ЗАЩИТА ОТ ВНУТРЕННИХ УГРОЗС OBSERVEIT

Евгений Гончаренко - БАКОТЕК

КТО ТАКИЕ OBSERVEIT?

Главный офис – Бостон, США Разработка – Тель-Авив, Израиль На рынке с 2006 года Более 1200 клиентов в мире $20M инвестиций от Bain Capital

Ведущий разработчик решения по выявлению, мониторингу и защите от внутренних угроз ИБ

1,200+ КЛИЕНТОВ

ТИПЫ УГРОЗ

ПОДРЯДЧИКИПРИВИЛЕГИРОВАННЫЕ ПОЛЬЗОВАТЕЛИ

СОТРУДНИКИ

ВНУТРЕННИЕ УГРОЗЫ

ВНЕШНИЕ УГРОЗЫ

Аудит и соответствие стандартам

Сотрудники__________________________________________

Копирование и передача

информации

С доступом к ключевым

приложениям, люди под

подозрением, на испытательном

Подрядчики__________________________________________

Кража интеллект.

собственности и сбой в работе

систем

Контрактники, поддержка вендоров,

аутсорсинг

Привилег. пользовател

и__________________________________________

Превышение доступа и

утечка данных

Help Desk, администраторы

ТИПЫ УГРОЗ

Внутренний аудит, соответвие внешним стандартам ИБ и внутренним политикам

Колл центры

_____________________________________________________

Удаленный доступ

НСД в HR

Копирование данных

Несанкц. доступ

Облачные сервисы

МОНИТОРИНГ СОТРУДНИКОВПросмотр закрытой информации в приложениях, ошибки пользователя,

использование запрещенных облачных сервисов

МОНИТОРИНГ ПРИВИЛЕГ. ПОЛЬЗОВАТЕЛЕЙ

UNIX / LINUX

_____________________________________________________

Windows ______________________________________________

_______

DBA __________________________________________

___________

Сеть______________________________________________

_______

Help Desk ______________________________________________

_______

Разрабочики

WireShark PuTTY

Toad

RDPWinSCP

Reg EditorCMD PowerShell

DR JavaSSH

Запрещенные изменения / доступ, передача привилегий, доступ к системным УЗ

ADSQL PLUS

МОНИТОРИНГ ПОДРЯДЧИКОВ

Подрядчики Консультанты

Вендоры

Аутсорсинг Внешние разработчик

и ______________________________________________

_______

Поставщики услуг

_____________________________________________________

Несогласованные задачи, аномальная активность, несанкционированные изменения

ПРОБЛЕМЫ ПРИ БОРЬБЕ С ВНУТРЕННИМИ УГРОЗАМИ

“Трудно отличить обычную работу от подозрительных

действий”

3 из 4 профессионалов ИБ

260,000+ подписчиков

ЗАЩИТА ОТ ВНУТРЕННИХ УГРОЗ С OBSERVEIT

Сбор

Выявление

Реакция

• Аналитика поведения пользователя

• Уведомления о подозрительной активнсоти

• Оценка рисков

• Запись экрана• Логирование активности• Тегирование элементов

приложений

• Воспроизведение сессии

• Информирование пользователя

• Блокировка сессии

ПРОСМОТР АКТИВНОСТИ ГЛАЗАМИ ПОЛЬЗОВАТЕЛЯ

ВЫЯВЛЕНИЕ НСД К ДАННЫМ И ПРИЛОЖЕНИЯМ

РАССЛЕДОВАНИЕ ПОДОЗРИТЕЛЬНОЙ АКТИВНОСТИ И НСД

ЛЮДИ

Подрядчики

РИСКИ ПОЛЬЗОВАТЕЛЕЙ

Бизнес пользователи

IT пользователи

КТО ЧТО ДЕЛАЛ?

Identify and Manage User-based Risks

Apps Keystrokes Clicks

Пользователь

СегодняXС тремя

ключевыми особенностями

от ObserveIT

Наше Решение

Рабочий компьютер

Служба безопасности

КТО чем занимается в нашей сети???

‘Admin‘ = Alex

ЗаписьВидеоСессии

2. Создание

видеозаписи1. Идентификация 3. Подробный

анализвидеозаписи

База Данных Аудита

Список программ,

файлов, URL-адресов

Пользователь Смотрите Текстовый лог Alex Видео! Приложений

Сисадмин

Входит как ‘Administrator’

Класс! Теперь я знаю ответ!.Любой из протоколов

14

Может проще нажать кнопку ‘Replay Video’?

Replay Video

Видео запись покажет что именно происходило

Можете объяснить – что тут происходит?

Мониторинг активности пользователей: Windows

«Дневник Сервера» выдает список всех пользовательских сессий, на каждом сервере, для каждого из пользователей

Every session that took place, identified with user name server, client etc.

Why was this user editing the ‘hosts’ file???

Просто нажмите кнопку

воспроизведения, чтобы увидеть что

происходило!

Четкая фиксация каждого запущенного приложения , каждого открытого окна и действия пользователя

В аудит попадают• Облачные приложения• Системные утилиты• Стандартные приложения

Воспроизведение Видео всей деятельности пользователя с любой заданной временной точки

Идентификация пользователя

16

Вход по общей учетной записью “administrator” Уведомление о записи

действий

Подтверждение доступа

Аудит третьих лиц

• Мгновенный отклик– Всегда точно знаете чем занимается третья сторона

•Воздействие на поведение пользователя– Захотите ли вы нарушать скоростной режим, если знаете, что впереди

стоят камеры видеофиксации?

•Прозрачность SLA и подтверждение правильности затрат

– Не будет сомнений в том: что было сделано и в какие сроки

•Нет «тыканья пальцами»– Моментальное нахождение проблемы и ее устранение

17

3rd-Party Vendor Monitoring

ObserveIT Video and Logs in CA UARM

18

ObserveIT Video and Logs in Splunk

19

АНАЛИЗ УГРОЗ

Simply mark all sensitive application elements

V6.0 APPLICATION MARKING TOOL

УВЕДОМЛЕНИЯ ДЕЙСТВИЙ В ПРИЛОЖЕНИЯХ

АНАЛИЗ ПОВЕДЕНЧЕСКОГО РИСКА

New Role

On Watch List

John Smith (Sales Engineer)EMEA Sales

User Context

User Activity

4 weeks ago

+10Connecting after hours

+20Changing sensitive

configuration

3 weeks ago 2 weeks ago 1 week ago

+10Updating Customer

Contact Details

+20Attempt to turn

Firewall OFF

+15Running sensitive

report in SAP

85 +15

+25Viewing VIP

patient records

ОТЧЕТНОСТЬ

ВАРИАНТЫ РАЗВЕРТЫВАНИЯ

Стандартное развертывание: клиенты

Удаленные пользователи

ObserveIT Сервер

Управления Сервер базы данных

Логи метаданных& Видеозахват

Пользователи Данные аудита

ObserveIT Агенты

Локальный вход

Desktop

RDP

SSH

ICA

Internet

Шлюзовое решение (Без агентов)

Корпоративный сервер(нет агентов)

Корпоративные машины(нет агентов)

Сервер Терминаловили Citrix сервер

Published AppsPuTTY

ObserveITАгент

Сессии пользователей Данные аудита

Удаленные пользователи

RDP

VPN

ObserveIT Сервер

управленияСервер базы

данных

Метаданные& Видеозахват

Internet

• Агент устанавливается только на шлюз. Записываются все сессии проходящие через шлюз

Смешанное развертывание

28

Любой корпоративный сервер(нет агентов)

Корпоративные машины(нет агентов)

Чувствительные к нагрузке сервера(агенты установлены)

Сервер Терминаловили Citrix сервер

ObserveIT агентУдаленные и Локальные

пользователи

RDP

VPN

ObserveIT Сервер

управленияСервер базы

данных

Метаданные& Видеозахват

Internet

Прямое подключение

(не через шлюз) ObserveIT агент

• Аудит всех пользователей проходящих через шлюз (вне зависимости от цели ресурса в сети)

• Дополнительно установленные агенты на чувствительных серверах для большей глубины охвата

Сессии пользователей Данные аудита

ЧТО ДАЛЬШЕ? Тестовая версия

http://www.observeit.com/tryitnow Вопросы / пилот / цены

observe@bakotech.com Расписание вебинаров

http://bakotech.ua/event-list/