Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.08.2021

Firma Fortinet rozszerzyła...

Firma Fortinet rozszerzyła ofertę o usługę FortiTrust, która dołączyła do innych usług...
26.08.2021

Aplikacje biznesowe

Ready_™ AppStore
26.08.2021

Automatyzacja chmur...

Integracja z Red Hat Ansible
26.08.2021

Backup kodu źródłowego

GitProtect.io dostępny na Github
26.08.2021

Wsparcie pracy hybrydowej

Zdalny SD WAN
26.08.2021

Nowy monitor Philips 498P9Z

Nowy monitor Philips 498P9Z to model wyposażony w 49-calowy, zakrzywiony panel VA o...
26.08.2021

Wytrzymały punkt dostępowy

D-Link DIS-2650AP
26.08.2021

Ekonomiczne dyski

SSD bez DRAM
26.08.2021

Petabajty pojemności

Serwery QNAP

Narzędzia monitorujące aktywność użytkownika

Data publikacji: 14-07-2021 Autor: Artur Cieślik

Kontrola stacji roboczych nie jest wymysłem administratorów. Kierownictwo i działy bezpieczeństwa potrzebują informacji o tym, czy użytkownicy korzystają ze sprzętu i oprogramowania we właściwy sposób.

 

O programowanie nie zawsze wykorzystywane jest zgodnie z przyjętymi zasadami i ograniczeniami nałożonymi przez organizację. Czasami pracownicy jednostki uruchamiają aplikacje prywatne lub pobrane z internetu, nie zważając na licencję, która nie zawsze pozwala na jej używanie w środowisku służbowym. Ponadto użytkownicy korzystają z przeglądarki internetowej nie tylko w celu pozyskania informacji potrzebnych do bieżącej pracy, ale również poszukują muzyki, filmów lub oprogramowania będących raczej urozmaiceniem codziennych obowiązków niż niezbędnym elementem stanowiska pracy. Ponadto pracownicy bywają źródłem ryzyka wycieku danych nie tylko związanego z działaniem celowym. Naruszenia bezpieczeństwa mogą być związane z podszywaniem się pod użytkownika poprzez kradzież jego tożsamości oraz danych służących do uwierzytelnienia.

Spotykamy się również z kolejnymi aspektami problemu. Jedne z ważniejszych to zgodność z prawem, a w szczególności z przepisami o ochronie danych osobowych oraz prawem autorskim. Niezgodność z zapisami ustawy czy rozporządzenia może skutkować koniecznością wypłacenia odszkodowania, a w szczególnych przypadkach naruszeń, nawet ograniczeniem lub pozbawieniem wolności. Drugim jest bezpieczeństwo danych. Niezweryfikowane oprogramowanie dostępne w internecie lub strony internetowe mogą wprowadzić zagrożenie do naszej sieci, a nieodpowiedzialne działania użytkownika mogą doprowadzić do utraty lub wycieku danych.

 

> Obszary monitorowania

 

W ostatnim czasie niezbędnym narzędziem administratora nadzorującego stacje robocze stało się oprogramowanie służące do audytu softu oraz monitoringu komputerów. Monitorowanie działań użytkownika na stanowisku komputerowym jest niezbędne, aby sprawdzać uruchamiane programy, to, w jaki sposób użytkownik z nich korzysta oraz czy można je uznać za bezpieczne. Kolejnym elementem monitorowania jest analiza zachowania użytkownika na komputerze pod kątem bezpieczeństwa. Po zalogowaniu się do systemu użytkownik może wysyłać dane za pomocą poczty elektronicznej lub skorzystać z wymiany danych z dysków cloudowych.

Monitorowanie wynika również z konieczności sprawdzania wykorzystania nośników zewnętrznych (jak np. pendrive’y), które można w łatwy sposób podłączyć do dowolnego komputera i za jego pomocą przenieść dane lub aplikacje. Dostępność zasobów internetu jest dodatkowym czynnikiem wpływającym na ciągłe zagrożenie ze strony oprogramowania, które może okazać się malware'em.

Podobnie sytuacja wygląda z przeglądaniem stron internetowych, których dostępność sprawia, że użytkownicy często zapominają o swoich najważniejszych obowiązkach i większość czasu pracy zaczynają spędzać na portalach społecznościowych lub prywatnych czatach, co wiąże się z obniżeniem jakości pracy. W efekcie administrator zarządzający siecią może dodatkowo zaobserwować większe obciążenie łącza internetowego. Ponadto, gdy umożliwiamy pracownikom dostęp do witryn WWW, pojawia się problem, które z nich należałoby uznać za bezpieczne i niezbędne do wykonywania bieżącej pracy.

Zapewnienie bezpieczeństwa i nadzór nad działaniami użytkownika jest istotnym elementem monitorowania stacji roboczych. Jednak nie mniej ważna jest wiedza o oprogramowaniu i sprzęcie użytkowanym przez pracowników. Brak aktualnych danych tego typu często stanowi problem organizacyjny.

 

> Czujne spojrzenie

 

Monitorowanie użytkownika oraz wykorzystywanego przez niego sprzętu i oprogramowania wpływają jednocześnie na aspekty bezpieczeństwa stacji roboczych, jak również nadzorowanie zgodności ich wykorzystania. Administrator potrzebuje więc dziś narzędzi zintegrowanych, pozwalających jednocześnie monitorować użytkownika, oprogramowanie i sprzęt, a także zabezpieczać dostęp do stacji roboczych, wykrywając sytuacje niebezpieczne.

Przykładami rozwiązań pozwalających na monitorowanie użytkowników w dosyć szerokim zakresie są programy Veriato czy Statlook.

Wiele programów służących do monitorowania ma zbliżone funkcje. Coraz częściej będziemy również spotykać się ze wspomaganiem sztuczną inteligencją. Pierwszy z programów określany jest przez producenta jako „AI-Driven Insider Threat Detection”. Oznacza to wspomagane sztuczną inteligencją wykrywanie zagrożeń ze strony użytkownika. Generalnie aktywność użytkownika może być monitorowana na wiele sposobów. Funkcje Veriato pozwalają na monitorowanie aktywności użytkownika w internecie, szczególnie odwiedzonych stron WWW, w tym użycia webmaila i śledzenia przesyłania plików. Ważnym dodatkiem w tej klasie rozwiązań jest zbieranie informacji o długości odwiedzin użytkownika na stronie oraz jego zaangażowania lub aktywności na określonej stronie. W przypadku, gdy użytkownik korzysta z tradycyjnego klienta e-mail, oprogramowanie śledzące powinno przechwytywać komunikację. Celem tej operacji jest ocena zawartości wiadomości w zakresie zarówno bezpieczeństwa, jak i potencjalnego wycieku danych. Veriato zapisuje wyniki monitorowania w indeksowanej bazie danych, dzięki czemu można zdefiniować odpowiednie powiadomienia. Komunikacja sieciowa może być monitorowana pod kątem technicznym takim jak adresy czy porty TCP/UDP wraz z zawartością pakietów danych. Analiza ruchu sieciowego może pokazać również statystyki obciążenia pasma przez poszczególne połączenia sieciowe.

Oprócz nadzoru poczty w formie webowej lub instalowanego klienta istnieje również funkcja monitorowania komunikatorów. Szczególnie ważna, gdy mamy uzasadnione podejrzenie wobec użytkownika, który przesyła poufne informacje nieupoważnionym osobom lub działa, naruszając inne zasady. W oprogramowaniu Veriato można przechwytywać i skanować komunikację w celu alertowania lub raportowania zgodności. Oczywiście przydaje się również w przypadku prowadzonych spraw dotyczących naruszeń bezpieczeństwa.

Monitorowanie aplikacji polega na przechwytywaniu wykorzystania jej przez użytkowników. Podobnie jak przy innych modułach śledzących aktywność funkcja ta pozwala powiadamiać i tworzyć raporty na temat otwartych aplikacji przez użytkownika z uwzględnieniem sposobu ich użycia. Informacja może dotyczyć aplikacji aktywnie używanych ze wskazaniem użytkownika oraz czasu. Jednocześnie możemy uzyskać informację o stanie używanego programu – czy był aktywny i przez jaki czas, czy pracował w tle i przez jaki okres był uruchomiony.

Szczególnie ciekawymi funkcjami są te dotyczące analizy anomalii. Jedną z podstawowych cech jest monitorowanie dostępu do stacji roboczej. Na podstawie informacji o adresie IP, z którego następuje logowanie, oraz np. geolokalizacji system monitorujący może powiadomić administratora o podejrzanym zachowaniu użytkownika, które odbiega od jego codziennego zachowania. Analizę uzupełnia uczenie się wzorców zachowań osób i grup oparte na uczeniu maszynowym. Umożliwia ono nauczenie systemu monitorującego, co jest uznawane za standard dla każdego użytkownika w monitorowanej sieci. Cechami monitorowanymi są między innymi sposób korzystania z aplikacji, liczba wiadomości i natężenie komunikacji sieciowej, rodzaje i liczba oraz sama treść wysyłanych dokumentów i wiadomości. Jedna z funkcji Veriato pozwala na identyfikowanie i kategoryzowanie opinii wyrażonych w treści wiadomości e-mail. To może prowadzić do wskazania niezadowolonych pracowników i możliwych zagrożeń dla bezpieczeństwa informacji, np. w związku z ryzykiem ataku ze strony tzw. insidera.

W odniesieniu do ryzyka dotyczącego ataku przeprowadzanego przez zaufane osoby z wewnątrz oprogramowanie monitorujące (nie tylko Veriato) oferuje wiele funkcji śledzenia i nagrywania aktywności użytkownika zarówno w aplikacjach on-premise, jak i dostarczanych w modelu SaaS. Warto o tym pamiętać, aby w przypadku korzystania z aplikacji cloudowych wykorzystać funkcje monitorowania działalności użytkownika również w aplikacjach i usługach chmurowych.

 

[...]

 

Autor jest redaktorem naczelnym miesięcznika „IT Professional” oraz audytorem wiodącym normy ISO/IEC 27001. Specjalizuje się w realizacji audytów bezpieczeństwa informacji, danych osobowych i zabezpieczeń sieci informatycznych. Jest konsultantem w obszarze projektowania i wdrażania Systemów Zarządzania Bezpieczeństwem Informacji. Trener i wykładowca z wieloletnim doświadczeniem.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"