы мониторинга пользователей.
В крупных компаниях очень сложно осуществлять качественный мониторинг учетных записей пользователей. Сотрудникам ИТ - подразделений, как правило нет до этого дела, а у сотрудников ИБ подразделений других насущных дел полно. Однако именно контроль учетных записей пользователей, может помочь в борьбе с утечками информации и инсайдерскими атаками.
Для более четкого понимания предпосылок контроля учетных записей пользователей рассмотрим такой пример.
Обычно сотрудников со сходными должностными обязанностями (менеджеров по продажам, проектам, бухгалтеров и т.д.) располагают в одном кабинете. Часто такие сотрудники, не смотря на дружеские отношения или работу в рамках одного подразделения, конкурируют между собой и в качестве «яблока раздора» помимо банальной заработной платы (которая может существенно различаться) так же вылезают наружу чисто человеческие чувства, как зависть, амбиции и т.д., что и является предпосылками к инсайдерской деятельности.
Комментарии излишни, подобрав (подсмотрев) пароль инсайдер получает легитимный доступ ко всем локальным и сетевым дискам, почтовому ящику и к корпоративным ИС с правами жертвы.
Допустим инсайдером является сотрудник обладающий знаниями ПК на уровне пользователя. Тогда рассмотрим, два самых простых способа (без экзотики) получения доступа злоумышленником к данным жертвы. Доступ предполагает аутентификацию на ПК при помощи логина/пароля и может быть получен либо с ПК инсайдера, либо с ПК жертвы в рабочее время, либо в нерабочее время.
Операционная система оперирует следующими основными сущностями: Пользователь, Компьютер. Сущность Пользователь характеризуется параметрами: вход/выход, дата, время.
Таким образом, собирая информацию о том: кто, когда, во-сколько и на каком ПК осуществил вход и выход можно построить матрицу «нормального» доступа. Как только вы получите информацию, что какой-то пользователь идентифицировался на разных ПК, останется только зафиксировать инцидент и приступить к его расследованию. Данный способ актуален для выявления доступа инсайдера со своего ПК к данным жертвы в рабочее время.
Практически в любой компании имеется система контроля управления доступом (СКУД), в которой ведется централизованная БД хранящая информацию о том: кто, когда и во-сколько ушел и пришел на работу. Объединив данные из системы мониторинга учетных записей с данными из СКУД можно определить, какие пользователи, где и во-сколько были аутентифицированы в тот момент, когда их не было в компании. Данный способ актуален для выявления доступа инсайдера к данным жертвы в нерабочее время.
Получая информацию из отдела кадров, о том кто из сотрудников, как долго (сроки) будет отсутствовать на рабочем месте (командировки, отпуск, больничный) и объединив ее с информацией из системы мониторинга можно так же выявить попытки инсайда к данным тех сотрудников, которых нет на рабочем месте.
Каждую из этих стратегий можно успешно видоизменять под конкретные реалии, конкретной компании не говоря уже о технической реализации системы мониторинга.
смешение понятий
Желательно более четко разграничить понятия: мониторинг учетных записей пользователей, мониторинг действий пользователей, мониторинг и корреляция событий безопасности и поведенческий анализ в рамках системы обнаружения вторжений. А то как-то все немного перемешано.