Мониторинг деятельности сотрудников: как не погрязнуть под лавиной информации 1 Содержание Проблематика и тенденции Решение Архитектура и примеры использования Итоги 2 Эволюция задач ИБ: от защиты ресурсов к защите информации До недавнего времени, фокус систем ИБ был на защите ресурсов Периметр организации, ключевые ресурсы Защита от утечек по заданным параметрам Бизнес-процессы определяют структуру ИТ Мобильные устройства, порталы, VPN, консультанты, временные работники Контролируемый легитимный доступ к ресурсам Разграничение доступа Отсутствие решений, предоставляющих полноценную информацию о внутрисетевой активности Объем и скорость трафика в ядре намного выше, чем на периметре Необходимы инструменты анализа и контроля с высокой производительностью 3 Инсайдеры Защита конф. информации Нормативные требования Расследования инцидентов Мониторинг сетевой активности Проблематика Наиболее ценными являются не ИТ-ресурсы, а информация Ноу-хау, перс. данные, финансы и пр. Хранение – в БД, файловых системах, мобильных носителях, смартфонах... Обеспечить доступ к информации – для бизнеспроцессов Обеспечить контролируемый авторизованный доступ к информации – задача ИБ Контроль доступа к информации на любых ресурсах В режиме реального времени Автоматизация процесса (мониторинг, реагирование, расследования) 4 Обеспечение контроля доступа к информации Запретить доступ к информации – невозможно: необходимы решения для контроля и мониторинга над деятельностью пользователей ресурсов Обеспечить авторизованный доступ Обеспечить защиту информации от нелегитимного использования Выявить каналы утечек информации Традиционные решения МЭ, IPS/IDS, WAF Права доступа к ресурсам (AD, базы данных и пр.) DLP – защита от утечек Системы логирования событий, системы корреляции событий 5 Перегрузка информацией Ограниченные ресурсы при увеличении объема работы Все большее количество ИТ-ресурсов – увеличение количества угроз Различные решения мониторинга Х системы управления Х логи = лавина информации • Разрозненность систем • Отсутствие общей «картины действий» • Невозможность своевременного выявления угроз или нелегитимных действий • Человеческий фактор • Высокая стоимость (CAPEX, OPEX) 6 Решение компании PacketMotion PacketSentry Обеспечивает мониторинг и контроль над всей активностью пользователей ИТ-ресурсов Обеспечивает реагирование на события в реальном времени Снижает нагрузку на ИТ-ресурсы Внедрение без агентского ПО Снижает нагрузку на отдел ИБ Мониторинг всех ресурсов, отчетность по выбору оператора Автоматизирует процесс реагирования на события Позволяет привязать все действия сотрудников к Active Directory (или LDAP) Значительно расширяет возможности защиты ресурсов 7 PacketSentry обеспечивает активности пользователей полную Благодаря PacketSentry вы знаете: прозрачность Наличие знания о сетевой активности сотрудников кто ваши пользователи или группы; чем заняты пользователи; т.н. неизвестные к каким файлам они осуществляют доступ; Защита конфиденциальных данных Отчеты о соблюдении политики безопасности и нормативных актов какие файлы они отправляют и куда доступ к каким серверам и ресурсам они осуществляют; какие приложения они используют; доступ к какой информации в базе данных они осуществляют; когда и как они осуществляют доступ к информации. Интерфейс системы доступен с помощью стандартного браузера! 8 Аудиты в сфере безопасности Анализ сети Архитектура 9 Решение PacketMotion Сенсоры (probes) обрабатывают трафик в дата-центре, или любых других уровнях сети (ядро, уровень доступа, филиалы) Подключение через SPAN-порт коммутатора (port-mirroring) Поддержка всех основных протоколов От дата-центра до филиала (2Gbps – 100 mbps) Корреляция с учетной записью пользователя (Active Directory or LDAP) Результат: отчет об активности Пользователя Manager (система отчетности и реагирования) сохраняет записи в базе данных, с возможностью полноценной индексации для быстрого и эффективного поиска и отчетов Возможность настройки правил реагирования – от уведомлений до активных действий (сброс соединения, syslog-уведомление, предупреждение по email) Remote Все события сохраняются перманентно Office Интеграция с AD, LDAP-совместимыми системами Servers Установка в режиме off-line Типичная установка – около 2х часов Без влияния на трафик и приложения Probe Probe PacketSentry Manager 10 Users Внедрение 11 PacketSentry примеры использования: Защита конфиденциальной информации Общая информация о доступе к ресурсам - Кто, когда, каким образом... 12 Автоматичес кие уведомления и отчеты при исключениях из общих правил доступа Уведомления о превышении обычных уровней доступа к информации Уведомления в реальном режиме или блокировка в случае серьезных нарушений PacketSentry примеры использования: Расследование инцидентов для всех критических бизнес функций Operations HR Finance Legal PacketSentry позволяет отделу безопасности или службе IT отвечать на требования бизнес-структур организации Пример – что делал пользователь Иванов за две недели до увольнения, 6 месяцев назад 13 PacketSentry примеры использования: Контроль над привилегированными пользователями IT “администра тор” копирует информацию с сервера в финансовом отделе 14 PacketSentry обнаруживает несанкционир ованный доступ в это же время Запись информации об инциденте в систему Сгенерирован отчет о других нелегитимных действиях пользователя Уведомление посылается в отдел ИБ Информация предоставлена в соотв. отдел для расследования Мониторинг и контроль Citrix XenApp и Windows Terminal Services клиентов Проблематика Отсутствие возможностей мониторинга и аудита активности при использовании Citrix XenApp (Presentation Server) и Windows Terminal Services (WTS) thin client Решение PacketSentry Citrix/WTSServer Agent – полноценный мониторинг и аудит для среды Citrix/WTS Польза 15 Полноценный аудит активности пользователей Citrix/WTS Без агентского ПО на рабочих станциях Прозрачность действий сотрудников, консультантов или аутсорсеров Мониторинг использования сетевых ресурсов пользователями Citrix/WTS Соответствие требованиям отчетности в виртуализированной среде Легкость внедрения, управления и поддержки – снижение операционных расходов PacketSentry SourceSync for Windows Прозрачность действий (RDP, консоль) Аудит критической активности при использовании консоли или RDP подключения Полноценный аудит локальных действий на сервере Login/Logoff Доступ к файловым системам, изменение прав доступа Администрирование локальных уч. Записей Управление процессами приложений Очистка логов, удаление Отвечает нормативным требованиям Аудит активности ИТ Администратора Полноценное журналирование в БД PacketSentry Решает проблему «мертвых зон» контроля: делает прозрачной активность зашифрованных RDP и консольных сессий Точная идентификация пользователя: Корреляция RDP UserID с учетной записью реального пользователя рабочей станции Работает без агентского ПО – решение подключается к серверам и анализирует логи в реальном времени! 16 Итоги - преимущества использования PacketSentry Единый инструмент, обеспечивающий мониторинг и контроль Базы данных, Windows File Sharing, Web, SMTP, FTP, Sharepoint, NFS…. возможность приобрести, эксплуатировать и обеспечивать поддержку меньшего количества решений Облегчает проблему, связанную с перегрузкой данными и их анализом Корелляция всех учётных данных пользователей, приложений и событий составление отчётов по политикам и «белым спискам» с реакцией на исключения быстрый и легкий поиск способствует эффективным проверкам в сфере безопасности Интеграция с системами SIEM (Arcsight, Cisco MARS) Единое решение для отслеживания деятельности выполнения и нарушения нормативных требований в области может быть применён в целях контроля соответствия нормативным требованиям, а также даёт ряд преимуществ в сфере общего обеспечения безопасности (например, контроль доступа администратора и третьей стороны, мониторинг транзакций, контроль за изменениями конфигураций и пр.) PCI-DSS Очень низкие расходы на интеграцию 17 отсутствие агентских приложений на клиентских ПК интегрированных в разрыв устройств Нет необходимости в активной работе с группой IT Установка и настройка обычно занимает несколько часов и серверах, отсутствие PacketMotion – о компании PacketMotion – ведущий разработчик решений мониторинга активности пользователей Предоставление полноценной информации и контроля внутрисетевой активности пользователей Штаб-квартира в San Jose, CA, USA; основана в 2004 г. На рынке РФ с 2008 г. Дистрибутор в РФ – SafeLine, ГК "Информзащита" Основной продукт – PacketSentry: Аппаратно-программный комплекс для анализа активности пользователей IT-ресурсов 4 Intel quad-core процессора в устройстве для обработки мультигигабитного трафика в онлайн-режиме Интегрированная БД Oracle Enterprise для устойчивости, доступности и масштабирования Частная компания; основные инвесторы - Intel Capital, Mohr Davidow Ventures, ONSET Ventures Применение в разных сферах: Финансы, госсектор, ТЭК, промышленность, медицина 18 Спасибо за внимание Юлий Демурджян [email protected] +7 495 544 7556 www.packetmotion.com [email protected] ООО «СОВТЕЛ» Сергей Шайдуров +7 495 788 88 98 www.sovtel.ru [email protected] 19