Внутренняя угроза: выявление и защита с помощью observeit
TRANSCRIPT
ЗАЩИТА ОТ ВНУТРЕННИХ УГРОЗС OBSERVEIT
Евгений Гончаренко - БАКОТЕК
КТО ТАКИЕ OBSERVEIT?
Главный офис – Бостон, США Разработка – Тель-Авив, Израиль На рынке с 2006 года Более 1200 клиентов в мире $20M инвестиций от Bain Capital
Ведущий разработчик решения по выявлению, мониторингу и защите от внутренних угроз ИБ
1,200+ КЛИЕНТОВ
ТИПЫ УГРОЗ
ПОДРЯДЧИКИПРИВИЛЕГИРОВАННЫЕ ПОЛЬЗОВАТЕЛИ
СОТРУДНИКИ
ВНУТРЕННИЕ УГРОЗЫ
ВНЕШНИЕ УГРОЗЫ
Аудит и соответствие стандартам
Сотрудники__________________________________________
Копирование и передача
информации
С доступом к ключевым
приложениям, люди под
подозрением, на испытательном
Подрядчики__________________________________________
Кража интеллект.
собственности и сбой в работе
систем
Контрактники, поддержка вендоров,
аутсорсинг
Привилег. пользовател
и__________________________________________
Превышение доступа и
утечка данных
Help Desk, администраторы
ТИПЫ УГРОЗ
Внутренний аудит, соответвие внешним стандартам ИБ и внутренним политикам
Колл центры
_____________________________________________________
Удаленный доступ
НСД в HR
Копирование данных
Несанкц. доступ
Облачные сервисы
МОНИТОРИНГ СОТРУДНИКОВПросмотр закрытой информации в приложениях, ошибки пользователя,
использование запрещенных облачных сервисов
МОНИТОРИНГ ПРИВИЛЕГ. ПОЛЬЗОВАТЕЛЕЙ
UNIX / LINUX
_____________________________________________________
Windows ______________________________________________
_______
DBA __________________________________________
___________
Сеть______________________________________________
_______
Help Desk ______________________________________________
_______
Разрабочики
WireShark PuTTY
Toad
RDPWinSCP
Reg EditorCMD PowerShell
DR JavaSSH
Запрещенные изменения / доступ, передача привилегий, доступ к системным УЗ
ADSQL PLUS
МОНИТОРИНГ ПОДРЯДЧИКОВ
Подрядчики Консультанты
Вендоры
Аутсорсинг Внешние разработчик
и ______________________________________________
_______
Поставщики услуг
_____________________________________________________
Несогласованные задачи, аномальная активность, несанкционированные изменения
ПРОБЛЕМЫ ПРИ БОРЬБЕ С ВНУТРЕННИМИ УГРОЗАМИ
“Трудно отличить обычную работу от подозрительных
действий”
3 из 4 профессионалов ИБ
260,000+ подписчиков
ЗАЩИТА ОТ ВНУТРЕННИХ УГРОЗ С OBSERVEIT
Сбор
Выявление
Реакция
• Аналитика поведения пользователя
• Уведомления о подозрительной активнсоти
• Оценка рисков
• Запись экрана• Логирование активности• Тегирование элементов
приложений
• Воспроизведение сессии
• Информирование пользователя
• Блокировка сессии
ПРОСМОТР АКТИВНОСТИ ГЛАЗАМИ ПОЛЬЗОВАТЕЛЯ
ВЫЯВЛЕНИЕ НСД К ДАННЫМ И ПРИЛОЖЕНИЯМ
РАССЛЕДОВАНИЕ ПОДОЗРИТЕЛЬНОЙ АКТИВНОСТИ И НСД
ЛЮДИ
Подрядчики
РИСКИ ПОЛЬЗОВАТЕЛЕЙ
Бизнес пользователи
IT пользователи
КТО ЧТО ДЕЛАЛ?
Identify and Manage User-based Risks
Apps Keystrokes Clicks
Пользователь
СегодняXС тремя
ключевыми особенностями
от ObserveIT
Наше Решение
Рабочий компьютер
Служба безопасности
КТО чем занимается в нашей сети???
‘Admin‘ = Alex
ЗаписьВидеоСессии
2. Создание
видеозаписи1. Идентификация 3. Подробный
анализвидеозаписи
База Данных Аудита
Список программ,
файлов, URL-адресов
Пользователь Смотрите Текстовый лог Alex Видео! Приложений
Сисадмин
Входит как ‘Administrator’
Класс! Теперь я знаю ответ!.Любой из протоколов
14
Может проще нажать кнопку ‘Replay Video’?
Replay Video
Видео запись покажет что именно происходило
Можете объяснить – что тут происходит?
Мониторинг активности пользователей: Windows
«Дневник Сервера» выдает список всех пользовательских сессий, на каждом сервере, для каждого из пользователей
Every session that took place, identified with user name server, client etc.
Why was this user editing the ‘hosts’ file???
Просто нажмите кнопку
воспроизведения, чтобы увидеть что
происходило!
Четкая фиксация каждого запущенного приложения , каждого открытого окна и действия пользователя
В аудит попадают• Облачные приложения• Системные утилиты• Стандартные приложения
Воспроизведение Видео всей деятельности пользователя с любой заданной временной точки
Идентификация пользователя
16
Вход по общей учетной записью “administrator” Уведомление о записи
действий
Подтверждение доступа
Аудит третьих лиц
• Мгновенный отклик– Всегда точно знаете чем занимается третья сторона
•Воздействие на поведение пользователя– Захотите ли вы нарушать скоростной режим, если знаете, что впереди
стоят камеры видеофиксации?
•Прозрачность SLA и подтверждение правильности затрат
– Не будет сомнений в том: что было сделано и в какие сроки
•Нет «тыканья пальцами»– Моментальное нахождение проблемы и ее устранение
17
3rd-Party Vendor Monitoring
ObserveIT Video and Logs in CA UARM
18
ObserveIT Video and Logs in Splunk
19
АНАЛИЗ УГРОЗ
Simply mark all sensitive application elements
V6.0 APPLICATION MARKING TOOL
УВЕДОМЛЕНИЯ ДЕЙСТВИЙ В ПРИЛОЖЕНИЯХ
АНАЛИЗ ПОВЕДЕНЧЕСКОГО РИСКА
New Role
On Watch List
John Smith (Sales Engineer)EMEA Sales
User Context
User Activity
4 weeks ago
+10Connecting after hours
+20Changing sensitive
configuration
3 weeks ago 2 weeks ago 1 week ago
+10Updating Customer
Contact Details
+20Attempt to turn
Firewall OFF
+15Running sensitive
report in SAP
85 +15
+25Viewing VIP
patient records
ОТЧЕТНОСТЬ
ВАРИАНТЫ РАЗВЕРТЫВАНИЯ
Стандартное развертывание: клиенты
Удаленные пользователи
ObserveIT Сервер
Управления Сервер базы данных
Логи метаданных& Видеозахват
Пользователи Данные аудита
ObserveIT Агенты
Локальный вход
Desktop
RDP
SSH
ICA
Internet
Шлюзовое решение (Без агентов)
Корпоративный сервер(нет агентов)
Корпоративные машины(нет агентов)
Сервер Терминаловили Citrix сервер
Published AppsPuTTY
ObserveITАгент
Сессии пользователей Данные аудита
Удаленные пользователи
RDP
VPN
ObserveIT Сервер
управленияСервер базы
данных
Метаданные& Видеозахват
Internet
• Агент устанавливается только на шлюз. Записываются все сессии проходящие через шлюз
Смешанное развертывание
28
Любой корпоративный сервер(нет агентов)
Корпоративные машины(нет агентов)
Чувствительные к нагрузке сервера(агенты установлены)
Сервер Терминаловили Citrix сервер
ObserveIT агентУдаленные и Локальные
пользователи
RDP
VPN
ObserveIT Сервер
управленияСервер базы
данных
Метаданные& Видеозахват
Internet
Прямое подключение
(не через шлюз) ObserveIT агент
• Аудит всех пользователей проходящих через шлюз (вне зависимости от цели ресурса в сети)
• Дополнительно установленные агенты на чувствительных серверах для большей глубины охвата
Сессии пользователей Данные аудита
ЧТО ДАЛЬШЕ? Тестовая версия
http://www.observeit.com/tryitnow Вопросы / пилот / цены
[email protected] Расписание вебинаров
http://bakotech.ua/event-list/