Мониторинг активности пользователей - User activity monitoring

В области информационная безопасность, мониторинг активности пользователей (UAM) - это мониторинг и запись действий пользователя. UAM фиксирует действия пользователя, включая использование приложений, открытие окон, выполнение системных команд, нажатие флажков, ввод / редактирование текста, посещенные URL-адреса и почти все другие события на экране для защиты данных, гарантируя, что сотрудники и подрядчики остаются в пределах назначенных им задач и не представляет риска для организации.

Программное обеспечение для мониторинга активности пользователей может воспроизводить действия пользователя в виде видео и обрабатывать видео в журналах активности пользователей, в которых ведется пошаговая запись действий пользователя, которые можно искать и анализировать для расследования любых действий, выходящих за рамки.[1]

вопросы

Потребность в UAM возросла из-за увеличения числа инцидентов безопасности, которые прямо или косвенно связаны с учетными данными пользователей, раскрывают информацию компании или конфиденциальные файлы. В 2014 году их было 761 утечки данных в США, в результате чего было обнаружено более 83 миллионов записей о клиентах и ​​сотрудниках.[2] Поскольку 76% этих нарушений происходят из-за слабых или использованных учетных данных пользователей, UAM стал важным компонентом ИТ-инфраструктура.[3] Основные группы пользователей, с которыми UAM стремится снизить риски:

Подрядчики

Подрядчики используются в организациях для выполнения информационные технологии оперативные задачи. Удаленные поставщики, имеющие доступ к данным компании, представляют собой риски. Даже без злонамеренного намерения внешний пользователь, например подрядчик, является серьезной угрозой безопасности.

Пользователи

70% обычных бизнес-пользователей признали, что имеют доступ к большему количеству данных, чем необходимо. Обобщенные учетные записи предоставляют обычным бизнес-пользователям доступ к секретным данным компании.[4] Это делает инсайдерские угрозы реальность для любого бизнеса, использующего обобщенные счета.

ИТ-пользователи

Учетные записи администраторов строго контролируются из-за высокопрофессионального доступа к ним. Однако текущие инструменты ведения журнала могут вызвать у этих учетных записей администратора «усталость от журнала». Усталость от ведения журнала - это непреодолимое ощущение попытки обработать огромное количество журналов в учетной записи в результате слишком большого количества действий пользователя. Вредные действия пользователя можно легко не заметить, ведь каждый день компилируются тысячи действий пользователя.

Общий риск

Согласно отчету Verizon Data Breach Incident Report, «Первый шаг в защите ваших данных - это знать, где они находятся и у кого есть к ним доступ».[2] В сегодняшней ИТ-среде «отсутствует надзор и контроль над тем, как и кто из сотрудников имеет доступ к конфиденциальной, конфиденциальной информации». [5] Этот очевидный пробел является одним из многих факторов, которые привели к возникновению большого количества проблем с безопасностью для компаний.

Составные части

Большинство компаний, использующих UAM, обычно разделяют необходимые аспекты UAM на три основных компонента.

Визуальная экспертиза

Визуальная криминалистика включает создание визуальной сводки потенциально опасной активности пользователя. Каждое действие пользователя регистрируется и записывается. После завершения сеанса пользователя UAM создает как письменную, так и визуальную запись, будь то снимки экрана или видео о том, что именно сделал пользователь. Эта письменная запись отличается от записи SIEM или инструмента ведения журнала, поскольку она захватывает данные на уровне пользователя, а не на системном уровне, предоставляя журналы на простом английском языке, а не SysLogs (изначально созданные для целей отладки). Эти текстовые журналы сопряжены с соответствующими снимками экрана или видео-сводками. Используя эти соответствующие журналы и изображения, компонент визуальной криминалистики UAM позволяет организациям искать точные действия пользователя в случае нарушения безопасности. В случае угрозы безопасности, то есть утечки данных, Visual Forensics используется, чтобы точно показать, что сделал пользователь и все, что привело к инциденту. Визуальная криминалистика также может использоваться для предоставления доказательств любому правоохранительные органы которые расследуют вторжение.

Оповещение об активности пользователей

Предупреждения об активности пользователей служат для того, чтобы уведомить тех, кто использует решение UAM, о происшествии или ошибке в отношении информации о компании. Предупреждения в режиме реального времени позволяют администратору консоли получать уведомления в момент возникновения ошибки или вторжения. Оповещения объединяются для каждого пользователя, чтобы предоставить профиль риска и рейтинг угроз. Оповещение настраивается в зависимости от комбинации пользователей, действий, времени, местоположения и метода доступа. Оповещения могут запускаться просто, например, при открытии приложения или вводе определенного ключевого слова или веб-адреса. Оповещения также можно настроить на основе действий пользователя в приложении, таких как удаление или создание пользователя и выполнение определенных команд.

Аналитика поведения пользователей

Аналитика поведения пользователей добавьте дополнительный уровень защиты, который поможет специалистам по безопасности следить за самым слабым звеном в цепи. Контролируя поведение пользователей, с помощью специального программного обеспечения, которое точно анализирует, что пользователь делает во время сеанса, специалисты по безопасности могут привязать фактор риска к конкретным пользователям и / или группам и немедленно получать предупреждение с помощью красного флажка, когда высокий -risk пользователь делает что-то, что можно интерпретировать как действие с высоким риском, например, экспорт конфиденциальной информации о клиенте, выполнение больших база данных запросы, выходящие за рамки их роли, доступ к ресурсам, к которым они не должны обращаться, и т. д.

Функции

Захват активности

UAM собирает пользовательские данные, регистрируя активность каждого пользователя в приложениях, веб-страницах, внутренних системах и базах данных. UAM охватывает все уровни доступа и стратегии доступа (RDP, SSH, Telnet, ICA, прямой вход в консоль и т. Д.). Некоторые решения UAM сочетаются с Citrix и среды VMware.

Журналы активности пользователей

Решения UAM записывают все задокументированные действия в журналы действий пользователей. Журналы UAM совпадают с воспроизведением видео одновременных действий. Некоторыми примерами регистрируемых элементов являются имена запущенных приложений, заголовки открытых страниц, URL-адреса, текст (набранный, отредактированный, скопированный / вставленный), команды и сценарии.

Видео как воспроизведение

UAM использует технологию записи экрана, которая фиксирует действия отдельных пользователей. Каждое воспроизведение, подобное видео, сохраняется и сопровождается журналом активности пользователя. Воспроизведение отличается от традиционного воспроизведения видео до соскабливания экрана, которое представляет собой компиляцию последовательных снимков экрана в видео, подобное видео. переиграть. Журналы активности пользователей в сочетании с воспроизведением видео обеспечивают доступную для поиска сводку всех действий пользователя. Это позволяет компаниям не только читать, но и точно видеть, что конкретный пользователь делал в системах компании.

Конфиденциальность

Некоторые компании и сотрудники подняли вопрос о аспекте конфиденциальности пользователей UAM.[который? ] Они считают, что сотрудники будут сопротивляться идее контроля за их действиями, даже если это делается в целях безопасности. На самом деле большинство стратегий UAM решают эти проблемы.

Хотя можно отслеживать каждое действие пользователя, цель систем UAM не в том, чтобы отслеживать сотрудников. история просмотров. Решения UAM используют запись активности на основе политик, что позволяет администратору консоли точно программировать, что отслеживается, а что не отслеживается.

Аудит и комплаенс

Многие правила требуют определенного уровня UAM, в то время как другие требуют только журналы активности для целей аудита. UAM встречает множество соответствие нормативным требованиям требования (HIPAA, ISO 27001, SOX, PCI и т. Д. ...). UAM обычно внедряется в целях аудита и соответствия, чтобы компании могли упростить и повысить эффективность своих аудитов. Запрос информации аудита для информации об активности пользователя может быть удовлетворен с помощью UAM. В отличие от обычного журнала или инструментов SIEM, UAM может помочь ускорить процесс аудита, создав элементы управления, необходимые для навигации во все более сложной нормативной среде. Возможность воспроизведения действий пользователя обеспечивает поддержку для определения воздействия на регулируемую информацию во время реагирования на инциденты безопасности.

Устройство против программного обеспечения

UAM имеет две модели развертывания. Подходы к мониторингу на основе устройств, в которых используется специальное оборудование для мониторинга, отслеживая сетевой трафик. Программные подходы к мониторингу, в которых используются программные агенты, установленные на узлах, к которым имеют доступ пользователи.

Чаще всего программное обеспечение требует установки агента в системах (серверах, настольных компьютерах, серверах VDI, терминальных серверах), за пользователями которых вы хотите наблюдать. Эти агенты фиксируют действия пользователей и отправляют информацию на центральную консоль для хранения и анализа. Эти решения можно быстро развернуть поэтапно, ориентируясь в первую очередь на пользователей и системы с высокой степенью риска с конфиденциальной информацией, что позволяет организации быстро приступить к работе и расширяться за счет новых групп пользователей по мере того, как этого требует бизнес.

Рекомендации

  1. ^ «Что такое программное обеспечение для мониторинга активности пользователей?». ActivTrak. 17 февраля 2019 г.. Получено 5 марта 2019.
  2. ^ а б "Отчеты об утечке данных" (PDF). Центр ресурсов по краже личных данных. 31 декабря 2014 г.. Получено 19 января 2015.
  3. ^ «Отчет о расследовании утечки данных за 2014 год». Verizon. 14 апреля 2014 г.. Получено 19 января 2015.
  4. ^ «Виртуализация: открытие нематериального предприятия». Партнеры по управлению предприятием. 14 августа 2014 г.. Получено 19 января 2015.
  5. ^ "Корпоративные данные: защищенный актив или бомба замедленного действия?" (PDF). Институт Понемона. Декабрь 2014 г.. Получено 19 января 2015.