Windows 7'de Denetim. Kullanıcı etkinliğini izlemek için Windows Denetimi uygulaması. InfoWatch yazılım çözümleri

Victor Chutov
Proje Yöneticisi INFORMSVYAZ HOLDİNG

Sistemin uygulanması için ön koşullar

2007 İlk Açık Küresel İç Tehdit Araştırması bilgi Güvenliği Infowatch (2006 sonuçlarına göre), iç tehditlerin dış tehditlerden (kötü amaçlı yazılım, spam, korsan eylemleri vb.) daha az yaygın olmadığını (%56,5) gösterdi. Aynı zamanda, ezici çoğunlukta (%77), iç tehdidin uygulanmasının nedeni, kullanıcıların kendilerinin ihmalidir (uymama) iş tanımları veya bilgiyi korumanın temel araçlarının ihmali).

2006-2008 döneminde durumdaki değişikliklerin dinamikleri Şekilde yansıtılmıştır. 1.

İhmal nedeniyle sızıntıların payındaki nispi azalma, yeterli bilgi sızıntısı önleme sistemlerinin (kullanıcı eylemlerini izlemek için bir sistem dahil) kısmi uygulanmasından kaynaklanmaktadır. yüksek derece kazara sızıntılara karşı koruma. Ayrıca, kişisel verilerin kasten çalınma sayısındaki mutlak artıştan kaynaklanmaktadır.

İstatistiklerdeki değişikliğe rağmen, bu tür sızıntılara karşı koymak daha kolay, daha ucuz ve sonuç olarak çoğu olayın kapsanması nedeniyle, öncelikli görevin kasıtsız bilgi sızıntılarıyla mücadele etmek olduğu güvenle söylenebilir.

Aynı zamanda, 2004-2008 için Infowatch ve Perimetrix araştırmasının sonuçlarının analizine göre çalışan ihmali, en tehlikeli tehditler arasında ikinci sırada yer almaktadır (araştırmanın özet sonuçları Şekil 2'de gösterilmiştir) ve alaka düzeyi devam etmektedir. işletmelerin yazılım ve donanım otomasyon sistemlerinin (AS) geliştirilmesi ile birlikte büyümek.

Bu nedenle, bir çalışanın işletmenin AS'sinde IS üzerinde olumsuz etki yapma olasılığını ortadan kaldıran (izleme programları dahil), IS çalışanlarına olay incelemesi için bir kanıt temeli ve materyal sağlayan sistemlerin tanıtılması, ihmalden kaynaklanan sızıntı tehdidini ortadan kaldıracaktır, ve yanlışlıkla sızıntıları önemli ölçüde azaltır ve ayrıca kasıtlı olarak bir miktar azaltır. Sonuç olarak, bu önlem, içeriden gelen tehditlerin uygulanmasını önemli ölçüde azaltmayı mümkün kılmalıdır.

Kullanıcı eylemlerini denetlemek için Modern AS. Avantajlar ve dezavantajlar

Kullanıcı eylemlerini denetleme (izleme) için otomatik sistemler (ASADP) AS, genellikle izleme yazılımı ürünleri olarak adlandırılır, AS güvenlik yöneticileri (kuruluşun IS hizmeti) tarafından gözlemlenebilirliğini sağlamak için kullanılmak üzere tasarlanmıştır - "size izin veren bir bilgi işlem sisteminin özellikleri. güvenlik politikası ihlallerini önlemek ve / veya belirli eylemler için sorumluluk sağlamak için kullanıcı etkinliklerini kaydetmek ve ayrıca belirli kullanıcı olaylarında yer alan tanımlayıcıları açık bir şekilde ayarlamak.

AU'nun gözlemlenebilirliğinin özelliği, uygulamasının kalitesine bağlı olarak, bir dereceye kadar, kuruluş çalışanlarının güvenlik politikasına ve yerleşik kurallarına uygunluğunu kontrol etmesine izin verir. güvenli iş bilgisayarlarda.

İzleme uygulaması yazılım ürünleri, gerçek zamanlı dahil olmak üzere aşağıdakiler için tasarlanmıştır:

  • Gizli bilgilere yetkisiz erişim girişimlerinin tüm durumlarını, bu tür bir girişimin yapıldığı zaman ve ağ çalışma yerinin tam göstergesiyle tanımlayın (yerelleştirin);
  • yetkisiz yazılım kurulumunun gerçeklerini belirlemek;
  • yetkisiz olarak kurulmuş özel uygulamaların başlatılmasıyla ilgili gerçekleri analiz ederek, ek donanımın (örneğin, modemler, yazıcılar vb.) Tüm yetkisiz kullanım durumlarını belirlemek;
  • klavyede kritik kelime ve deyimlerin yazılması, kritik belgelerin hazırlanması, üçüncü şahıslara aktarılması maddi hasara yol açacak tüm durumların belirlenmesi;
  • sunuculara ve kişisel bilgisayarlara erişimi kontrol etmek;
  • internette gezinirken kişileri kontrol edin;
  • personelin dış etkilere tepkisinin doğruluğunu, verimliliğini ve yeterliliğini belirlemeye yönelik araştırmalar yapmak;
  • kullanıcıların çalışmalarının bilimsel organizasyonu amacıyla kuruluşun bilgisayar iş istasyonlarının iş yükünü (günün saatine, haftanın günlerine göre vb.) belirlemek;
  • kullanım durumlarını izlemek kişisel bilgisayarlarçalışma saatleri dışında ve bu tür kullanımın amacını belirlemek;
  • Kuruluşun IS politikasını ayarlama ve iyileştirme vb. konularda kararların alındığı temel olarak gerekli güvenilir bilgileri almak.

Bu işlevlerin uygulanması, durumun daha fazla sorgulanması veya onlardan raporlar alınmasıyla iş istasyonlarında ve AS sunucularında ajan modüllerinin (sensörler) uygulanmasıyla sağlanır. Raporlar, Güvenlik Yönetici Konsolu'nda işlenir. Bazı sistemler, kendi alanlarını ve güvenlik gruplarını yöneten ara sunucular (konsolidasyon noktaları) ile donatılmıştır.

Piyasada sunulan çözümlerin (StatWin, Tivoli Configuration Manager, Tivoli Remote Control, OpenView Operations, "Polis Memuru / Enterprise Guard", Insider) sistematik bir analizi, umut verici bir ASADP sağlayan bir dizi spesifik özelliği tanımlamayı mümkün kıldı. çalışılan örneklere kıyasla performans göstergelerini iyileştirecektir ...

Genel durumda, oldukça geniş bir işlevsellik ve geniş bir seçenek paketi ile birlikte, mevcut sistemler, belirtilen tüm AU öğelerinin (ve öncelikle AWP kullanıcıları).

Aynı zamanda, oldukça fazla sayıda AWP, teknoloji ve yazılım dahil olmak üzere modern AS'nin dağıtımı ve ölçeği, kullanıcı çalışmasının kendisini izleme sürecini önemli ölçüde karmaşıklaştırmaktadır ve bunların her biri ağ cihazları binlerce denetim mesajı üreterek, büyük, genellikle yinelenen veritabanlarının bakımını gerektiren, yeterince büyük bilgi hacimlerine ulaşma yeteneğine sahiptir. Bu, diğer şeylerin yanı sıra önemli ağ ve donanım kaynaklarını tüketmek, ortak AS'yi yüklemek anlamına gelir. Donanım ve yazılımın yeniden yapılandırılmasına karşı esnek olmadıklarını kanıtlarlar. bilgisayar ağları, bilinmeyen türdeki ihlallere ve ağ saldırılarına uyum sağlayamazlar ve güvenlik politikası ihlallerini algılamalarının etkinliği, büyük ölçüde AC öğelerinin güvenlik yöneticisi tarafından tarama sıklığına bağlı olacaktır.

Bu sistemlerin verimini artırmanın yollarından biri de tarama sıklığını doğrudan artırmaktır. Bu, kaçınılmaz olarak, hem yöneticinin iş istasyonundaki hem de kullanıcı iş istasyonlarının bilgisayarlarındaki hesaplama yükündeki önemli bir artış nedeniyle, aslında bu AS'nin amaçlandığı ana görevleri gerçekleştirme verimliliğinde bir azalmaya yol açacaktır. trafikteki artış gibi yerel ağ AC.

Büyük miktarda verinin analiziyle ilgili sorunlara ek olarak, mevcut izleme sistemleri, insan faktöründen kaynaklanan ve bir insan operatör olarak yöneticinin fiziksel yetenekleri tarafından belirlenen kararların hızı ve doğruluğu üzerinde ciddi sınırlamalara sahiptir.

Kullanıcıların açık yetkisiz eylemlerini gerçek zamanlı olarak bildirme olasılığının mevcut izleme sistemlerinde bulunması, yalnızca önceden bilinen ihlal türlerinin (imza yöntemi) izlenmesine izin verdiği ve sağlayamadığı için sorunu bir bütün olarak temelde çözmez. yeni ihlal türlerine karşı mücadele.

AS'den ek bilgi işlem kaynaklarının "seçimi" nedeniyle koruma düzeyinde bir artış sağlayan bilgi güvenliği sistemlerinde kapsamlı bilgi güvenliği yöntemlerinin geliştirilmesi ve kullanılması, AS'nin sorunları çözme yeteneklerini azaltır. amaçlanır ve/veya maliyetini artırır. Hızla gelişen BT teknolojileri pazarında bu yaklaşımın başarısızlığı oldukça açıktır.

Kullanıcı eylemlerini denetlemek (izlemek) için otomatik sistem. Gelecek vaat eden mülkler

Yukarıdaki analiz sonuçlarından, gelecek vaat eden izleme sistemlerine aşağıdaki özelliklerin verilmesine açık bir ihtiyaç olduğu anlaşılmaktadır:

  • rutin "manuel" işlemler hariç otomasyon;
  • merkezileştirmenin (güvenlik yöneticisinin otomatik çalışma alanına dayalı olarak) bireysel öğeler düzeyinde (akıllı) kontrol ile kombinasyonu bilgisayar programları) nükleer santral kullanıcılarının çalışmalarını izlemek için sistemler;
  • etkin işleyişi için gerekli bilgi işlem kaynaklarını önemli ölçüde artırmadan izleme sistemlerinin kapasitesini artırmayı ve yeteneklerini genişletmeyi mümkün kılan ölçeklenebilirlik;
  • nükleer santrallerin bileşimindeki ve özelliklerindeki değişikliklere ve ayrıca güvenlik politikasının yeni tür ihlallerinin ortaya çıkmasına uyum sağlama.

A.Ş.'de çeşitli amaçlar ve aksesuarlar için uygulanabilen belirgin ayırt edici özelliklere sahip ASADP A.Ş.'nin genelleştirilmiş yapısı Şekil 2'de gösterilmektedir. 3.

Yukarıdaki yapı aşağıdaki ana bileşenleri içerir:

  • AU'nun bazı unsurlarında (kullanıcı iş istasyonlarında, sunucularda, ağ ekipmanında, bilgi güvenliği araçlarında) bulunan ve denetim verilerini gerçek zamanlı olarak kaydetmeye ve işlemeye yarayan yazılım bileşenleri-sensörler;
  • kullanıcıların çalışmaları hakkında ara bilgiler içeren kayıt dosyaları;
  • kayıt dosyaları aracılığıyla sensörlerden bilgi alan, bunları analiz eden ve sonraki eylemler hakkında kararlar alan veri işleme ve karar verme bileşenleri (örneğin, bazı bilgilerin veri tabanına girilmesi, yetkililerin bildirilmesi, raporların oluşturulması vb.);
  • Raporların oluşturulduğu ve herhangi bir süre boyunca NPP'nin durumunun izlendiği tüm kayıtlı olaylar hakkında bilgi içeren bir denetim veritabanı (DB);
  • Denetim veritabanında kayıtlı bilgilere ve filtreleme kayıtlarına dayalı olarak raporlar ve referanslar oluşturmak için bileşenler (tarihe göre, kullanıcı kimliğine göre, iş istasyonu, güvenlik olayları vb. ile);
  • ASADP AS'nin çalışmasını kendi AWS'sinden kontrol etmeye, bilgileri görüntülemeye ve yazdırmaya, veritabanına çeşitli sorgu türleri oluşturmaya ve mevcut aktivitelerin gerçek zamanlı olarak izlenmesine olanak tanıyan raporlar oluşturmaya hizmet eden güvenlik yöneticisi arayüzünün bir bileşeni. nükleer santral kullanıcıları ve çeşitli kaynakların mevcut güvenlik düzeyini değerlendirmek;
  • ek bileşenler, özellikle sistem konfigürasyonu, sensörlerin kurulumu ve yerleştirilmesi, bilgilerin arşivlenmesi ve şifrelenmesi vb. için yazılım bileşenleri.

ASADP A.Ş.'de bilgi işleme aşağıdaki aşamaları içerir:

  • kayıt bilgilerinin sensörler tarafından sabitlenmesi;
  • bireysel sensörlerden bilgi toplanması;
  • sistemin ilgili ajanları arasında bilgi alışverişi;
  • kayıtlı olayların işlenmesi, analizi ve korelasyonu;
  • işlenen bilgilerin güvenlik yöneticisine normalleştirilmiş bir biçimde sunulması (raporlar, diyagramlar vb. şeklinde).

Gerekli bilgi işlem kaynaklarını en aza indirmek, sistemin gizliliğini ve güvenilirliğini artırmak için, AU'nun çeşitli unsurları üzerinde bilgi depolaması gerçekleştirilebilir.

ASADP A.Ş.'ye temel olarak yeni (AS kullanıcılarının çalışmalarını denetlemek için mevcut sistemlerle karşılaştırıldığında) otomasyon özellikleri, merkezileştirme ve ademi merkeziyetçilik, ölçeklenebilirlik ve uyarlanabilirliğin bir kombinasyonunu verme görevine dayanarak, inşası için olası stratejilerden biri modern bir çeşitli türlerde entegre bir topluluk aracısı (güvenlik politikasıyla çelişen kullanıcı eylemlerini tespit etmek ve bunlara karşı koymak için belirli işlevleri uygulayan akıllı özerk programlar) geliştirerek ve etkileşimlerini organize ederek uygulanan akıllı çok aracılı sistemlerin teknolojisi.

Dosya ve klasörlere erişimi denetlemek için Windows Server 2008 R2, denetim işlevini etkinleştirmeniz ve ayrıca erişimi düzeltmek istediğiniz klasörleri ve dosyaları belirtmeniz gerekir. Denetimi yapılandırdıktan sonra, sunucu günlüğü, seçilen dosya ve klasörler için erişim ve diğer olaylar hakkında bilgi içerecektir. Dosya ve klasörlere erişim denetiminin yalnızca NTFS dosya sistemi olan birimlerde yapılabileceğine dikkat edilmelidir.

Windows Server 2008 R2'de dosya sistemi nesneleri için denetimi etkinleştirme

Dosyalara ve klasörlere erişimin denetimi, grup ilkeleri kullanılarak etkinleştirilir ve devre dışı bırakılır: Active Directory etki alanı için etki alanı ilkeleri veya bağımsız sunucular için yerel güvenlik ilkeleri. Ayrı bir sunucuda denetimi etkinleştirmek için Yerel İlke Yönetim Konsolu'nu açmalısınız. Başlat ->TümProgramlar ->YönetimAraçlar ->YerelGüvenlikPolitika... Yerel politika konsolunda, yerel politika ağacını genişletin ( YerelPolitikalar) ve bir öğe seçin DenetimPolitika.

Sağ bölmede, öğeyi seçin DenetimNesneErişim ve beliren pencerede, ne tür dosya ve klasör erişim olaylarının kaydedilmesi gerektiğini belirtin (başarılı / başarısız erişim):


İstediğiniz ayarı seçtikten sonra tıklamanız gerekir. TAMAM.

Erişimi kaydedilecek dosya ve klasörleri seçme

Dosya ve klasörlere erişim denetimi etkinleştirildikten sonra, erişimi denetlenecek olan dosya sisteminin belirli nesnelerini seçmek gerekir. Tıpkı NTFS izinleri gibi, denetim ayarları da varsayılan olarak tüm alt nesnelerde devralınır (aksi şekilde yapılandırılmadıkça). Dosyalara ve klasörlere izinler atanırken olduğu gibi, denetim ayarlarının devralınması tüm veya yalnızca seçilen nesneler için etkinleştirilebilir.

Belirli bir klasör / dosya için denetimi yapılandırmak için, üzerine sağ tıklamanız ve Özellikler'i seçmeniz gerekir ( Özellikler). Özellikler penceresinde, Güvenlik sekmesine gidin ( Güvenlik) ve düğmesine basın ileri... Gelişmiş güvenlik ayarları penceresinde ( ileriGüvenlikAyarlar) Denetim sekmesine gidin ( Denetim). Denetimi ayarlamak doğal olarak yönetici hakları gerektirir. Bu aşamada, denetim penceresi, bu kaynak için denetimin etkinleştirildiği kullanıcıların ve grupların bir listesini görüntüler:

Bu nesneye erişimi kaydedilecek kullanıcıları veya grupları eklemek için düğmesine tıklamanız gerekir. Ekle ... ve bu kullanıcıların/grupların adlarını belirtin (veya Herkes- tüm kullanıcıların erişimini denetlemek için):

Bu ayarları Güvenlik sistemi günlüğünde uyguladıktan hemen sonra (bunu ek bileşende bulabilirsiniz). BilgisayarYönetim -> Olay Görüntüleyici), denetimin etkinleştirildiği nesnelere her eriştiğinizde ilgili girişler görünecektir.

Alternatif olarak, olaylar PowerShell cmdlet'i kullanılarak görüntülenebilir ve filtrelenebilir - Get-EventLogÖrneğin, olay kimliği 4660'daki tüm olayları görüntülemek için şu komutu yürütün:

Get-EventLog güvenliği | ? ($ _. olay kimliği -eq 4660)

Tavsiye... Windows günlüğündeki herhangi bir olaya, örneğin bir e-posta gönderme veya bir komut dosyası yürütme gibi belirli eylemler atamak mümkündür. Bunun nasıl yapılandırıldığı makalede açıklanmıştır:

06/08/2012 tarihinden itibaren UPD (Yorumcuya teşekkürler).

Windows 2008 / Windows 7'de denetimi yönetmek için özel bir yardımcı program eklenmiştir denetim pol... Denetimin etkinleştirilebileceği nesne türlerinin tam listesi şu komut kullanılarak görülebilir:

Auditpol / liste / alt kategori: *

Gördüğünüz gibi, bu nesneler 9 kategoriye ayrılmıştır:

  • sistem
  • Oturum Açma / Oturumu Kapatma
  • Nesne Erişimi
  • Ayrıcalık Kullanımı
  • Ayrıntılı izleme
  • Politika Değişikliği
  • Hesap Yönetimi
  • DS Erişimi
  • Hesapta Oturum Açma

Ve her biri sırasıyla alt kategorilere ayrılmıştır. Örneğin, Nesne Erişimi denetimi kategorisi, Dosya Sistemi alt kategorisini içerir ve bilgisayardaki dosya sistemi nesnelerinin denetimini etkinleştirmek için şu komutu çalıştırın:

Auditpol / set / alt kategori: "Dosya Sistemi" / hata: etkinleştir / başarı: etkinleştir

Sırasıyla şu komutla kapanır:

Auditpol / set / alt kategori: "Dosya Sistemi" / hata: devre dışı bırakma / başarı: devre dışı bırakma

Onlar. Gereksiz alt kategorilerin denetimini kapatırsanız, günlüğün boyutunu ve gereksiz olay sayısını önemli ölçüde azaltabilirsiniz.

Dosya ve klasörlere erişim denetimi etkinleştirildikten sonra, kontrol edeceğimiz belirli nesneleri belirtmeniz gerekir (dosya ve klasörlerin özelliklerinde). Varsayılan olarak, denetim ayarlarının tüm alt nesnelerde devralındığını unutmayın (aksi belirtilmediği sürece).

Herhangi bir seviyedeki kuruluşta kullanıcı eylemlerini denetlemek için sistemlerin uygulanması ihtiyacı, bilgi güvenliği analizine dahil olan şirketlerin araştırmaları tarafından ikna edilmiştir.

Örneğin Kaspersky Lab tarafından yapılan bir araştırma, bilgi güvenliği olaylarının üçte ikisinin (%67) diğer şeylerin yanı sıra yetersiz bilgilendirilmiş veya dikkatsiz çalışanların eylemlerinden kaynaklandığını gösterdi. Aynı zamanda, ESET araştırmasına göre şirketlerin %84'ü insan faktörleriyle ilişkili riskleri hafife alıyor.

Kullanıcıyla ilişkili tehditlere karşı “içeriden” savunma yapmak, dış tehditlere karşı savunmaktan daha zordur. Kuruluşun ağına yönelik virüsler ve hedefli saldırılar dahil olmak üzere dışarıdan "zararlılara" karşı koymak için uygun yazılım veya donanım-yazılım kompleksini uygulamak yeterlidir. Bir organizasyonu dahili bir saldırgandan korumak, güvenlik altyapısına ve derinlemesine analize daha fazla yatırım yapılmasını gerektirecektir. Analitik çalışma, iş için en kritik tehdit türlerini tanımlamanın yanı sıra “ihlal edenlerin portrelerini” çizmeyi, yani bir kullanıcının yetkinlikleri ve yetkilerine dayalı olarak ne gibi zararlara yol açabileceğini belirlemeyi içerir.

Kullanıcı eylemlerinin denetimi, yalnızca bilgi güvenliği sistemindeki hangi "boşlukların" hızla kapatılması gerektiğinin anlaşılmasıyla değil, aynı zamanda bir bütün olarak iş sürdürülebilirliği konusuyla da ayrılmaz bir şekilde bağlantılıdır. Sürekli operasyonlar yapmayı taahhüt eden şirketler, bilişim ve iş otomasyonu süreçlerinin karmaşıklığı ve artmasıyla birlikte iç tehditlerin sayısının da arttığını hesaba katmalıdır.

Sıradan bir çalışanın eylemlerini izlemeye ek olarak, "süper kullanıcılar" - ayrıcalıklı haklara sahip çalışanlar ve buna bağlı olarak bilgi sızıntısı tehdidini yanlışlıkla veya kasıtlı olarak uygulamak için daha fazla fırsat olup olmadığını denetlemek gerekir. Bu kullanıcılar, sistem yöneticilerini, veritabanı yöneticilerini ve üretici yazılımı geliştiricilerini içerir. Ayrıca ilgili BT uzmanlarını ve bilgi güvenliğinden sorumlu çalışanları da buraya ekleyebilirsiniz.

Şirketteki kullanıcı eylemlerini izlemek için bir sistemin tanıtılması, çalışanların faaliyetlerini kaydetmenize ve derhal yanıt vermenize olanak tanır. Önemli: Denetim sistemi kapsayıcı olmalıdır. Bu, sıradan bir çalışanın, sistem yöneticisinin veya üst yöneticinin faaliyetleri hakkındaki bilgilerin işletim sistemi düzeyinde, iş uygulamalarının kullanımı, ağ cihazları, veritabanı çağrıları, harici medya bağlantıları vb. düzeyinde analiz edilmesi gerektiği anlamına gelir. .

Modern kapsamlı denetim sistemleri, PC'nin (terminal iş istasyonu) başlatılmasından kapatılmasına kadar kullanıcı eylemlerinin tüm aşamalarını kontrol etmenizi sağlar. Doğru, pratikte tam kontrolden kaçınmaya çalışıyorlar. Tüm işlemler denetim günlüklerine kaydedilirse, kuruluşun bilgi sisteminin altyapısı üzerindeki yük kat kat artar: iş istasyonları "askıda kalır", sunucular ve kanallar tam yük altında çalışır. Bilgi güvenliğiyle ilgili paranoya, iş süreçlerini önemli ölçüde yavaşlatarak bir işletmeye zarar verebilir.

Yetkili bir bilgi güvenliği uzmanı öncelikle şunları belirler:

  • şirketteki hangi veriler en değerlidir, çünkü iç tehditlerin çoğu onunla ilişkilendirilecektir;
  • değerli verilere kimin ve hangi düzeyde erişebileceği, yani potansiyel ihlalcilerin çemberini özetlemektedir;
  • mevcut koruma önlemlerinin, kullanıcıların kasıtlı ve / veya kazara eylemlerine ne ölçüde dayanabileceği.

Örneğin, finans sektöründeki siber güvenlik uzmanları, ödeme verilerinin sızdırılması ve erişimin kötüye kullanılması tehditlerini en tehlikeli olarak görmektedir. Sanayi ve ulaşım sektörlerinde en büyük korkular, teknik bilgi sızıntıları ve sadakatsiz işçilerdir. En kritik tehditlerin tescilli gelişmelerin, ticari sırların ve ödeme bilgilerinin sızması olduğu BT ve telekomünikasyon işinde de benzer endişeler var.

ANALİST, EN OLASI "TİPİK" KESİCİLER OLARAK TANIMLAR:

  • Üst yönetim: seçim açıktır - mümkün olan en geniş yetki, en değerli bilgilere erişim. Aynı zamanda, güvenlikten sorumlu olanlar, genellikle bu tür rakamlarla bilgi güvenliği kurallarının ihlal edilmesine göz yummaktadır.
  • Sadakatsiz çalışanlar : sadakat derecesini belirlemek için, şirketin bilgi güvenliği uzmanları, bireysel bir çalışanın eylemlerinin bir analizini yapmalıdır.
  • Yöneticiler: Ayrıcalıklı erişime ve derin BT bilgisine sahip gelişmiş ayrıcalıklara sahip profesyoneller, Yetkisiz Erişimönemli bilgilere;
  • Yüklenici çalışanları / dış kaynak kullanımı : yöneticiler gibi, geniş bilgiye sahip “dışarıdan” uzmanlar, müşterinin bilgi sisteminin “içinde” iken çeşitli tehditler uygulayabilir.

En önemli bilgilerin ve en olası davetsiz misafirlerin belirlenmesi, kullanıcıların toplam değil, seçici bir şekilde kontrol edildiği bir sistem oluşturmaya yardımcı olur. Bu "boşaltma" bilgi sistemi bilgi güvenliği uzmanlarını gereksiz işlerden kurtarır.

Seçici izlemeye ek olarak, denetim sistemlerinin mimarisi, sistem performansının hızlandırılmasında, analiz kalitesinin iyileştirilmesinde ve altyapı üzerindeki yükün azaltılmasında önemli bir rol oynamaktadır. Kullanıcı eylemlerini denetlemek için modern sistemler dağıtılmış bir yapıya sahiptir. Uç iş istasyonlarında ve sunucularda, belirli türdeki olayları analiz eden ve verileri konsolidasyon ve depolama merkezlerine ileten sensör aracıları kurulur. Sistemde belirtilen parametrelere dayalı olarak kaydedilen bilgileri analiz etmeye yönelik sistemler, denetim günlüklerinde, bir tehdit uygulama girişimine hemen atfedilemeyecek olan şüpheli veya anormal faaliyet gerçeklerini bulur. Bu gerçekler, güvenlik yöneticisine ihlali bildiren yanıt sistemine iletilir.

Denetim sistemi bir ihlalle bağımsız olarak başa çıkabiliyorsa (genellikle bu tür IS komplekslerinde, bir tehdide yanıt vermenin imza tabanlı bir yöntemi sağlanır), ihlal otomatik olarak bastırılır ve davetsiz misafir hakkında gerekli tüm bilgiler, onun eylemler ve tehdit nesnesi özel bir veritabanına girer. Bu durumda, Güvenlik Yönetici Konsolu, tehdidin etkisiz hale getirildiğini size bildirir.

Sistemin şüpheli etkinliğe otomatik olarak yanıt verme yolları yoksa, tehdidi etkisiz hale getirmek veya sonuçlarını analiz etmek için tüm bilgiler manuel işlemler için IS yöneticisinin konsoluna iletilir.

HERHANGİ BİR KURULUŞUN İZLEME SİSTEMİNDE İŞLEMLER KURULMALIDIR:

İş istasyonlarının, sunucuların kullanımının yanı sıra kullanıcının bunlar üzerindeki etkinliğinin zamanının (haftanın saatlerine ve günlerine göre) denetimi. Bu şekilde, bilgi kaynaklarını kullanmanın uygunluğu sağlanır.

Bazen bir soruyu cevaplamamızı gerektiren olaylar olur "bunu kim yaptı?" Bu "nadiren, ancak uygun bir şekilde" olabilir, bu nedenle sorunun cevabına önceden hazırlanmalısınız.

Hemen hemen her yerde proje departmanları, muhasebe departmanları, geliştiriciler ve bir dosya sunucusunda veya iş istasyonlarından birinde ortak (Paylaşılan) bir klasörde saklanan belge grupları üzerinde birlikte çalışan diğer çalışan kategorileri vardır. Birisi bu klasörden önemli bir belgeyi veya dizini silebilir ve bunun sonucunda tüm ekibin çalışması kaybolabilir. Bu durumda, sistem yöneticisinin önünde birkaç soru ortaya çıkar:

    Sorun ne zaman ve ne zaman ortaya çıktı?

    Bu sefer en yakın hangisi destek olmak verilerimi kurtarmalı mıyım?

    Belki tekrar olabilecek bir sistem arızası vardı?

Windows'un bir sistemi var Denetim, belgelerin ne zaman, kim tarafından ve hangi program yardımıyla silindiğini takip etmenizi ve kaydetmenizi sağlar. Varsayılan olarak Denetim etkin değildir - izlemenin kendisi sistem gücünün belirli bir yüzdesini gerektirir ve her şeyi arka arkaya kaydederseniz yük çok büyük olur. Ayrıca, tüm kullanıcı eylemleri bizi ilgilendirmeyebilir, bu nedenle Denetim politikaları, yalnızca bizim için gerçekten önemli olan olayların izlenmesini sağlamamıza izin verir.

Denetim Sistemi, tüm işletim sistemi MicrosoftpencerelerNT: Windows XP / Vista / 7, Windows Server 2000/2003/2008. Ne yazık ki, Windows Home sistemlerinde denetim çok gizlidir ve yapılandırılması çok zordur.

Özelleştirmek için neye ihtiyacınız var?

Denetimi etkinleştirmek için, paylaşılan belgelere erişim sağlayan bilgisayarda yönetici haklarıyla oturum açın ve komutu çalıştırın. BaşlangıçÇalıştırmakgpedit.msc. Bilgisayar Yapılandırması bölümünde, klasörü genişletin Windows AyarlarıGüvenlik ayarlarıYerel PolitikalarDenetim Politikaları:

Politikaya çift tıklayın Denetim nesnesi erişimi (Nesne Erişim Denetimi) ve onay kutusunu seçin Başarı. Bu parametre, dosyalara ve kayıt defterine başarılı erişimi izlemek için bir mekanizma sağlar. Aslında, yalnızca başarılı dosya veya klasör silme girişimleriyle ilgileniyoruz. Yalnızca doğrudan izlenen nesnelerin depolandığı bilgisayarlarda Denetimi etkinleştirin.

Yalnızca Denetim ilkesini etkinleştirmek yeterli değildir, ayrıca erişimi izleyeceğimiz klasörleri de belirlememiz gerekir. Genellikle bu tür nesneler, paylaşılan (paylaşılan) belge klasörleri ve üretim programlarına veya veritabanlarına (muhasebe, depo vb.) sahip klasörlerdir - yani, birkaç kişinin çalıştığı kaynaklar.

Dosyayı kimin sileceğini önceden tahmin etmek imkansızdır, bu nedenle Herkes için izleme belirtilir. Herhangi bir kullanıcı tarafından izlenen nesneleri silmeye yönelik başarılı girişimler günlüğe kaydedilir. Gerekli klasörün özelliklerini arayın (bu tür birkaç klasör varsa, sırayla hepsi) ve sekmede Güvenlik → Gelişmiş → Denetim konu takibi ekle Herkes başarılı erişim girişimleri Silmek ve Alt Klasörleri ve Dosyaları Sil:


Birçok olay günlüğe kaydedilebilir, bu nedenle günlüğün boyutunu da ayarlamanız gerekir. Güvenlik(Güvenlik) hangisinde kaydedilecek. İçin
bu komutu çalıştır BaşlangıçÇalıştırmakolayvwr. msc. Görünen pencerede Güvenlik günlüğünün özelliklerini çağırın ve aşağıdaki parametreleri belirtin:

    Maksimum Günlük Boyutu = 65536 KB(iş istasyonları için) veya 262144 KB(sunucular için)

    Olayların üzerine gerektiği gibi yazın.

Aslında, bu rakamların kesinliği garanti edilmez, ancak her bir özel durum için ampirik olarak seçilir.

pencereler 2003/ DP)?

Tıklamak BaşlangıçÇalıştırmakeventvwr.msc Güvenlik. görüşFiltre

  • Olay Kaynağı: Güvenlik;
  • Kategori: Nesne Erişimi;
  • Olay Türleri: Başarı Denetimi;
  • Olay Kimliği: 560;


Her kaydın içindeki aşağıdaki alanlara dikkat ederek filtrelenmiş olaylar listesini gözden geçirin:

  • Nesneİsim. Aradığınız klasör veya dosyanın adı;
  • resimDosyaİsim. Dosyanın silindiği programın adı;
  • Erişim. İstenen haklar kümesi.

Program, sistemden aynı anda birkaç tür erişim talep edebilir - örneğin, Silmek+ senkronize et veya Silmek+ Okumak_ Kontrol. Bizim için önemli bir hak Silmek.


Peki, belgeleri kim sildi (pencereler 2008/ manzara)?

Tıklamak BaşlangıçÇalıştırmakeventvwr.msc ve görüntülemek için günlüğü açın Güvenlik. Günlük, doğrudan sorunla ilgili olmayan olaylarla doldurulabilir. Güvenlik günlüğüne sağ tıklayın ve görüşFiltre ve görünümü aşağıdaki kriterlere göre filtreleyin:

  • Olay Kaynağı: Güvenlik;
  • Kategori: Nesne Erişimi;
  • Olay Türleri: Başarı Denetimi;
  • Olay Kimliği: 4663;

Tüm silme işlemlerini kötü niyetli olarak yorumlamak için zaman ayırın. Bu işlev genellikle normal program çalışması sırasında kullanılır - örneğin, komutu yürütürken Kaydetmek(Kaydetmek), paket programlar MicrosoftOfisönce yeni bir geçici dosya oluşturun, belgeyi bu dosyaya kaydedin ve ardından silin önceki versiyon dosya. Benzer şekilde, birçok veritabanı uygulaması, başlangıçta geçici bir kilit dosyası oluşturur. (. lck), sonra programdan çıkarken kaldırın.

Uygulamada, kötü niyetli kullanıcı davranışlarıyla da karşılaştım. Örneğin, belirli bir şirketin çatışan bir çalışanı işten çıkarıldığında, ilgili olduğu dosya ve klasörleri silerek çalışmasının tüm sonuçlarını yok etmeye karar verdi. Bu tür olaylar açıkça görülebilir - güvenlik günlüğünde saniyede onlarca, yüzlerce giriş oluştururlar. Tabii ki, belgelerin kurtarılması Gölgekopyalar(Gölge Kopyalar) ya da günlük olarak otomatik olarak oluşturulan bir arşiv zor değil ama aynı zamanda "Bunu kim yaptı?" sorularına da cevap verebildim. ve "Bu ne zaman oldu?"

Dipnot: Son derste, gizli bilgilerin korunmasına yönelik teknik araçların uygulanması için en son öneriler verilir, InfoWatch çözümlerinin çalışma özellikleri ve ilkeleri ayrıntılı olarak tartışılır.

InfoWatch yazılım çözümleri

Bu kursun amacı InfoWatch ürünlerinin teknik detayları ile detaylı bir tanışma değildir, bu nedenle onları teknik pazarlama açısından ele alacağız. InfoWatch ürünleri iki temel teknolojiye dayanmaktadır - içerik filtreleme ve işyerinde kullanıcı veya yönetici eylemlerinin denetimi. Ayrıca karmaşık InfoWatch çözümünün ayrılmaz bir parçası, bilgi sisteminden ve birleşik bir dahili güvenlik yönetim konsolundan ayrılan bir bilgi deposudur.

Bilgi hareket kanallarının içerik filtrelemesi

InfoWatch içerik filtrelemenin ana ayırt edici özelliği, morfolojik bir çekirdeğin kullanılmasıdır. Geleneksel imza filtrelemeden farklı olarak, InfoWatch içerik filtreleme teknolojisinin iki avantajı vardır - temel kodlamaya karşı duyarsızlık (bir karakterin diğeriyle değiştirilmesi) ve daha yüksek performans. Çekirdek kelimelerle değil, kök formlarla çalıştığı için, karışık kodlamalar içeren kökleri otomatik olarak keser. Ayrıca, dillerde yaklaşık bir milyon olan kelime formlarıyla değil, her dilde on binden az olan köklerle çalışmak, oldukça verimsiz ekipmanlarda önemli sonuçlar göstermenize olanak tanır.

Kullanıcı eylemlerinin denetimi

Bir iş istasyonundaki belgelerle kullanıcı eylemlerini izlemek için InfoWatch, bir iş istasyonundaki tek bir aracıda birkaç durdurucu sunar - dosya işlemleri, yazdırma işlemleri, uygulamalar içindeki işlemler, bağlı cihazlarla işlemler için önleyiciler.

Bilgi sisteminden tüm kanallardan ayrılan bilgi deposu.

InfoWatch, bilgi sisteminden ayrılan bir bilgi deposu sunar. Sistemin dışına giden tüm kanallardan geçirilen belgeler - e-posta, İnternet, basılı ve çıkarılabilir medya, depolama uygulamasına * kaydedilir (2007'ye kadar - Trafik İzleyici Depolama Sunucusu) tüm özellikleri belirten - kullanıcının adı ve konumu, elektronik projeksiyonları (IP adresi, hesap veya posta adresi), işlemin tarihi ve saati, belgelerin adı ve özellikleri. İçerik analizi de dahil olmak üzere tüm bilgiler analiz için kullanılabilir.

İlgili eylemler

Gizli bilgileri korumanın teknik araçlarının tanıtımı, başta örgütsel olanlar olmak üzere diğer yöntemler kullanılmadan etkisiz görünmektedir. Bazılarını yukarıda zaten tartıştık. Şimdi diğer gerekli eylemler üzerinde daha ayrıntılı olarak duralım.

İhlal edenlerin davranış kalıpları

Artan işlevsellik ve analitik yeteneklere ek olarak, gizli bilgilerle eylemleri izlemek için bir sistem kurarak, iki yönde daha geliştirmek mümkündür. Birincisi, iç ve dış tehditlere karşı koruma sistemlerinin entegrasyonudur. Son yıllardaki olaylar, iç ve dış saldırganlar arasında bir rol dağılımı olduğunu ve dış ve iç tehditleri izleme sistemlerinden gelen bilgilerin kombinasyonunun, bu tür birleşik saldırıların gerçeklerini tespit etmeyi mümkün kıldığını göstermektedir. Dış ve iç güvenlik arasındaki temas noktalarından biri, özellikle sadakatsiz çalışanların ve sabotajcıların haklarını artırmak için üretim gerekliliğini simüle etme bağlamında erişim haklarının yönetimidir. Resmi görevler tarafından sağlanmayan kaynaklara erişim talepleri, derhal bu bilgilerle eylemleri denetlemek için bir mekanizma içermelidir. Aniden ortaya çıkan sorunları kaynaklara erişim açmadan çözmek daha da güvenlidir.

Gerçek hayattan bir örnek alalım. Sistem yöneticisi, finansal sisteme açık erişim için pazarlama departmanı başkanından bir başvuru aldı. Başvurunun bir kanıtı olarak, şirket tarafından üretilen malları satın alma süreçlerinin pazarlama araştırması için Genel Müdür'ün görevlendirilmesi eklenmiştir. Finansal sistem en çok korunan kaynaklardan biri olduğundan ve erişim izni CEO tarafından verildiğinden, bilgi güvenliği departmanı başkanı uygulamaya alternatif bir çözüm yazdı - erişim vermek değil, anonimleştirilmiş (müşteri belirtmeden) yüklemek için. ) verileri analiz için özel bir veritabanına. Baş pazarlamacının bu şekilde çalışmasının sakıncalı olduğuna dair itirazlarına yanıt olarak, müdür ona basit bir soru sordu: "Neden müşterilerin isimlerine ihtiyacınız var - veritabanını birleştirmek istiyor musunuz?" - Ondan sonra herkes işine gitti. Bunun bir bilgi sızıntısı düzenleme girişimi olup olmadığını asla bilemeyeceğiz ama her ne ise, kurumsal finansal sistem korunuyordu.

Hazırlık aşamasında sızıntıların önlenmesi

Gizli bilgiler içeren iç olaylar için izleme sisteminin geliştirilmesindeki bir diğer yön, bir sızıntı önleme sisteminin oluşturulmasıdır. Böyle bir sistemin çalışma algoritması, izinsiz giriş önleme çözümlerindeki ile aynıdır. İlk olarak, bir "ihlal imzası", yani davetsiz misafirin bir dizi eyleminin oluşturulduğu bir davetsiz misafir modeli oluşturulur. Birkaç kullanıcı eylemi ihlalin imzasıyla eşleşirse, kullanıcının bir sonraki adımı tahmin edilir, imzayla da eşleşirse bir alarm üretilir. Örneğin gizli bir belge açıldı, bir kısmı seçilip panoya kopyalandı, ardından yeni bir belge oluşturuldu ve panonun içeriği ona kopyalandı. Sistem, yeni bir belgenin daha sonra "gizli" etiketi olmadan kaydedilmesi durumunda bunun bir çalma girişimi olduğunu varsayar. USB sürücüsü henüz takılmadı, bir mektup oluşturulmadı ve sistem, çalışanı durdurmaya veya bilginin nereye gittiğini takip etmeye karar veren bilgi güvenliği görevlisini bilgilendiriyor. Bu arada, ihlal edenin davranışının modelleri (diğer kaynaklarda - "profiller") yalnızca yazılım aracılarından bilgi toplayarak kullanılamaz. Veritabanına yapılan sorguların doğasını analiz ederseniz, veritabanına yapılan bir dizi ardışık sorguyla belirli bir bilgi dilimi almaya çalışan bir çalışanı her zaman tanımlayabilirsiniz. Bu isteklerle ne yaptığını, kaydedip kaydetmediğini, çıkarılabilir medyayı bağlayıp bağlamadığını, vb. hemen izlemek gerekir.

Bilgi depolama organizasyonu

Anonimleştirme ve veri şifreleme ilkeleri - gerekli koşul depolama ve işleme organizasyonu ve uzaktan erişim isteğin düzenlendiği bilgisayarda herhangi bir bilgi bırakmadan terminal protokolüne göre düzenlenebilir.

Kimlik doğrulama sistemleriyle entegrasyon

Er ya da geç, müşteri, personel sorunlarını çözmek için gizli belgelere sahip eylemler için bir izleme sistemi kullanmak zorunda kalacaktır - örneğin, bu sistem tarafından belgelenen gerçeklere dayanarak çalışanların işten çıkarılması veya hatta sızdıranların kovuşturulması. Ancak, izleme sisteminin verebileceği tek şey, davetsiz misafirin elektronik tanımlayıcısıdır - IP adresi, hesap, e-posta adresi vb. Bir çalışanı yasal olarak suçlamak için bu tanımlayıcıyı kişiye bağlamanız gerekir. Burada, entegratör için yeni bir pazar açılıyor - basit belirteçlerden gelişmiş biyometri ve RFID - tanımlayıcılara kadar kimlik doğrulama sistemlerinin tanıtımı.