Softwarová řešení Infowatch a související činnosti. Audit uživatelských akcí Zabraňte únikům během fáze zřizování

Anotace: Závěrečná přednáška uvádí nejnovější doporučení pro implementaci technických prostředků ochrany důvěrných informací, podrobně rozebírá vlastnosti a principy fungování řešení InfoWatch.

Softwarová řešení InfoWatch

Účelem tohoto kurzu není podrobné seznámení s technickými detaily produktů InfoWatch, proto je budeme posuzovat z hlediska technického marketingu. Produkty InfoWatch jsou založeny na dvou základních technologiích – filtrování obsahu a auditování uživatelských nebo administrátorských akcí na pracovišti. Nedílnou součástí integrovaného řešení InfoWatch je také úložiště informací, které opustily informační systém, a jedna vnitřní konzola pro správu zabezpečení.

Filtrování obsahu kanálů informačního provozu

Hlavním rozlišovacím znakem filtrování obsahu InfoWatch je použití morfologického jádra. Na rozdíl od tradičního filtrování podpisů má technologie filtrování obsahu InfoWatch dvě výhody – necitlivost na elementární kódování (záměna jednoho znaku za jiný) a vyšší výkon. Protože jádro nepracuje se slovy, ale s kořenovými formami, automaticky odřezává kořeny, které obsahují smíšená kódování. Také práce s kořeny, kterých je v každém jazyce méně než deset tisíc, a nikoli s tvary slov, kterých je v jazycích asi milion, umožňuje vykazovat výrazné výsledky na dosti neproduktivním vybavení.

Audit aktivity uživatele

Pro sledování uživatelských akcí s dokumenty na pracovní stanici nabízí InfoWatch několik zachycovačů v jednom agentovi na pracovní stanici - zachycovače pro operace se soubory, tiskové operace, operace v aplikacích, operace s připojenými zařízeními.

Ukládání informací, které opustily informační systém všemi kanály.

InfoWatch nabízí úložiště pro informace, které opustily informační systém. Dokumenty prošlé všemi kanály vedoucími mimo systém - e-mailem, internetem, tiskem a výměnnými médii jsou uloženy v aplikaci *úložiště (do roku 2007 - modul Server úložiště sledování provozu) s uvedením všech atributů - celé jméno a pozice uživatele, jeho elektronické projekce (IP adresa, účet nebo poštovní adresa), datum a čas operace, název a atributy dokumentů. Všechny informace jsou k dispozici pro analýzu, včetně analýzy obsahu.

Související činnosti

Zavádění technických prostředků ochrany důvěrných informací se bez použití jiných metod, především organizačních, jeví jako neúčinné. Některé z nich jsme již probrali výše. Nyní se blíže podíváme na další potřebné úkony.

Vzorce chování pachatelů

Nasazením monitorovacího systému pro akce s důvěrnými informacemi se kromě zvýšení funkčnosti a analytických schopností můžete vyvíjet ve dvou dalších směrech. Prvním je integrace ochranných systémů proti vnitřním a vnějším hrozbám. Incidenty posledních let ukazují, že dochází k rozdělení rolí mezi interními a externími narušiteli a kombinace informací z monitorovacích systémů vnějších a vnitřních hrozeb umožní odhalit fakta o takto kombinovaných útocích. Jedním z styčných bodů mezi vnější a vnitřní bezpečností je správa přístupových práv, zejména v kontextu simulace průmyslové potřeby zvýšit práva neloajálních zaměstnanců a sabotérů. Jakékoli žádosti o přístup ke zdrojům mimo pracovní povinnosti musí okamžitě zahrnovat mechanismus pro auditování akcí s těmito informacemi. Ještě bezpečnější je řešit problémy, které se náhle objevily, bez otevření přístupu ke zdrojům.

Vezměme si příklad ze života. Správce systému obdržel od vedoucího marketingového oddělení žádost o otevření přístupu do finančního systému. Jako odůvodnění žádosti byl připojen úkol generálního ředitele pro marketingový průzkum procesů nákupu zboží vyráběného společností. Vzhledem k tomu, že finanční systém je jedním z nejchráněnějších zdrojů a oprávnění k přístupu k němu uděluje generální ředitel, napsal vedoucí oddělení informační bezpečnosti na aplikaci alternativní řešení - neposkytovat přístup, ale nahrávat anonymizované (bez uvedení klientů ) data do speciální databáze pro analýzu. Na námitky hlavního marketéra, že je pro něj nevýhodné takto pracovat, mu ředitel položil přímou otázku: "Proč potřebujete jména klientů - chcete sloučit databázi?" Poté se všichni dali do práce. Zda to byl pokus o únik informací, se nikdy nedozvíme, ale ať už to bylo cokoli, firemní finanční systém byl chráněn.

Prevence úniků během přípravné fáze

Dalším směrem ve vývoji systému monitorování interních incidentů s důvěrnými informacemi je budování systému prevence úniku. Algoritmus provozu takového systému je stejný jako u řešení prevence narušení. Nejprve se sestaví model narušitele a z něj se vytvoří „signatura porušení“, tedy sled akcí narušitele. Pokud se podpisu porušení shoduje několik akcí uživatele, je předpovězen další krok uživatele, pokud se také shoduje s podpisem, je vygenerován alarm. Například byl otevřen důvěrný dokument, jeho část byla vybrána a zkopírována do schránky, poté byl vytvořen nový dokument a do něj byl zkopírován obsah schránky. Systém předpokládá, že pokud je nový dokument dále uložen bez označení „důvěrné“, jedná se o pokus o únos. USB disk ještě není vložen, dopis nebyl vygenerován a systém informuje pracovníka informační bezpečnosti, který rozhodne, zda zaměstnance zastaví, nebo bude sledovat, kam informace jdou. Mimochodem, modely (v jiných zdrojích – „profily“) chování pachatele lze využít nejen sběrem informací od softwarových agentů. Pokud analyzujete povahu dotazů do databáze, můžete vždy identifikovat zaměstnance, který se snaží získat konkrétní informaci v sérii po sobě jdoucích dotazů do databáze. Je nutné okamžitě vysledovat, co s těmito požadavky dělá, zda je ukládá, zda připojuje vyměnitelná paměťová média atp.

Organizace ukládání informací

Principy anonymizace a šifrování dat jsou nezbytným předpokladem pro organizaci ukládání a zpracování a vzdálený přístup lze organizovat pomocí terminálového protokolu, aniž by byly ponechány jakékoli informace na počítači, ze kterého je požadavek podán.

Integrace s autentizačními systémy

Zákazník bude muset dříve nebo později použít systém sledování důvěrných dokumentů k vyřešení personálních problémů - například propouštění zaměstnanců na základě skutečností zdokumentovaných tímto systémem nebo dokonce soudní stíhání úniků. Monitorovací systém však může poskytnout pouze elektronický identifikátor pachatele - IP adresu, účet, e-mailovou adresu atd. Abyste mohli právně účtovat zaměstnanci, musíte tento identifikátor propojit s osobou. Zde se pro integrátora otevírá nový trh – zavádění autentizačních systémů – od jednoduchých tokenů po pokročilé biometrické a RFID – identifikátory.

Někdy se stanou události, které vyžadují, abychom odpověděli na otázku. "kdo to udělal?" To se může stát „zřídka, ale výstižně“, takže byste se měli předem připravit na odpověď na otázku.

Téměř všude existují konstrukční oddělení, účetní oddělení, vývojáři a další kategorie zaměstnanců, kteří společně pracují na skupinách dokumentů uložených ve veřejné (sdílené) složce na souborovém serveru nebo na jedné z pracovních stanic. Může se stát, že z této složky někdo smaže důležitý dokument nebo adresář, v důsledku čehož může dojít ke ztrátě práce celého týmu. V tomto případě má správce systému několik otázek:

    Kdy a kdy k problému došlo?

    Jaká je nejbližší záloha k té době pro obnovu dat?

    Možná došlo k selhání systému, které se může opakovat?

Windows má systém audit, který umožňuje sledovat a zaznamenávat informace o tom, kdy, kým a jakým programem byly dokumenty smazány. Ve výchozím nastavení není Auditing povolen – samotné sledování vyžaduje určité procento kapacity systému, a pokud zaznamenáte vše za sebou, zatížení bude příliš velké. Navíc ne všechny akce uživatelů nás mohou zajímat, takže zásady auditu nám umožňují povolit sledování pouze těch událostí, které jsou pro nás skutečně důležité.

Audit systém je zabudován do všech operačních systémů MicrosoftOknaNT: Windows XP/Vista/7, Windows Server 2000/2003/2008. Bohužel v systémech Windows Home je auditování hluboce skryté a příliš obtížné na konfiguraci.

Co je potřeba nakonfigurovat?

Chcete-li povolit auditování, přihlaste se s právy správce k počítači, který poskytuje přístup ke sdíleným dokumentům, a spusťte příkaz StartBěhgpedit.msc. V části Konfigurace počítače rozbalte složku Nastavení systému WindowsBezpečnostní nastaveníMístní zásadyZásady auditu:

Dvakrát klikněte na zásadu Auditovat přístup k objektu (Audit přístupu k objektům) a zaškrtněte políčko úspěch. Toto nastavení zapíná mechanismus pro sledování úspěšného přístupu k souborům a registru. Ve skutečnosti nás zajímají pouze úspěšné pokusy o odstranění souborů nebo složek. Povolit auditování pouze na počítačích, které přímo ukládají monitorované objekty.

Pouhé povolení zásady auditu nestačí, musíme také určit, ke kterým složkám chceme přistupovat. Obvykle jsou takovými objekty složky společných (sdílených) dokumentů a složky s výrobními programy nebo databázemi (účetnictví, sklad atd.) - tedy prostředky, se kterými pracuje více lidí.

Není možné předem odhadnout, kdo přesně soubor smaže, takže sledování je indikováno pro Všichni (Everyone). Úspěšné pokusy o odstranění sledovaných objektů kterýmkoli uživatelem budou zaznamenány. Vyvolejte vlastnosti požadované složky (pokud existuje několik takových složek, pak všechny postupně) a na kartě Zabezpečení → Pokročilé → Auditování přidat sledování předmětu Všichni (všichni), jeho úspěšné pokusy o přístup Vymazat a Odstranění podsložek a souborů:


Mnoho událostí lze protokolovat, takže byste také měli upravit velikost protokolu bezpečnostní(Bezpečnost) do kterého budou zapsány. Pro
toto spusťte příkaz StartBěheventvwr. msc. V okně, které se zobrazí, vyvolejte vlastnosti protokolu zabezpečení a zadejte následující parametry:

    Maximální velikost protokolu = 65536 KB(pro pracovní stanice) popř 262144 KB(pro servery)

    Přepište události podle potřeby.

Ve skutečnosti není zaručeno, že jsou tyto údaje přesné, ale jsou vybrány empiricky pro každý konkrétní případ.

Okna 2003/ XP)?

Klikněte StartBěheventvwr.msc Zabezpečení (Security). Pohledfiltr

  • Zdroj události:Security;
  • Kategorie: Přístup k objektu;
  • Typy událostí: Audit úspěchu;
  • ID události: 560;


Zkontrolujte seznam filtrovaných událostí a věnujte pozornost následujícím polím v každé položce:

  • Objektnázev. Název hledané složky nebo souboru;
  • obrazsoubornázev. Název programu, který soubor odstranil;
  • přístupy. Sada požadovaných práv.

Program může vyžadovat několik typů přístupu ze systému najednou - např. Vymazat+ Synchronizovat nebo Vymazat+ číst_ řízení. To pravé pro nás je Vymazat.


Takže, kdo smazal dokumenty (Okna 2008/ Průhled)?

Klikněte StartBěheventvwr.msc a otevřete protokol Zabezpečení (Security). Protokol může být vyplněn událostmi, které přímo nesouvisejí s problémem. Klepnutím pravým tlačítkem myši na protokol zabezpečení vyberte příkaz Pohledfiltr a filtrovat zobrazení podle následujících kritérií:

  • Zdroj události: Zabezpečení;
  • Kategorie: Přístup k objektu;
  • Typy událostí: Audit úspěchu;
  • ID události: 4663;

Nespěchejte a interpretujte všechna smazání jako škodlivá. Tato funkce se často používá při běžném provozu programů - například při provádění příkazu Uložit(Uložit), balíčky programů Microsoftkancelář Nejprve se vytvoří nový dočasný soubor, dokument se do něj uloží a poté se předchozí verze souboru odstraní. Podobně mnoho databázových aplikací nejprve při spuštění vytvoří dočasný soubor zámku. (. lck), poté jej vymažte při ukončení programu.

V praxi jsem se musel vypořádat se zlomyslnými akcemi uživatelů. Například konfliktní zaměstnanec určité společnosti se při odchodu ze svého pracoviště rozhodl zničit všechny výsledky své práce tím, že smaže soubory a složky, ke kterým měl vztah. Události tohoto druhu jsou jasně viditelné – generují desítky, stovky záznamů za sekundu v bezpečnostním protokolu. Samozřejmostí je obnovení dokumentů z Stínkopie(Stínové kopie) aneb automaticky vytvářený denní archiv není složitý, ale zároveň bych mohl odpovědět na otázky „Kdo to udělal?“ a "Kdy se to stalo?".

O potřebě implementace systémů pro audit uživatelských akcí v organizacích jakékoli úrovně přesvědčily studie společností zabývajících se analýzou informační bezpečnosti.

Studie společnosti Kaspersky Lab například ukázala, že dvě třetiny incidentů IS (67 %) jsou způsobeny mimo jiné jednáním špatně informovaných nebo nepozorných zaměstnanců. Přitom podle výzkumu ESET 84 % firem podceňuje rizika způsobená lidským faktorem.

Ochrana před hrozbami spojenými s uživatelem „zevnitř“ vyžaduje více úsilí než ochrana před vnějšími hrozbami. K boji proti „spořičům“ zvenčí, včetně virů a cílených útoků na síť organizace, stačí zavést vhodný software nebo systém softwaru a hardwaru. Udržení organizace v bezpečí před interním útočníkem bude vyžadovat více investic do bezpečnostní infrastruktury a hloubkové analýzy. Analytická práce zahrnuje identifikaci typů hrozeb, které jsou pro podnikání nejkritičtější, stejně jako sestavení „portrétů narušitelů“, tedy určení, jak velké škody může uživatel způsobit, na základě jejich kompetencí a pravomocí.

Audit akcí uživatelů je neoddělitelně spjat nejen s pochopením toho, jaké „mezery“ v systému informační bezpečnosti je třeba rychle zacelit, ale také s problematikou udržitelnosti podnikání jako celku. Společnosti konfigurované pro nepřetržitý provoz by měly počítat s tím, že se zkomplikováním a nárůstem procesů informatizace a podnikové automatizace počet interních hrozeb jen roste.

Kromě sledování akcí řadového zaměstnance je nutné auditovat operace „superuživatelů“ – zaměstnanců s privilegovanými právy a v důsledku toho více příležitostí k náhodnému nebo záměrnému zavedení hrozby úniku informací. Mezi tyto uživatele patří správci systému, správci databází a interní vývojáři softwaru. Zde můžete také přidat zapojené IT specialisty a zaměstnance odpovědné za informační bezpečnost.

Zavedení systému sledování akcí uživatelů ve firmě umožňuje evidovat a rychle reagovat na aktivitu zaměstnanců. Důležité: systém auditu musí mít vlastnost inkluzivity. To znamená, že informace o činnosti řadového zaměstnance, správce systému nebo vrcholového manažera je potřeba analyzovat na úrovni operačního systému, využití podnikových aplikací, na úrovni síťových zařízení, přístupů k databázím, připojení externích médií a již brzy.

Moderní integrované auditní systémy umožňují řídit všechny fáze uživatelských akcí od spuštění až po vypnutí PC (terminální pracovní stanice). Pravda, v praxi se snaží vyhnout totální kontrole. Pokud jsou všechny operace zaznamenány v protokolech auditu, zatížení infrastruktury informačního systému organizace se mnohonásobně zvýší: pracovní stanice se zasekávají, servery a kanály pracují při plné zátěži. Paranoia ohledně zabezpečení informací může poškodit podnikání tím, že výrazně zpomalí pracovní toky.

Kompetentní specialista na informační bezpečnost nejprve určí:

  • jaká data ve společnosti jsou nejcennější, protože s nimi bude spojena většina interních hrozeb;
  • kdo a na jaké úrovni může mít přístup k cenným datům, tedy nastiňuje okruh potenciálních narušitelů;
  • do jaké míry jsou současná ochranná opatření schopna odolat úmyslnému a/nebo náhodnému jednání uživatelů.

Například specialisté na informační bezpečnost z finančního sektoru považují za nejnebezpečnější hrozbu úniku platebních dat a zneužití přístupu. V průmyslových a dopravních odvětvích se nejvíce obávají úniky know-how a neloajální chování zaměstnanců. Podobné obavy panují v sektoru IT a telekomunikačním byznysu, kde jsou nejkritičtějšími hrozbami únik informací o proprietárním vývoji, obchodních tajemstvích a platebních informacích.

NEJPRAVDĚPODOBNĚJŠÍ „TYPICKÍ“ PORUŠOVATELÉ ANALYTIKY JSOU SPOJENI TAKTO:

  • Vedení firmy: volba je zřejmá - co nejširší pravomoci, přístup k nejcennějším informacím. Osoby zodpovědné za bezpečnost přitom často zavírají oči před porušováním pravidel bezpečnosti informací ze strany takových osob.
  • Neloajální zaměstnanci : k určení stupně loajality by měli specialisté na informační bezpečnost společnosti analyzovat jednání jednotlivého zaměstnance.
  • Správci: Privilegovaní a kompetentní profesionálové s hlubokými znalostmi v oboru IT jsou v pokušení získat neoprávněný přístup k citlivým informacím;
  • Zaměstnanci dodavatelů / outsourcing : Stejně jako správci, tak i „vnější“ experti s širokými znalostmi mohou implementovat různé hrozby a přitom být „uvnitř“ informačního systému zákazníka.

Určení nejvýznamnějších informací a nejpravděpodobnějších narušitelů pomáhá vybudovat systém nikoli úplné, ale selektivní kontroly uživatelů. Tím se informační systém „vyloží“ a specialisté na informační bezpečnost se ušetří zbytečné práce.

Kromě selektivního monitorování hraje architektura auditních systémů významnou roli při zrychlování systému, zkvalitňování analýz a snižování zátěže infrastruktury. Moderní systémy pro audit uživatelských akcí mají distribuovanou strukturu. Na koncových pracovních stanicích a serverech jsou instalováni senzoroví agenti, kteří analyzují události určitého typu a přenášejí data do konsolidačních a úložných center. Systémy pro analýzu zaznamenaných informací podle parametrů stanovených v systému nalézají v protokolech auditu skutečnosti podezřelé nebo anomální činnosti, které nelze bezprostředně přiřadit k pokusu o implementaci hrozby. Tyto skutečnosti jsou předány do odpovědního systému, který na porušení upozorní bezpečnostního správce.

Pokud je auditní systém schopen se s narušením vypořádat sám (takové IS systémy obvykle poskytují podpisovou metodu pro reakci na hrozbu), pak je narušení automaticky zastaveno a všechny potřebné informace o narušiteli, jeho jednání a objekt ohrožení spadá do speciální databáze. V tomto případě vás konzola Security Administrator Console upozorní, že hrozba byla neutralizována.

Pokud systém neobsahuje metody pro automatickou reakci na podezřelou aktivitu, jsou všechny informace k neutralizaci hrozby nebo k analýze jejích následků přenášeny do administrátorské konzole IS pro manuální operace.

V MONITOROVACÍM SYSTÉMU JAKÉKOLI ORGANIZACE BY MĚLY BÝT PROVOZY NAKONFIGOVÁNY:

Auditování používání pracovních stanic, serverů a také času (podle hodin a dnů v týdnu) aktivity uživatelů na nich. Tímto způsobem je stanovena účelnost využívání informačních zdrojů.

Viktor Chutov
Projektový manažer INFORMSVYAZ HOLDING

Předpoklady pro implementaci systému

První otevřená globální studie vnitřních hrozeb pro informační bezpečnost provedená v roce 2007 společností Infowatch (na základě výsledků z roku 2006) ukázala, že interní hrozby nejsou méně časté (56,5 %) než ty vnější (malware, spam, hackeři atd.). d.). Přitom v drtivé většině (77 %) je důvodem realizace vnitřní hrozby nedbalost samotných uživatelů (neplnění pracovních pokynů či zanedbání základních prostředků ochrany informací).

Dynamika změn situace v období 2006-2008 odráží se na Obr. jeden.

Relativní pokles podílu úniků z nedbalosti je dán částečnou implementací systémů prevence úniku informací (včetně systému sledování akcí uživatelů), které poskytují poměrně vysoký stupeň ochrany před náhodnými úniky. Navíc je to dáno absolutním nárůstem počtu úmyslných krádeží osobních údajů.

Navzdory změně ve statistikách lze stále s jistotou říci, že prioritou je boj proti neúmyslným únikům informací, protože je snazší a levnější takovým únikům čelit a ve výsledku je většina incidentů pokryta.

Přitom nedbalost zaměstnanců je podle analýzy výsledků výzkumu společností Infowatch a Perimetrix za roky 2004-2008 na druhém místě mezi nejnebezpečnějšími hrozbami (souhrnné výsledky výzkumu jsou uvedeny na obr. 2) a její relevance stále roste spolu se zdokonalováním softwarových a hardwarových automatizovaných systémů (AS) podniků.

Zavedení systémů, které eliminují možnost negativního vlivu zaměstnance na IS v podnikové AS (včetně monitorovacích programů), poskytnou zaměstnancům IS důkazní základnu a podklady pro vyšetřování incidentu, eliminují hrozbu úniku z nedbalosti, eliminují hrozbu úniku z nedbalosti, zajistí zaměstnancům IS důkazní základnu a podklady pro vyšetřování incidentu. výrazně snížit náhodné úniky, stejně jako poněkud omezit úmyslné. V konečném důsledku by toto opatření mělo umožnit výrazně omezit realizaci hrozeb ze strany insiderů.

Moderní AS pro auditování uživatelských akcí. Výhody a nevýhody

Automatizované systémy pro auditování (monitorování) uživatelských akcí (ASADP) AS, často označované jako monitorovací softwarové produkty, jsou navrženy tak, aby je mohli používat správci zabezpečení AS (služba zabezpečení informací organizace) k zajištění jeho pozorovatelnosti – „vlastnosti počítačového systému, který umožňuje zaznamenat aktivitu uživatele a také jedinečně nastavit identifikátory uživatelů zapojených do určitých událostí, aby se zabránilo porušení bezpečnostních zásad a / nebo zajistila odpovědnost za určité akce.

Vlastnost pozorovatelnosti AS v závislosti na kvalitě její implementace umožňuje do určité míry kontrolovat dodržování její bezpečnostní politiky a stanovených pravidel pro bezpečnou práci na počítačích zaměstnanci organizace.

Použití monitorovacích softwarových produktů, a to i v reálném čase, je navrženo tak, aby:

  • určit (lokalizovat) všechny případy pokusů o neoprávněný přístup k důvěrným informacím s přesným uvedením času a síťového pracoviště, ze kterého byl takový pokus učiněn;
  • zjistit fakta o neoprávněné instalaci softwaru;
  • určit všechny případy neoprávněného použití dalšího hardwaru (například modemy, tiskárny atd.) analýzou skutečností spouštění neoprávněných specializovaných aplikací;
  • určit všechny případy psaní kritických slov a frází na klávesnici, připravit kritické dokumenty, jejichž převod na třetí strany povede k materiálním škodám;
  • řídit přístup k serverům a osobním počítačům;
  • ovládat kontakty při surfování na internetu;
  • provádět výzkum související se stanovením přesnosti, účinnosti a přiměřenosti reakce personálu na vnější vlivy;
  • stanovit vytížení počítačových pracovišť organizace (podle denní doby, podle dne v týdnu atd.) za účelem vědecké organizace práce uživatelů;
  • kontrolovat používání osobních počítačů v mimopracovní době a identifikovat účel tohoto použití;
  • získat potřebné spolehlivé informace, na jejichž základě se rozhodují o úpravě a zlepšení politiky informační bezpečnosti organizace atd.

Implementace těchto funkcí je dosaženo zavedením agentních modulů (senzorů) na pracovních stanicích a AS serverech s dalším stavovým dotazováním nebo přijímáním zpráv z nich. Zprávy se zpracovávají v konzole Security Administrator Console. Některé systémy jsou vybaveny zprostředkujícími servery (konsolidačními body), které zpracovávají své vlastní oblasti a skupiny zabezpečení.

Systémová analýza řešení prezentovaných na trhu (StatWin, Tivoli Configuration Manager, Tivoli Remote Control, OpenView Operations, "Uryadnik/Enterprise Guard", Insider) umožnila identifikovat řadu specifických vlastností, které, pokud se přidají k slibnému ASADP, zvýší své výkonnostní ukazatele ve srovnání se studovanými vzorky.

V obecném případě spolu s poměrně širokou funkčností a velkým balíkem možností lze stávající systémy využít ke sledování aktivit pouze jednotlivých uživatelů AS na základě povinného cyklického dotazování (skenování) všech specifikovaných prvků AS (a , především uživatelé AWP).

Distribuce a rozsah moderních automatizovaných systémů, které zahrnují poměrně velké množství pracovních stanic, technologií a softwaru, přitom značně komplikuje proces monitorování uživatelské práce a každé ze síťových zařízení je schopno generovat tisíce auditních zpráv. , dosahující poměrně velkého množství informací, které vyžadují údržbu obrovských, často duplikujících se databází. Tyto nástroje mimo jiné spotřebovávají značné síťové a hardwarové zdroje, načítají běžný AS. Ukázalo se, že jsou neflexibilní vůči rekonfiguraci hardwaru a softwaru počítačových sítí, nejsou schopni se přizpůsobit neznámým typům narušení a síťovým útokům a účinnost jejich detekce porušení bezpečnostní politiky bude do značné míry záviset na frekvenci skenování AS prvky bezpečnostním správcem.

Jedním ze způsobů, jak zvýšit efektivitu těchto systémů, je přímé zvýšení frekvence skenování. To nevyhnutelně povede ke snížení efektivity plnění těch hlavních úkolů, pro které je tento AS ve skutečnosti určen, a to z důvodu výrazného nárůstu výpočetní zátěže jak na administrátorské pracovní stanici, tak na počítačích uživatelských pracovních stanic. stejně jako s růstem provozu v lokální síti AS.

Kromě problémů spojených s analýzou velkého množství dat mají stávající monitorovací systémy závažná omezení účinnosti a přesnosti přijímaných rozhodnutí způsobená lidským faktorem, který je dán fyzickými možnostmi správce jako člověka. operátor.

Přítomnost možnosti v reálném čase upozorňovat na zjevné neoprávněné akce uživatelů ve stávajících monitorovacích systémech zásadně neřeší problém jako celek, protože umožňuje sledovat pouze dříve známé typy porušení (metoda podpisu) a není schopna poskytnout protiopatření novým typům porušení.

Rozvoj a využívání rozsáhlých metod informační bezpečnosti v systémech informační bezpečnosti, které zajišťují zvýšení úrovně její ochrany díky dodatečnému „výběru“ výpočetního zdroje z AS, snižuje možnosti AS řešit úkoly, pro které je určen, a/nebo zvyšuje jeho náklady. Selhání takového přístupu na rychle se rozvíjejícím trhu IT technologií je zcela zřejmé.

Automatizovaný systém auditu (monitorování) akcí uživatelů. Slibné vlastnosti

Z výsledků analýzy uvedené výše je zřejmá potřeba dodat slibným monitorovacím systémům následující vlastnosti:

  • automatizace, s výjimkou rutinních „ručních“ operací;
  • kombinace centralizace (na základě automatizovaného pracoviště bezpečnostního správce) s ovládáním na úrovni jednotlivých prvků (inteligentních počítačových programů) systému pro sledování práce uživatelů AS;
  • škálovatelnost, která umožňuje zvýšit kapacitu monitorovacích systémů a rozšířit jejich možnosti bez výrazného navýšení výpočetních zdrojů nutných pro jejich efektivní fungování;
  • přizpůsobivost změnám ve složení a vlastnostech jaderných elektráren a také vzniku nových typů porušování bezpečnostní politiky.

Zobecněná struktura ASADP AS, která má uvedené charakteristické rysy, které mohou být implementovány v AS pro různé účely a příslušenství, je znázorněna na obr. 3.

Výše uvedená struktura obsahuje následující hlavní součásti:

  • softwarové komponenty-senzory umístěné na některých prvcích AS (na uživatelských pracovních stanicích, serverech, síťových zařízeních, nástrojích informační bezpečnosti), které slouží k záznamu a zpracování auditních dat v reálném čase;
  • log soubory obsahující přechodné informace o uživatelské zkušenosti;
  • komponenty zpracování dat a rozhodování, které přijímají informace ze senzorů prostřednictvím registračních souborů, analyzují je a rozhodují o dalším postupu (např. o zadávání některých informací do databáze, oznamování úředníků, vytváření zpráv atd.);
  • auditní databáze (DB) obsahující informace o všech evidovaných událostech, na základě kterých jsou vytvářeny reporty a je sledován stav AU po libovolné časové období;
  • komponenty pro generování zpráv a certifikátů na základě informací zaznamenaných v auditní databázi a filtrování záznamů (podle data, podle identifikátorů uživatele, podle pracovní stanice, podle bezpečnostních událostí atd.);
  • komponenta rozhraní bezpečnostního administrátora, která slouží k řízení práce ASADPS s jeho pracovní stanicí, prohlížení a tisk informací, vytváření různých typů dotazů do databáze a generování reportů, což umožňuje v reálném čase sledovat aktuální aktivity uživatelů AS a vyhodnocovat současná úroveň zabezpečení různých zdrojů;
  • doplňkové komponenty, zejména softwarové komponenty pro konfiguraci systému, instalaci a umístění senzorů, archivaci a šifrování informací atd.

Zpracování informací v ASADP AS zahrnuje následující fáze:

  • fixace registračních informací pomocí senzorů;
  • sběr informací z jednotlivých senzorů;
  • výměna informací mezi odpovídajícími agenty systému;
  • zpracování, analýza a korelace registrovaných událostí;
  • prezentace zpracovávaných informací bezpečnostnímu správci v normalizované podobě (ve formě zpráv, diagramů apod.).

Za účelem minimalizace požadovaných výpočetních zdrojů, zvýšení utajení a spolehlivosti systému lze informace ukládat na různé prvky AS.

Na základě úkolu dát ASADP AS zásadně nové (ve srovnání se stávajícími systémy pro auditování práce uživatelů AS) automatizační vlastnosti, kombinaci centralizace a decentralizace, škálovatelnosti a adaptability, je jednou z možných strategií její výstavby moderní technologie inteligentní multiagentní systémy implementované prostřednictvím vývoje integrovaných komunitních agentů různých typů (inteligentní autonomní programy, které implementují určité funkce detekce a potlačení akcí uživatelů, které jsou v rozporu s bezpečnostní politikou) a organizování jejich interakce.