Monitorowanie aktywności użytkowników
W dziedzinie bezpieczeństwa informacji monitorowanie aktywności użytkowników (UAM) to monitorowanie i rejestrowanie działań użytkowników . UAM rejestruje działania użytkownika, w tym korzystanie z aplikacji, otwieranie okien, wykonywanie poleceń systemowych, klikanie pól wyboru, wprowadzanie/edytowanie tekstu, odwiedzane adresy URL i prawie każde inne zdarzenie na ekranie w celu ochrony danych poprzez zapewnienie, że pracownicy i kontrahenci pozostają w przydzielonych im zadań i nie stanowią zagrożenia dla organizacji.
Oprogramowanie do monitorowania aktywności użytkownika może odtwarzać aktywność użytkownika przypominającą wideo i przetwarzać wideo w dzienniki aktywności użytkownika, które przechowują krok po kroku zapisy działań użytkownika, które można wyszukiwać i analizować w celu zbadania działań wykraczających poza zakres.
Kwestie
Zapotrzebowanie na UAM wzrosło ze względu na wzrost liczby incydentów związanych z bezpieczeństwem, które bezpośrednio lub pośrednio dotyczą poświadczeń użytkownika, ujawnienia informacji firmowych lub poufnych plików. W 2014 roku w Stanach Zjednoczonych doszło do 761 naruszeń danych , w wyniku których ujawniono ponad 83 miliony rekordów klientów i pracowników. Ponieważ 76% tych naruszeń wynika ze słabych lub wykorzystywanych danych uwierzytelniających użytkowników, UAM stał się istotnym elementem infrastruktury IT . Główne populacje użytkowników, wobec których UAM ma na celu ograniczenie ryzyka, to:
wykonawcy
Kontrahenci są wykorzystywani w organizacjach do wykonywania zadań operacyjnych w zakresie technologii informatycznych . Zdalni dostawcy, którzy mają dostęp do danych firmowych, stanowią ryzyko. Nawet bez złych intencji, zewnętrzny użytkownik, taki jak wykonawca, jest głównym odpowiedzialnym za bezpieczeństwo.
Użytkownicy
70% zwykłych użytkowników biznesowych przyznało, że ma dostęp do większej ilości danych niż to konieczne. Konta uogólnione zapewniają zwykłym użytkownikom biznesowym dostęp do poufnych danych firmowych. Dzięki temu zagrożenia wewnętrzne stają się rzeczywistością dla każdej firmy korzystającej z uogólnionych kont.
użytkowników IT
Konta administratorów są ściśle monitorowane ze względu na wysoki profil ich dostępu. Jednak obecne narzędzia dzienników mogą generować „zmęczenie logami” na tych kontach administratorów. Zmęczenie logami to przytłaczające uczucie, gdy próbujesz obsłużyć ogromną liczbę logów na koncie w wyniku zbyt wielu działań użytkownika. Szkodliwe działania użytkowników można łatwo przeoczyć, ponieważ każdego dnia kompilowane są tysiące działań użytkowników.
Ogólne ryzyko
Zgodnie z raportem Verizon Data Breach Incident Report: „Pierwszym krokiem w ochronie danych jest wiedza, gdzie one się znajdują i kto ma do nich dostęp”. W dzisiejszym środowisku IT „brakuje nadzoru i kontroli nad tym, w jaki sposób i kto spośród pracowników ma dostęp do poufnych, wrażliwych informacji”. Ta pozorna luka jest jednym z wielu czynników, które spowodowały znaczną liczbę problemów z bezpieczeństwem w firmach.
składniki
Większość firm korzystających z UAM zwykle dzieli niezbędne aspekty UAM na trzy główne komponenty.
Kryminalistyka wizualna
Visual Forensics polega na tworzeniu wizualnego podsumowania potencjalnie niebezpiecznych działań użytkowników. Każde działanie użytkownika jest rejestrowane i rejestrowane. Po zakończeniu sesji użytkownika UAM tworzy zarówno zapis pisemny, jak i zapis wizualny, niezależnie od tego, czy są to zrzuty ekranu, czy wideo, pokazujące dokładnie, co zrobił użytkownik. Ten pisemny zapis różni się od SIEM lub narzędzia do rejestrowania, ponieważ przechwytuje dane na poziomie użytkownika, a nie na poziomie systemu — dostarczając proste dzienniki w języku angielskim, a nie SysLogs (pierwotnie utworzone do celów debugowania). Te dzienniki tekstowe są łączone z odpowiednimi zrzutami ekranu lub podsumowaniami wideo. Korzystając z tych odpowiednich dzienników i obrazów, wizualny komponent UAM do analizy śledczej umożliwia organizacjom wyszukiwanie dokładnych działań użytkownika w przypadku incydentu bezpieczeństwa. W przypadku zagrożenia bezpieczeństwa, np. naruszenia bezpieczeństwa danych, Visual Forensics służy do dokładnego pokazania, co zrobił użytkownik i co doprowadziło do incydentu. Visual Forensics można również wykorzystać do dostarczenia dowodów każdemu organy ścigania , które prowadzą dochodzenie w sprawie włamania.
Alerty o aktywności użytkownika
Powiadamianie o aktywności użytkownika służy do powiadamiania osoby obsługującej rozwiązanie UAM o wpadce lub błędzie dotyczącym informacji firmowych. Alerty w czasie rzeczywistym umożliwiają powiadamianie administratora konsoli o wystąpieniu błędu lub włamania. Alerty są agregowane dla każdego użytkownika, aby zapewnić profil ryzyka użytkownika i ranking zagrożeń. Ostrzeganie można dostosować na podstawie kombinacji użytkowników, działań, czasu, lokalizacji i metody dostępu. Alerty mogą być wyzwalane po prostu przez otwarcie aplikacji lub wprowadzenie określonego słowa kluczowego lub adresu internetowego. Alerty można również dostosowywać na podstawie działań użytkownika w aplikacji, takich jak usuwanie lub tworzenie użytkownika oraz wykonywanie określonych poleceń.
Analityka zachowań użytkowników
Analityka zachowań użytkowników dodaje dodatkową warstwę ochrony, która pomoże specjalistom ds. bezpieczeństwa mieć oko na najsłabsze ogniwo w łańcuchu. Monitorując zachowanie użytkowników za pomocą dedykowanego oprogramowania, które dokładnie analizuje, co użytkownik robi podczas sesji, specjaliści ds. -risk użytkownik robi coś, co można zinterpretować jako działanie wysokiego ryzyka, takie jak eksportowanie poufnych informacji o klientach, wykonywanie dużych do bazy danych , które wykraczają poza zakres ich roli, uzyskiwanie dostępu do zasobów, do których nie powinien mieć dostępu i tak dalej.
Cechy
Przechwytywanie aktywności
UAM gromadzi dane użytkowników poprzez rejestrowanie aktywności każdego użytkownika w aplikacjach, na stronach internetowych oraz w wewnętrznych systemach i bazach danych. UAM obejmuje wszystkie poziomy dostępu i strategie dostępu (RDP, SSH, Telnet, ICA, bezpośrednie logowanie do konsoli itp.). Niektóre rozwiązania UAM łączą się ze środowiskami Citrix i VMware.
Dzienniki aktywności użytkownika
Rozwiązania UAM dokonują transkrypcji wszystkich udokumentowanych działań do dzienników aktywności użytkowników. Dzienniki UAM są zgodne z odtwarzaniem wideo równoczesnych działań. Niektóre przykłady rejestrowanych elementów to nazwy uruchomionych aplikacji, tytuły otwieranych stron, adresy URL, tekst (wpisany, edytowany, skopiowany/wklejony), polecenia i skrypty.
Odtwarzanie podobne do wideo
UAM wykorzystuje technologię nagrywania ekranu, która rejestruje indywidualne działania użytkownika. Każde odtworzenie przypominające wideo jest zapisywane i towarzyszy mu dziennik aktywności użytkownika. Odtwarzanie różni się od tradycyjnego odtwarzania wideo do skrobania ekranu , które polega na kompilacji kolejnych zrzutów ekranu w powtórkę przypominającą wideo . Dzienniki aktywności użytkownika w połączeniu z odtwarzaniem przypominającym wideo zapewniają przeszukiwalne podsumowanie wszystkich działań użytkownika. Umożliwia to firmom nie tylko odczytywanie, ale także dokładne przeglądanie tego, co dany użytkownik zrobił w systemach firmowych.
Prywatność
To, czy monitorowanie aktywności użytkownika zagroziłoby czyjejś prywatności, zależy od tego, jak prywatność jest definiowana w ramach różnych teorii. Podczas gdy w „teorii kontroli” prywatność jest definiowana jako poziomy kontroli, jaką dana osoba ma nad swoimi danymi osobowymi, „teoria nieograniczonego dostępu” definiuje prywatność jako dostępność danych osobowych danej osoby dla innych. Posługując się teorią kontroli, niektórzy twierdzą, że system monitoringu zmniejszył kontrolę ludzi nad informacjami, a zatem niezależnie od tego, czy system zostanie faktycznie oddany do użytku, doprowadzi do utraty prywatności.
Audyt i zgodność
Wiele przepisów wymaga określonego poziomu UAM, podczas gdy inne wymagają jedynie dzienników aktywności do celów audytu. UAM spełnia szereg zgodności z przepisami ( HIPAA , ISO 27001, SOX, PCI itp....). UAM jest zwykle wdrażany do celów audytów i zapewniania zgodności, aby służyć firmom jako sposób na ułatwienie i zwiększenie wydajności audytów. Żądanie informacji z audytu dotyczące informacji o aktywności użytkownika można spełnić za pomocą UAM. W przeciwieństwie do zwykłego dziennika lub narzędzi SIEM, UAM może pomóc przyspieszyć proces audytu, budując kontrole niezbędne do poruszania się w coraz bardziej złożonym środowisku regulacyjnym. Możliwość odtwarzania działań użytkownika zapewnia pomoc w określaniu wpływu na informacje regulowane podczas reagowania na incydenty bezpieczeństwa.
Sprzęt a oprogramowanie
UAM ma dwa modele wdrażania. Podejścia do monitorowania oparte na urządzeniach, które wykorzystują dedykowany sprzęt do monitorowania poprzez analizę ruchu sieciowego. Podejścia do monitorowania oparte na oprogramowaniu, które wykorzystują agentów oprogramowania zainstalowanych w węzłach, do których mają dostęp użytkownicy.
Częściej oprogramowanie wymaga instalacji agenta w systemach (serwerach, komputerach stacjonarnych, serwerach VDI, serwerach terminali), w których użytkownicy mają być monitorowani. Agenci ci przechwytują aktywność użytkownika i przesyłają informacje z powrotem do konsoli centralnej w celu ich przechowywania i analizy. Rozwiązania te można szybko wdrażać etapami, kierując najpierw do użytkowników i systemów wysokiego ryzyka z poufnymi informacjami, co pozwala organizacji szybko rozpocząć działalność i rozszerzyć ją na nowe populacje użytkowników zgodnie z wymaganiami biznesowymi.