Upload
angelica-saunders
View
57
Download
1
Embed Size (px)
DESCRIPTION
Мониторинг деятельности сотрудников: как не погрязнуть под лавиной информации. Содержание. Проблематика и тенденции Решение Архитектура и примеры использования Итоги. Инсайдеры. Защита конф. информации. Нормативные требования. Расследования инцидентов. Мониторинг сетевой активности. - PowerPoint PPT Presentation
Citation preview
1
Мониторинг деятельности сотрудников: как не погрязнуть под
лавиной информации
2
Содержание
Проблематика и тенденции
Решение
Архитектура и примеры использования
Итоги
3
Эволюция задач ИБ: от защиты ресурсов к защите информации
До недавнего времени, фокус систем ИБ был на защите ресурсов Периметр организации, ключевые ресурсы Защита от утечек по заданным параметрам
Бизнес-процессы определяют структуру ИТ Мобильные устройства, порталы, VPN,
консультанты, временные работники Контролируемый легитимный доступ к
ресурсам Разграничение доступа
Отсутствие решений, предоставляющих полноценную информацию о внутрисетевой активности Объем и скорость трафика в ядре намного
выше, чем на периметре
Необходимы инструменты анализа и контроля с высокой производительностью
Мониторинг сетевой активности
Нормативные требования
Инсайдеры
Защита конф. информации
Расследования инцидентов
4
Проблематика
Наиболее ценными являются не ИТ-ресурсы, а информация Ноу-хау, перс. данные, финансы и пр. Хранение – в БД, файловых системах, мобильных носителях,
смартфонах...
Обеспечить доступ к информации – для бизнес- процессов
Обеспечить контролируемый авторизованный доступ к информации – задача ИБ Контроль доступа к информации на любых ресурсах В режиме реального времени Автоматизация процесса (мониторинг, реагирование,
расследования)
5
Обеспечение контроля доступа к информации
Запретить доступ к информации – невозможно: необходимы решения для контроля и мониторинга над деятельностью пользователей ресурсов Обеспечить авторизованный доступ Обеспечить защиту информации от нелегитимного
использования Выявить каналы утечек информации
Традиционные решения
МЭ, IPS/IDS, WAF
Права доступа к ресурсам (AD, базы данных и пр.)
DLP – защита от утечек
Системы логирования событий, системы корреляции событий
6
Перегрузка информацией
Ограниченные ресурсы при увеличении объема работы Все большее количество ИТ-ресурсов – увеличение
количества угроз Различные решения мониторинга Х системы управления Х
логи = лавина информации
• Разрозненность систем• Отсутствие общей «картины действий»• Невозможность своевременного выявления
угроз или нелегитимных действий• Человеческий фактор• Высокая стоимость (CAPEX, OPEX)
7
Решение компании PacketMotion - PacketSentry
Обеспечивает мониторинг и контроль над всей активностью пользователей ИТ-ресурсов
Обеспечивает реагирование на события в реальном времени
Снижает нагрузку на ИТ-ресурсы Внедрение без агентского ПО
Снижает нагрузку на отдел ИБ Мониторинг всех ресурсов, отчетность по выбору оператора Автоматизирует процесс реагирования на события Позволяет привязать все действия сотрудников к Active
Directory (или LDAP) Значительно расширяет возможности защиты ресурсов
8
PacketSentry обеспечивает полную прозрачность активности пользователей
Благодаря PacketSentry вы знаете:
кто ваши пользователи или группы;
чем заняты т.н. неизвестные пользователи;
к каким файлам они осуществляют доступ;
какие файлы они отправляют и куда
доступ к каким серверам и ресурсам они осуществляют;
какие приложения они используют;
доступ к какой информации в базе данных они осуществляют;
когда и как они осуществляют доступ к информации.
Интерфейс системы доступен с помощью стандартного браузера!
Анализ сети
Отчеты о соблюдении политики безопасности и нормативных актов
Наличие знания о сетевой активности сотрудников
Защита конфиденциальных данных
Аудиты в сфере безопасности
9
Архитектура
10
Решение PacketMotionСенсоры (probes) обрабатывают трафик в дата-центре, или любых других уровнях сети (ядро, уровень доступа, филиалы) Подключение через SPAN-порт коммутатора (port-mirroring) Поддержка всех основных протоколов От дата-центра до филиала (2Gbps – 100 mbps) Корреляция с учетной записью пользователя (Active Directory or LDAP)
Результат: отчет об активности Пользователя
Manager (система отчетности и реагирования) сохраняет записи в базе данных, с возможностью полноценной индексации для быстрого и эффективного поиска и отчетов Возможность настройки правил реагирования – от уведомлений до активных действий
(сброс соединения, syslog-уведомление, предупреждение по email) Все события сохраняются перманентно Интеграция с AD, LDAP-совместимыми системами
Установка в режиме off-line Типичная установка – около 2х часов Без влияния на трафик и приложения
Probe
PacketSentry Manager
Probe
Servers
Users
Remote Office
11
Внедрение
12
PacketSentry примеры использования: Защита конфиденциальной информации
Общая информация о доступе к ресурсам- Кто, когда, каким образом...
Автоматические уведомления и отчеты при исключениях из общих правил доступа
Уведомления о превышении обычных уровней доступа к информации
Уведомления в реальном режиме или блокировка в случае серьезных нарушений
13
PacketSentry примеры использования: Расследование инцидентов для всех критических бизнес функций
Operations HR Finance Legal
PacketSentry позволяет отделу безопасности или службе IT отвечать на требования бизнес-структур
организацииПример – что делал пользователь Иванов за две недели до увольнения, 6 месяцев назад
14
PacketSentry примеры использования: Контроль над привилегированными пользователями
IT “администратор” копирует информацию с сервера в финансовом отделе
PacketSentry обнаруживает несанкционированный доступ в это же время
Запись информации об инциденте в систему
Уведомление посылается в отдел ИБ
Сгенерирован отчет о других нелегитимных действиях пользователя
Информация предоставлена в соотв. отдел для расследования
15
Мониторинг и контроль Citrix XenApp и Windows Terminal Services клиентов
Проблематика Отсутствие возможностей мониторинга и аудита активности при использовании
Citrix XenApp (Presentation Server) и Windows Terminal Services (WTS) thin client
Решение PacketSentry Citrix/WTSServer Agent – полноценный мониторинг и аудит для среды
Citrix/WTS
Польза Полноценный аудит активности
пользователей Citrix/WTS Без агентского ПО на рабочих
станциях Прозрачность действий
сотрудников, консультантов или аутсорсеров
Мониторинг использования сетевых ресурсов пользователями Citrix/WTS
Соответствие требованиям отчетности в виртуализированной среде
Легкость внедрения, управления и поддержки – снижение операционных расходов
16
PacketSentry SourceSync for WindowsПрозрачность действий (RDP, консоль)
Аудит критической активности при использовании консоли или RDP подключенияПолноценный аудит локальных действий на сервере Login/Logoff Доступ к файловым системам, изменение прав доступа Администрирование локальных уч. Записей Управление процессами приложений Очистка логов, удаление
Отвечает нормативным требованиям Аудит активности ИТ Администратора Полноценное журналирование в БД PacketSentry Решает проблему «мертвых зон» контроля: делает прозрачной
активность зашифрованных RDP и консольных сессийТочная идентификация пользователя: Корреляция RDP UserID с учетной записью реального пользователя рабочей станцииРаботает без агентского ПО – решение подключается к серверам и анализирует логи в реальном времени!
17
Итоги - преимущества использования PacketSentryЕдиный инструмент, обеспечивающий мониторинг и контроль Базы данных, Windows File Sharing, Web, SMTP, FTP, Sharepoint, NFS…. возможность приобрести, эксплуатировать и обеспечивать поддержку меньшего
количества решений
Облегчает проблему, связанную с перегрузкой данными и их анализом Корелляция всех учётных данных пользователей, приложений и событий составление отчётов по политикам и «белым спискам» с реакцией на исключения быстрый и легкий поиск способствует эффективным проверкам в сфере безопасности Интеграция с системами SIEM (Arcsight, Cisco MARS)
Единое решение для отслеживания деятельности в области выполнения и нарушения нормативных требований может быть применён в целях контроля соответствия нормативным требованиям, а также
даёт ряд преимуществ в сфере общего обеспечения безопасности (например, контроль доступа администратора и третьей стороны, мониторинг транзакций, контроль за изменениями конфигураций и пр.)
PCI-DSS
Очень низкие расходы на интеграцию отсутствие агентских приложений на клиентских ПК и серверах, отсутствие
интегрированных в разрыв устройств Нет необходимости в активной работе с группой IT Установка и настройка обычно занимает несколько часов
18
PacketMotion – ведущий разработчик решений мониторинга активности пользователей Предоставление полноценной информации и контроля внутрисетевой активности
пользователей Штаб-квартира в San Jose, CA, USA; основана в 2004 г. На рынке РФ с 2008 г. Дистрибутор в РФ – SafeLine, ГК "Информзащита"
Основной продукт – PacketSentry: Аппаратно-программный комплекс для анализа активности
пользователей IT-ресурсов 4 Intel quad-core процессора в устройстве для обработки мульти-гигабитного
трафика в онлайн-режиме Интегрированная БД Oracle Enterprise для устойчивости, доступности и
масштабированияЧастная компания; основные инвесторы - Intel Capital, Mohr Davidow Ventures, ONSET Ventures
Применение в разных сферах: Финансы, госсектор, ТЭК, промышленность, медицина
PacketMotion – о компании
19
Спасибо за вниманиеЮлий Демурджян
+7 495 544 7556
www.packetmotion.com
ООО «СОВТЕЛ»
Сергей Шайдуров
+7 495 788 88 98
www.sovtel.ru