В области информационной безопасности , пользователь мониторинга активности (УАМ) является мониторинг и запись действий пользователя. UAM фиксирует действия пользователя, включая использование приложений, открытие окон, выполнение системных команд, нажатие флажков, ввод / редактирование текста, посещенные URL-адреса и почти все другие события на экране для защиты данных, гарантируя, что сотрудники и подрядчики остаются в пределах назначенных им задач и не представляет риска для организации.
Программное обеспечение для мониторинга активности пользователей может воспроизводить действия пользователя в виде видео и обрабатывать видео в журналах активности пользователей, которые ведут пошаговые записи действий пользователя, которые можно искать и анализировать для расследования любых действий, выходящих за рамки. [1]
вопросы
Потребность в UAM возросла из-за увеличения количества инцидентов безопасности, которые прямо или косвенно связаны с учетными данными пользователей, раскрывают информацию компании или конфиденциальные файлы. В 2014 году в США произошла 761 утечка данных, в результате чего было обнаружено более 83 миллионов записей о клиентах и сотрудниках. [2] Поскольку 76% этих нарушений являются результатом слабых или использованных учетных данных пользователей, UAM стал важным компонентом ИТ-инфраструктуры . [3] Основные группы пользователей, с которыми UAM стремится снизить риски:
Подрядчики
Подрядчики используются в организациях для выполнения операционных задач в области информационных технологий . Удаленные поставщики, имеющие доступ к данным компании, представляют собой риски. Даже при отсутствии злого умысла внешний пользователь, например подрядчик, является серьезной угрозой безопасности.
Пользователи
70% обычных бизнес-пользователей признали, что имеют доступ к большему количеству данных, чем необходимо. Обобщенные учетные записи предоставляют обычным бизнес-пользователям доступ к секретным данным компании. [4] Это делает внутренние угрозы реальностью для любого бизнеса, использующего универсальные учетные записи.
ИТ-пользователи
Учетные записи администраторов подвергаются строгому контролю из-за высокопрофессионального доступа к ним. Однако текущие инструменты ведения журнала могут вызвать «усталость от журнала» для этих учетных записей администратора. Усталость от журналов - это непреодолимое ощущение попытки обработать огромное количество журналов в учетной записи в результате слишком большого количества действий пользователя. Вредные действия пользователя можно легко упустить из виду, ведь каждый день компилируются тысячи действий пользователя.
Общий риск
Согласно отчету Verizon Data Breach Incident Report, «Первый шаг к защите ваших данных - это знать, где они находятся и у кого есть к ним доступ». [2] В сегодняшней ИТ-среде «отсутствует надзор и контроль над тем, как и кто из сотрудников имеет доступ к конфиденциальной, конфиденциальной информации». [5] Этот очевидный пробел является одним из многих факторов, которые привели к возникновению большого количества проблем с безопасностью для компаний.
Составные части
Большинство компаний, использующих UAM, обычно разделяют необходимые аспекты UAM на три основных компонента.
Визуальная экспертиза
Визуальная криминалистика включает в себя создание визуальной сводки потенциально опасной активности пользователя. Каждое действие пользователя регистрируется и записывается. После завершения сеанса пользователя UAM создает как письменную, так и визуальную запись, будь то снимки экрана или видео о том, что именно сделал пользователь. Эта письменная запись отличается от записи SIEM или инструмента ведения журнала, поскольку она захватывает данные на уровне пользователя, а не на системном уровне - обеспечивая простую английскую запись журналов, а не SysLogs (изначально созданных для целей отладки). Эти текстовые журналы сопряжены с соответствующими снимками экрана или видео-сводками. Используя эти соответствующие журналы и изображения, компонент визуальной криминалистики UAM позволяет организациям искать точные действия пользователя в случае нарушения безопасности. В случае угрозы безопасности, то есть утечки данных, Visual Forensics используется, чтобы точно показать, что сделал пользователь, и все, что привело к инциденту. Визуальная криминалистика также может использоваться для предоставления доказательств любым правоохранительным органам, которые расследуют вторжение.
Оповещение об активности пользователей
Оповещение об активности пользователей служит для уведомления тех, кто использует решение UAM, о происшествии или ошибке в отношении информации о компании. Предупреждения в режиме реального времени позволяют администратору консоли получать уведомления в момент возникновения ошибки или вторжения. Оповещения объединяются для каждого пользователя, чтобы предоставить профиль риска для пользователя и рейтинг угроз. Оповещение настраивается на основе сочетания пользователей, действий, времени, местоположения и метода доступа. Оповещения могут запускаться просто, например, при открытии приложения или вводе определенного ключевого слова или веб-адреса. Оповещения также можно настроить на основе действий пользователя в приложении, таких как удаление или создание пользователя и выполнение определенных команд.
Аналитика поведения пользователей
Аналитика поведения пользователей добавляет дополнительный уровень защиты, который поможет специалистам по безопасности следить за самым слабым звеном в цепочке. Наблюдая за поведением пользователей с помощью специального программного обеспечения, которое точно анализирует, что пользователь делает во время сеанса, специалисты по безопасности могут привязать фактор риска к конкретным пользователям и / или группам и немедленно получать предупреждение с помощью красного флажка, когда высокий -risk пользователь делает что-то, что может быть интерпретировано как действие с высоким риском, такое как экспорт конфиденциальной информации о клиентах, выполнение больших запросов к базе данных, выходящих за рамки их роли, доступ к ресурсам, к которым они не должны получать доступ, и т. д.
Функции
Захват активности
UAM собирает пользовательские данные, записывая активность каждого пользователя в приложениях, веб-страницах, внутренних системах и базах данных. UAM охватывает все уровни доступа и стратегии доступа (RDP, SSH, Telnet, ICA, прямой вход в консоль и т. Д.). Некоторые решения UAM сочетаются со средами Citrix и VMware.
Журналы активности пользователей
Решения UAM записывают все задокументированные действия в журналы действий пользователей. Журналы UAM совпадают с воспроизведением видео одновременных действий. Некоторыми примерами регистрируемых элементов являются имена запущенных приложений, заголовки открытых страниц, URL-адреса, текст (набранный, отредактированный, скопированный / вставленный), команды и сценарии.
Видео как воспроизведение
UAM использует технологию записи экрана, которая фиксирует действия отдельных пользователей. Каждое воспроизведение, подобное видео, сохраняется и сопровождается журналом активности пользователя. Воспроизведение отличается от традиционного воспроизведения видео до соскабливания экрана , которое представляет собой компиляцию последовательных снимков экрана в видеоподобное воспроизведение . Журналы активности пользователей в сочетании с воспроизведением видео обеспечивают доступную для поиска сводку всех действий пользователя. Это позволяет компаниям не только читать, но и точно видеть, что конкретный пользователь делал в системах компании.
Конфиденциальность
Некоторые компании и сотрудники подняли вопрос о конфиденциальности пользователей UAM. [ какой? ] Они считают, что сотрудники будут сопротивляться идее контроля за их действиями, даже если это делается в целях безопасности. В действительности большинство стратегий UAM решают эти проблемы.
Хотя можно отслеживать каждое действие пользователя, цель систем UAM не в том, чтобы отслеживать историю просмотров сотрудников . В решениях UAM используется запись активности на основе политик, которая позволяет администратору консоли точно программировать, что отслеживается, а что не отслеживается.
Аудит и комплаенс
Многие правила требуют определенного уровня UAM, в то время как другие требуют журналов активности только для целей аудита. UAM соответствует множеству нормативных требований ( HIPAA , ISO 27001, SOX, PCI и т. Д.). UAM обычно внедряется в целях аудита и соответствия, чтобы компании могли упростить и повысить эффективность своих аудитов. Запрос на аудиторскую информацию для информации об активности пользователей может быть удовлетворен с помощью UAM. В отличие от обычного журнала или инструментов SIEM, UAM может помочь ускорить процесс аудита, создав элементы управления, необходимые для навигации во все более сложной нормативной среде. Возможность воспроизведения действий пользователя обеспечивает поддержку для определения воздействия на регулируемую информацию во время реагирования на инциденты безопасности.
Устройство против программного обеспечения
UAM имеет две модели развертывания. Подходы к мониторингу на основе устройств, в которых используется специальное оборудование для мониторинга, отслеживая сетевой трафик. Программные подходы к мониторингу, в которых используются программные агенты, установленные на узлах, к которым имеют доступ пользователи.
Чаще всего программное обеспечение требует установки агента в системах (серверах, настольных компьютерах, серверах VDI, терминальных серверах), за пользователями которых вы хотите наблюдать. Эти агенты фиксируют действия пользователей и отправляют информацию на центральную консоль для хранения и анализа. Эти решения можно быстро развернуть поэтапно, ориентируясь в первую очередь на пользователей и системы с высокой степенью риска с конфиденциальной информацией, что позволяет организации быстро приступить к работе и расширяться для новых групп пользователей по мере того, как этого требует бизнес.
Рекомендации
- ^ "Что такое программное обеспечение для мониторинга активности пользователей?" . ActivTrak . 17 февраля 2019 . Проверено 5 марта 2019 .
- ^ а б «Отчеты об утечках данных» (PDF) . Центр ресурсов по краже личных данных . 31 декабря 2014 . Проверено 19 января 2015 .
- ^ «Отчет о расследовании утечки данных за 2014 год» . Verizon . 14 апреля 2014 . Проверено 19 января 2015 .
- ^ «Виртуализация: раскрытие нематериального предприятия» . Партнеры по управлению предприятием . 14 августа 2014 . Проверено 19 января 2015 .
- ^ "Корпоративные данные: защищенный актив или бомба замедленного действия?" (PDF) . Институт Понемон . Декабрь 2014 . Проверено 19 января 2015 .