PacketMotion

Мониторинг деятельности
сотрудников: как не погрязнуть под
лавиной информации
1
Содержание
Проблематика и тенденции
Решение
Архитектура и примеры использования
Итоги
2
Эволюция задач ИБ: от защиты ресурсов к
защите информации
До недавнего времени, фокус систем
ИБ был на защите ресурсов
 Периметр организации, ключевые ресурсы
 Защита от утечек по заданным параметрам
Бизнес-процессы определяют
структуру ИТ
 Мобильные устройства, порталы, VPN,
консультанты, временные работники
 Контролируемый легитимный доступ к
ресурсам
 Разграничение доступа
Отсутствие решений, предоставляющих
полноценную информацию о
внутрисетевой активности
 Объем и скорость трафика в ядре намного
выше, чем на периметре
 Необходимы инструменты анализа и
контроля с высокой
производительностью
3
Инсайдеры
Защита конф. информации
Нормативные требования
Расследования инцидентов
Мониторинг сетевой активности
Проблематика
Наиболее ценными являются не ИТ-ресурсы, а
информация
 Ноу-хау, перс. данные, финансы и пр.
 Хранение – в БД, файловых системах, мобильных носителях,
смартфонах...
Обеспечить доступ к информации – для бизнеспроцессов
Обеспечить контролируемый авторизованный доступ
к информации – задача ИБ
 Контроль доступа к информации на любых ресурсах
 В режиме реального времени
 Автоматизация процесса (мониторинг, реагирование,
расследования)
4
Обеспечение контроля доступа к
информации
Запретить доступ к информации – невозможно:
необходимы решения для контроля и мониторинга
над деятельностью пользователей ресурсов
 Обеспечить авторизованный доступ
 Обеспечить защиту информации от нелегитимного
использования
 Выявить каналы утечек информации
Традиционные решения
МЭ, IPS/IDS, WAF
Права доступа к ресурсам (AD, базы данных и пр.)
DLP – защита от утечек
Системы логирования событий, системы корреляции
событий
5
Перегрузка информацией
Ограниченные ресурсы при увеличении объема
работы
 Все большее количество ИТ-ресурсов – увеличение
количества угроз
 Различные решения мониторинга Х системы управления Х
логи = лавина информации
• Разрозненность систем
• Отсутствие общей «картины действий»
• Невозможность своевременного выявления
угроз или нелегитимных действий
• Человеческий фактор
• Высокая стоимость (CAPEX, OPEX)
6
Решение компании PacketMotion PacketSentry
Обеспечивает мониторинг и контроль над всей
активностью пользователей ИТ-ресурсов
Обеспечивает реагирование на события в реальном
времени
Снижает нагрузку на ИТ-ресурсы
 Внедрение без агентского ПО
Снижает нагрузку на отдел ИБ
 Мониторинг всех ресурсов, отчетность по выбору оператора
 Автоматизирует процесс реагирования на события
 Позволяет привязать все действия сотрудников к Active
Directory (или LDAP)
 Значительно расширяет возможности защиты ресурсов
7
PacketSentry
обеспечивает
активности пользователей
полную
Благодаря PacketSentry вы знаете:
прозрачность
Наличие знания о сетевой
активности сотрудников
 кто ваши пользователи или группы;
 чем
заняты
пользователи;
т.н.
неизвестные
 к каким файлам они осуществляют
доступ;
Защита конфиденциальных
данных
Отчеты о соблюдении политики
безопасности и нормативных актов
 какие файлы они отправляют и куда
 доступ к каким серверам и ресурсам
они осуществляют;
 какие приложения они используют;
 доступ к какой информации в базе
данных они осуществляют;
 когда и как они осуществляют доступ к
информации.
Интерфейс системы доступен с
помощью стандартного браузера!
8
Аудиты в сфере безопасности
Анализ сети
Архитектура
9
Решение PacketMotion
Сенсоры (probes) обрабатывают трафик в дата-центре, или любых других
уровнях сети (ядро, уровень доступа, филиалы)




Подключение через SPAN-порт коммутатора (port-mirroring)
Поддержка всех основных протоколов
От дата-центра до филиала (2Gbps – 100 mbps)
Корреляция с учетной записью пользователя (Active Directory or LDAP)
 Результат: отчет об активности Пользователя
Manager (система отчетности и реагирования) сохраняет записи в базе
данных, с возможностью полноценной индексации для быстрого и
эффективного поиска и отчетов



Возможность настройки правил реагирования – от уведомлений до активных действий
(сброс соединения, syslog-уведомление, предупреждение по email)
Remote
Все события сохраняются перманентно
Office
Интеграция с AD, LDAP-совместимыми системами
Servers
Установка в режиме off-line


Типичная установка – около 2х часов
Без влияния на трафик и приложения
Probe
Probe
PacketSentry
Manager
10
Users
Внедрение
11
PacketSentry примеры использования: Защита
конфиденциальной информации
Общая
информация
о доступе к
ресурсам
- Кто, когда,
каким
образом...
12
Автоматичес
кие
уведомления
и отчеты при
исключениях
из общих
правил
доступа
Уведомления
о превышении
обычных
уровней
доступа к
информации
Уведомления
в реальном
режиме или
блокировка в
случае
серьезных
нарушений
PacketSentry примеры использования: Расследование
инцидентов для всех критических бизнес функций
Operations
HR
Finance
Legal
PacketSentry позволяет отделу безопасности или
службе IT отвечать на требования бизнес-структур
организации
Пример – что делал пользователь Иванов за две
недели до увольнения, 6 месяцев назад
13
PacketSentry примеры использования: Контроль
над привилегированными пользователями
IT
“администра
тор”
копирует
информацию
с сервера в
финансовом
отделе
14
PacketSentry
обнаруживает
несанкционир
ованный
доступ в это
же время
Запись
информации
об инциденте
в систему
Сгенерирован
отчет о других
нелегитимных
действиях
пользователя
Уведомление
посылается в
отдел ИБ
Информация
предоставлена
в соотв. отдел
для
расследования
Мониторинг и контроль Citrix XenApp и Windows Terminal
Services клиентов
Проблематика
 Отсутствие возможностей мониторинга и аудита активности при использовании
Citrix XenApp (Presentation Server) и Windows Terminal Services (WTS) thin client
Решение
 PacketSentry Citrix/WTSServer Agent – полноценный мониторинг и аудит для среды
Citrix/WTS
 Польза






15
Полноценный аудит активности
пользователей Citrix/WTS
Без агентского ПО на рабочих
станциях
Прозрачность действий
сотрудников, консультантов или
аутсорсеров
Мониторинг использования
сетевых ресурсов
пользователями Citrix/WTS
Соответствие требованиям
отчетности в
виртуализированной среде
Легкость внедрения, управления
и поддержки – снижение
операционных расходов
PacketSentry SourceSync for Windows
Прозрачность действий (RDP, консоль)
Аудит критической активности при использовании консоли или
RDP подключения
Полноценный аудит локальных действий на сервере





Login/Logoff
Доступ к файловым системам, изменение прав доступа
Администрирование локальных уч. Записей
Управление процессами приложений
Очистка логов, удаление
Отвечает нормативным требованиям Аудит активности
ИТ Администратора
 Полноценное журналирование в БД PacketSentry
 Решает проблему «мертвых зон» контроля: делает прозрачной
активность зашифрованных RDP и консольных сессий
Точная идентификация пользователя: Корреляция RDP UserID
с учетной записью реального пользователя рабочей станции
Работает без агентского ПО – решение подключается к
серверам и анализирует логи в реальном времени!
16
Итоги - преимущества использования PacketSentry
Единый инструмент, обеспечивающий мониторинг и контроль


Базы данных, Windows File Sharing, Web, SMTP, FTP, Sharepoint, NFS….
возможность приобрести, эксплуатировать и обеспечивать поддержку меньшего
количества решений
Облегчает проблему, связанную с перегрузкой данными и их анализом




Корелляция всех учётных данных пользователей, приложений и событий
составление отчётов по политикам и «белым спискам» с реакцией на исключения
быстрый и легкий поиск способствует эффективным проверкам в сфере безопасности
Интеграция с системами SIEM (Arcsight, Cisco MARS)
Единое решение для отслеживания деятельности
выполнения и нарушения нормативных требований


в
области
может быть применён в целях контроля соответствия нормативным требованиям, а
также даёт ряд преимуществ в сфере общего обеспечения безопасности (например,
контроль доступа администратора и третьей стороны, мониторинг транзакций, контроль
за изменениями конфигураций и пр.)
PCI-DSS
Очень низкие расходы на интеграцию



17
отсутствие агентских приложений на клиентских ПК
интегрированных в разрыв устройств
Нет необходимости в активной работе с группой IT
Установка и настройка обычно занимает несколько часов
и
серверах,
отсутствие
PacketMotion – о компании
PacketMotion – ведущий разработчик решений мониторинга
активности пользователей
 Предоставление полноценной информации и контроля внутрисетевой
активности пользователей
 Штаб-квартира в San Jose, CA, USA; основана в 2004 г.
 На рынке РФ с 2008 г.
 Дистрибутор в РФ – SafeLine, ГК "Информзащита"
Основной продукт – PacketSentry:
Аппаратно-программный комплекс для анализа
активности пользователей IT-ресурсов
 4 Intel quad-core процессора в устройстве для обработки мультигигабитного трафика в онлайн-режиме
 Интегрированная БД Oracle Enterprise для устойчивости,
доступности и масштабирования
Частная компания; основные инвесторы - Intel Capital,
Mohr Davidow Ventures, ONSET Ventures
Применение в разных сферах:
Финансы, госсектор, ТЭК, промышленность,
медицина
18
Спасибо за внимание
Юлий Демурджян
[email protected]
+7 495 544 7556
www.packetmotion.com
[email protected]
ООО «СОВТЕЛ»
Сергей Шайдуров
+7 495 788 88 98
www.sovtel.ru
[email protected]
19