1

Мониторинг деятельности сотрудников: как не погрязнуть под

лавиной информации

2

Содержание

Проблематика и тенденции

Решение

Архитектура и примеры использования

Итоги

3

Эволюция задач ИБ: от защиты ресурсов к защите информации

До недавнего времени, фокус систем ИБ был на защите ресурсов Периметр организации, ключевые ресурсы Защита от утечек по заданным параметрам

Бизнес-процессы определяют структуру ИТ Мобильные устройства, порталы, VPN,

консультанты, временные работники Контролируемый легитимный доступ к

ресурсам Разграничение доступа

Отсутствие решений, предоставляющих полноценную информацию о внутрисетевой активности Объем и скорость трафика в ядре намного

выше, чем на периметре

Необходимы инструменты анализа и контроля с высокой производительностью

Мониторинг сетевой активности

Нормативные требования

Инсайдеры

Защита конф. информации

Расследования инцидентов

4

Проблематика

Наиболее ценными являются не ИТ-ресурсы, а информация Ноу-хау, перс. данные, финансы и пр. Хранение – в БД, файловых системах, мобильных носителях,

смартфонах...

Обеспечить доступ к информации – для бизнес- процессов

Обеспечить контролируемый авторизованный доступ к информации – задача ИБ Контроль доступа к информации на любых ресурсах В режиме реального времени Автоматизация процесса (мониторинг, реагирование,

расследования)

5

Обеспечение контроля доступа к информации

Запретить доступ к информации – невозможно: необходимы решения для контроля и мониторинга над деятельностью пользователей ресурсов Обеспечить авторизованный доступ Обеспечить защиту информации от нелегитимного

использования Выявить каналы утечек информации

Традиционные решения

МЭ, IPS/IDS, WAF

Права доступа к ресурсам (AD, базы данных и пр.)

DLP – защита от утечек

Системы логирования событий, системы корреляции событий

6

Перегрузка информацией

Ограниченные ресурсы при увеличении объема работы Все большее количество ИТ-ресурсов – увеличение

количества угроз Различные решения мониторинга Х системы управления Х

логи = лавина информации

• Разрозненность систем• Отсутствие общей «картины действий»• Невозможность своевременного выявления

угроз или нелегитимных действий• Человеческий фактор• Высокая стоимость (CAPEX, OPEX)

7

Решение компании PacketMotion - PacketSentry

Обеспечивает мониторинг и контроль над всей активностью пользователей ИТ-ресурсов

Обеспечивает реагирование на события в реальном времени

Снижает нагрузку на ИТ-ресурсы Внедрение без агентского ПО

Снижает нагрузку на отдел ИБ Мониторинг всех ресурсов, отчетность по выбору оператора Автоматизирует процесс реагирования на события Позволяет привязать все действия сотрудников к Active

Directory (или LDAP) Значительно расширяет возможности защиты ресурсов

8

PacketSentry обеспечивает полную прозрачность активности пользователей

Благодаря PacketSentry вы знаете:

кто ваши пользователи или группы;

чем заняты т.н. неизвестные пользователи;

к каким файлам они осуществляют доступ;

какие файлы они отправляют и куда

доступ к каким серверам и ресурсам они осуществляют;

какие приложения они используют;

доступ к какой информации в базе данных они осуществляют;

когда и как они осуществляют доступ к информации.

Интерфейс системы доступен с помощью стандартного браузера!

Анализ сети

Отчеты о соблюдении политики безопасности и нормативных актов

Наличие знания о сетевой активности сотрудников

Защита конфиденциальных данных

Аудиты в сфере безопасности

9

Архитектура

10

Решение PacketMotionСенсоры (probes) обрабатывают трафик в дата-центре, или любых других уровнях сети (ядро, уровень доступа, филиалы) Подключение через SPAN-порт коммутатора (port-mirroring) Поддержка всех основных протоколов От дата-центра до филиала (2Gbps – 100 mbps) Корреляция с учетной записью пользователя (Active Directory or LDAP)

Результат: отчет об активности Пользователя

Manager (система отчетности и реагирования) сохраняет записи в базе данных, с возможностью полноценной индексации для быстрого и эффективного поиска и отчетов Возможность настройки правил реагирования – от уведомлений до активных действий

(сброс соединения, syslog-уведомление, предупреждение по email) Все события сохраняются перманентно Интеграция с AD, LDAP-совместимыми системами

Установка в режиме off-line Типичная установка – около 2х часов Без влияния на трафик и приложения

Probe

PacketSentry Manager

Probe

Servers

Users

Remote Office

11

Внедрение

12

PacketSentry примеры использования: Защита конфиденциальной информации

Общая информация о доступе к ресурсам- Кто, когда, каким образом...

Автоматические уведомления и отчеты при исключениях из общих правил доступа

Уведомления о превышении обычных уровней доступа к информации

Уведомления в реальном режиме или блокировка в случае серьезных нарушений

13

PacketSentry примеры использования: Расследование инцидентов для всех критических бизнес функций

Operations HR Finance Legal

PacketSentry позволяет отделу безопасности или службе IT отвечать на требования бизнес-структур

организацииПример – что делал пользователь Иванов за две недели до увольнения, 6 месяцев назад

14

PacketSentry примеры использования: Контроль над привилегированными пользователями

IT “администратор” копирует информацию с сервера в финансовом отделе

PacketSentry обнаруживает несанкционированный доступ в это же время

Запись информации об инциденте в систему

Уведомление посылается в отдел ИБ

Сгенерирован отчет о других нелегитимных действиях пользователя

Информация предоставлена в соотв. отдел для расследования

15

Мониторинг и контроль Citrix XenApp и Windows Terminal Services клиентов

Проблематика Отсутствие возможностей мониторинга и аудита активности при использовании

Citrix XenApp (Presentation Server) и Windows Terminal Services (WTS) thin client

Решение PacketSentry Citrix/WTSServer Agent – полноценный мониторинг и аудит для среды

Citrix/WTS

Польза Полноценный аудит активности

пользователей Citrix/WTS Без агентского ПО на рабочих

станциях Прозрачность действий

сотрудников, консультантов или аутсорсеров

Мониторинг использования сетевых ресурсов пользователями Citrix/WTS

Соответствие требованиям отчетности в виртуализированной среде

Легкость внедрения, управления и поддержки – снижение операционных расходов

16

PacketSentry SourceSync for WindowsПрозрачность действий (RDP, консоль)

Аудит критической активности при использовании консоли или RDP подключенияПолноценный аудит локальных действий на сервере Login/Logoff Доступ к файловым системам, изменение прав доступа Администрирование локальных уч. Записей Управление процессами приложений Очистка логов, удаление

Отвечает нормативным требованиям Аудит активности ИТ Администратора Полноценное журналирование в БД PacketSentry Решает проблему «мертвых зон» контроля: делает прозрачной

активность зашифрованных RDP и консольных сессийТочная идентификация пользователя: Корреляция RDP UserID с учетной записью реального пользователя рабочей станцииРаботает без агентского ПО – решение подключается к серверам и анализирует логи в реальном времени!

17

Итоги - преимущества использования PacketSentryЕдиный инструмент, обеспечивающий мониторинг и контроль Базы данных, Windows File Sharing, Web, SMTP, FTP, Sharepoint, NFS…. возможность приобрести, эксплуатировать и обеспечивать поддержку меньшего

количества решений

Облегчает проблему, связанную с перегрузкой данными и их анализом Корелляция всех учётных данных пользователей, приложений и событий составление отчётов по политикам и «белым спискам» с реакцией на исключения быстрый и легкий поиск способствует эффективным проверкам в сфере безопасности Интеграция с системами SIEM (Arcsight, Cisco MARS)

Единое решение для отслеживания деятельности в области выполнения и нарушения нормативных требований может быть применён в целях контроля соответствия нормативным требованиям, а также

даёт ряд преимуществ в сфере общего обеспечения безопасности (например, контроль доступа администратора и третьей стороны, мониторинг транзакций, контроль за изменениями конфигураций и пр.)

PCI-DSS

Очень низкие расходы на интеграцию отсутствие агентских приложений на клиентских ПК и серверах, отсутствие

интегрированных в разрыв устройств Нет необходимости в активной работе с группой IT Установка и настройка обычно занимает несколько часов

18

PacketMotion – ведущий разработчик решений мониторинга активности пользователей Предоставление полноценной информации и контроля внутрисетевой активности

пользователей Штаб-квартира в San Jose, CA, USA; основана в 2004 г. На рынке РФ с 2008 г. Дистрибутор в РФ – SafeLine, ГК "Информзащита"

Основной продукт – PacketSentry: Аппаратно-программный комплекс для анализа активности

пользователей IT-ресурсов 4 Intel quad-core процессора в устройстве для обработки мульти-гигабитного

трафика в онлайн-режиме Интегрированная БД Oracle Enterprise для устойчивости, доступности и

масштабированияЧастная компания; основные инвесторы - Intel Capital, Mohr Davidow Ventures, ONSET Ventures

Применение в разных сферах: Финансы, госсектор, ТЭК, промышленность, медицина

PacketMotion – о компании

19

Спасибо за вниманиеЮлий Демурджян

jdemurjian@packetmotion.com

+7 495 544 7556

www.packetmotion.com

sales_ru@packetmotion.com

ООО «СОВТЕЛ»

Сергей Шайдуров

+7 495 788 88 98

www.sovtel.ru

sns@sovtel.ru