Kullanıcı eylemlerini denetlemek (izlemek) için otomatik sistem. Windows 7'de kullanıcı eylemlerinin denetimi

Her düzeydeki kuruluşta kullanıcı eylemleri için denetim sistemlerinin uygulanması ihtiyacı, analiz yapan şirketlerin araştırmalarıyla doğrulanmıştır. bilgi Güvenliği.

Örneğin bir Kaspersky Lab araştırması, bilgi güvenliği olaylarının üçte ikisinin (%67) diğer şeylerin yanı sıra, yanlış bilgilendirilmiş veya dikkatsiz çalışanların eylemlerinden kaynaklandığını gösterdi. Aynı zamanda ESET araştırmasına göre şirketlerin %84'ü insan faktörünün neden olduğu riskleri hafife alıyor.

İçeriden gelen tehditlere karşı korunmak, dış tehditlere karşı korunmaktan daha fazla çaba gerektirir. Bir kuruluşun ağına yönelik virüsler ve hedefli saldırılar da dahil olmak üzere harici "zararlılara" karşı koymak için uygun yazılımın veya donanım-yazılım sisteminin uygulanması yeterlidir. Bir kuruluşu içeriden gelebilecek bir saldırıya karşı korumak, güvenlik altyapısına daha fazla yatırım yapılmasını ve daha derin analiz yapılmasını gerektirecektir. Analitik çalışma, iş dünyası için en kritik tehdit türlerinin belirlenmesinin yanı sıra "ihlalcilerin portrelerinin" oluşturulmasını, yani bir kullanıcının yetkinliklerine ve güçlerine bağlı olarak ne tür zararlara yol açabileceğinin belirlenmesini içerir.

Kullanıcı eylemlerinin denetimi, yalnızca bilgi güvenliği sistemindeki tam olarak hangi "boşlukların" hızlı bir şekilde kapatılması gerektiğinin anlaşılmasıyla değil, aynı zamanda bir bütün olarak iş sürdürülebilirliği konusuyla da ayrılmaz bir şekilde bağlantılıdır. Sürekli faaliyet göstermeye kararlı şirketler, bilişim ve iş otomasyonu süreçlerindeki karmaşıklık ve artışla birlikte iç tehditlerin sayısının da arttığını dikkate almalıdır.

Sıradan bir çalışanın eylemlerini izlemenin yanı sıra, "süper kullanıcıların" - ayrıcalıklı haklara sahip çalışanların ve buna bağlı olarak bilgi sızıntısı tehdidini kazara veya kasıtlı olarak gerçekleştirme konusunda daha büyük fırsatlara sahip çalışanların - faaliyetlerini denetlemek gerekir. Bu kullanıcılar arasında sistem yöneticileri, veritabanı yöneticileri ve dahili yazılım geliştiriciler bulunur. Buraya ayrıca ilgi çeken BT uzmanlarını ve bilgi güvenliğinden sorumlu çalışanları da ekleyebilirsiniz.

Bir şirketteki kullanıcı eylemlerini izlemeye yönelik bir sistemin uygulanması, çalışanların faaliyetlerini kaydetmenize ve bunlara hızlı bir şekilde yanıt vermenize olanak tanır. Önemli: Denetim sistemi kapsamlı olmalıdır. Bu, sıradan bir çalışanın, sistem yöneticisinin veya üst düzey yöneticinin faaliyetlerine ilişkin bilgilerin işletim sistemi düzeyinde, iş uygulamalarının kullanımı düzeyinde analiz edilmesi gerektiği anlamına gelir. ağ cihazları, veritabanlarına erişim, harici medyaya bağlanma vb.

Modern sistemler kapsamlı denetim, bilgisayarın (terminal iş istasyonu) başlatılmasından kapatılmasına kadar kullanıcı eylemlerinin tüm aşamalarını kontrol etmenize olanak tanır. Doğru, pratikte tam kontrolden kaçınmaya çalışıyorlar. Tüm işlemler denetim günlüklerine kaydedilirse kuruluşun bilgi sistemi altyapısı üzerindeki yük kat kat artar: iş istasyonları kilitlenir, sunucular ve kanallar tam yükte çalışır. Bilgi güvenliğine ilişkin paranoya, iş süreçlerini önemli ölçüde yavaşlatarak işletmeye zarar verebilir.

Yetkili bir bilgi güvenliği uzmanı öncelikle şunları belirler:

  • Şirket içi tehditlerin çoğu onunla ilişkili olacağından şirketteki hangi veriler en değerlidir;
  • değerli verilere kimin ve hangi düzeyde erişebileceği, yani potansiyel ihlalcilerin çemberinin ana hatlarını çizdiği;
  • mevcut güvenlik önlemlerinin kasıtlı ve/veya kazara kullanıcı eylemlerine ne ölçüde dayanabileceği.

Örneğin, finans sektöründeki bilgi güvenliği uzmanları, ödeme verilerinin sızması ve erişimin kötüye kullanılması tehditlerini en tehlikeli tehditler olarak görüyor. Sanayi ve ulaştırma sektöründe en büyük korku, bilgi birikiminin sızması ve çalışanların sadakatsiz davranışlarıdır. En kritik tehditlerin özel gelişmelerin, ticari sırların ve ödeme bilgilerinin sızması olduğu BT sektörü ve telekomünikasyon işinde de benzer endişeler mevcut.

ANALİZLER EN OLASI "TİPİK" İHLAL EDİCİLER OLARAK ŞUNLARI GÖSTERİYOR:

  • Üst yönetim: Seçim açıktır; mümkün olan en geniş yetkiler, en değerli bilgilere erişim. Aynı zamanda güvenlikten sorumlu olanlar, bu tür kişilerin bilgi güvenliği kurallarını ihlal etmesini sıklıkla görmezden geliyor.
  • Sadakatsiz çalışanlar : Sadakat derecesini belirlemek için şirketin bilgi güvenliği uzmanları, bireysel bir çalışanın eylemlerini analiz etmelidir.
  • Yöneticiler: Ayrıcalıklı erişime ve gelişmiş yetkiye sahip, BT alanı hakkında derinlemesine bilgiye sahip uzmanlar, BT alanına yetkisiz erişim sağlamanın cazibesine açıktır. önemli bilgi;
  • Yüklenici çalışanları / dış kaynak kullanımı : Yöneticiler gibi, geniş bilgi birikimine sahip "dışarıdan" uzmanlar, müşterinin bilgi sisteminin "içerisinde"yken çeşitli tehditleri uygulayabilirler.

En önemli bilgilerin ve en muhtemel saldırganların belirlenmesi, toplam değil seçici kullanıcı kontrolüne sahip bir sistem oluşturmaya yardımcı olur. Bu "boşaltır" bilgi sistemi bilgi güvenliği uzmanlarını gereksiz işlerden kurtarır.

Seçici izlemenin yanı sıra denetim sistemlerinin mimarisi, sistem işleyişinin hızlandırılmasında, analiz kalitesinin iyileştirilmesinde ve altyapı üzerindeki yükün azaltılmasında önemli bir rol oynamaktadır. Kullanıcı eylemlerinin denetlenmesine yönelik modern sistemler dağıtık bir yapıya sahiptir. Sensör aracıları, belirli türdeki olayları analiz eden ve verileri birleştirme ve depolama merkezlerine ileten uç iş istasyonlarına ve sunuculara kurulur. Kayıtlı bilgileri sistemde yerleşik parametrelere dayalı olarak analiz etmeye yönelik sistemler, denetim günlüklerinde, bir tehdidi uygulama girişimiyle hemen ilişkilendirilemeyecek şüpheli veya anormal faaliyetlere ilişkin gerçekleri bulur. Bu gerçekler, güvenlik yöneticisine ihlali bildiren yanıt sistemine iletilir.

Denetim sistemi bir ihlalle bağımsız olarak başa çıkabiliyorsa (genellikle bu tür bilgi güvenliği sistemleri bir tehdide yanıt vermek için bir imza yöntemi sağlar), o zaman ihlal durdurulur otomatik mod ve suçlu, eylemleri ve tehdidin hedefi hakkında gerekli tüm bilgiler özel bir veri tabanında toplanır. Bu durumda Güvenlik Yöneticisi Konsolu, tehdidin etkisiz hale getirildiğini size bildirir.

Sistemin otomatik olarak yanıt verme yolları yoksa şüpheli aktivite, ardından tehdidi etkisiz hale getirmek veya sonuçlarını analiz etmek için gereken tüm bilgiler, işlemlerin manuel olarak gerçekleştirilmesi için bilgi güvenliği yönetici konsoluna aktarılır.

HERHANGİ BİR KURULUŞUN İZLEME SİSTEMİNDE OPERASYONLARIN YAPILANDIRILMASI GEREKİR:

İş istasyonlarının ve sunucuların kullanımının yanı sıra bunlar üzerindeki kullanıcı etkinliğinin zamanını (haftanın saatlerine ve günlerine göre) denetleyin. Bu şekilde bilgi kaynaklarının kullanımının fizibilitesi sağlanır.

Dipnot: Son ders, uygulamaya yönelik son tavsiyeleri sunar teknik araçlar gizli bilgilerin korunması, InfoWatch çözümlerinin özellikleri ve çalışma prensipleri detaylı olarak ele alınmaktadır

InfoWatch yazılım çözümleri

Amaç bu kurs InfoWatch ürünlerinin işleyişine ilişkin teknik ayrıntılara ayrıntılı bir şekilde aşina değiliz, bu nedenle bunları teknik pazarlama açısından ele alacağız. InfoWatch ürünleri iki temel teknolojiye dayanmaktadır: içerik filtreleme ve işyerindeki kullanıcı veya yönetici eylemlerinin denetlenmesi. Ayrıca kapsamlı InfoWatch çözümünün bir parçası, bilgi sisteminden ayrılan bir bilgi deposu ve birleşik bir dahili güvenlik yönetimi konsoludur.

Bilgi akışı kanallarının içerik filtrelemesi

Temel ayırt edici özellik InfoWatch içerik filtrelemesi morfolojik bir çekirdeğin kullanımına dayanır. Geleneksel imza filtrelemenin aksine, InfoWatch içerik filtreleme teknolojisinin iki avantajı vardır: temel kodlamaya duyarsızlık (bazı karakterleri diğerleriyle değiştirmek) ve daha yüksek performans. Çekirdek kelimelerle değil kök formlarla çalıştığı için karışık kodlamalar içeren kökleri otomatik olarak keser. Ayrıca, dillerde yaklaşık bir milyon olan kelime biçimleriyle değil, her dilde on binden az bulunan köklerle çalışmak, oldukça verimsiz ekipmanlarla önemli sonuçlar ortaya koymaya olanak tanır.

Kullanıcı eylemlerinin denetimi

InfoWatch, bir iş istasyonundaki belgelerle ilgili kullanıcı eylemlerini izlemek için iş istasyonundaki tek bir aracıda birden fazla önleyici sunar; dosya işlemleri, yazdırma işlemleri, uygulamalar içindeki işlemler ve bağlı cihazlarla yapılan işlemler için önleyiciler.

Bilgi sisteminden tüm kanallar aracılığıyla ayrılan bilgi deposu.

InfoWatch şirketi, bilgi sisteminden çıkan bir bilgi deposu sunar. Sistem dışına çıkan tüm kanallardan (e-posta, internet, baskı ve baskı) iletilen belgeler çıkarılabilir medya*depolama uygulamasında saklanır (2007'ye kadar - modül) Trafik Monitörü Depolama Sunucusu) tüm nitelikleri gösteren - kullanıcının tam adı ve konumu, elektronik projeksiyonları (IP adresi, hesap veya posta adresi), işlemin tarihi ve saati, belgelerin adı ve nitelikleri. İçerik analizi de dahil olmak üzere tüm bilgiler analiz için mevcuttur.

İlgili Eylemler

Gizli bilgilerin korunmasına yönelik teknik araçların uygulamaya konulması, diğer yöntemler, özellikle de kurumsal yöntemler kullanılmadan etkisiz görünmektedir. Bunlardan bazılarını yukarıda zaten tartışmıştık. Şimdi diğerlerine daha yakından bakalım gerekli eylemler.

İhlalcilerin davranış kalıpları

Gizli bilgilerle eylemleri izlemek için bir sistem dağıtarak, işlevselliği ve analitik yetenekleri artırmanın yanı sıra iki yönde daha gelişebilirsiniz. Birincisi iç ve dış tehditlere karşı koruma sistemlerinin entegrasyonudur. Son yıllarda yaşanan olaylar, iç ve dış saldırganlar arasında bir rol dağılımının olduğunu ve dış ve iç tehdit izleme sistemlerinden gelen bilgilerin birleştirilmesinin bu tür birleşik saldırıların tespitini mümkün kılacağını göstermektedir. Dış ve iç güvenlik arasındaki temas noktalarından biri, özellikle sadakatsiz çalışanlar ve sabotajcıların haklarını artırmaya yönelik üretim ihtiyacını simüle etme bağlamında erişim haklarının yönetimidir. Resmi görevlerin kapsamı dışındaki kaynaklara erişim talepleri, bu bilgilerle gerçekleştirilen eylemlerin denetlenmesine yönelik bir mekanizmayı derhal içermelidir. Kaynaklara erişimi açmadan aniden ortaya çıkan sorunları çözmek daha da güvenlidir.

Hayattan bir örnek verelim. Sistem yöneticisi, pazarlama departmanı başkanından finansal sisteme erişimin açılması yönünde bir talep aldı. Uygulamayı desteklemek için bir görev eklendi genel müdürŞirket tarafından üretilen malların satın alınması süreçlerinin pazar araştırması için. Finansal sistem en çok korunan kaynaklardan biri olduğundan ve ona erişim izni CEO tarafından verildiğinden, bilgi güvenliği departmanı başkanı başvuruya şunu yazdı: alternatif çözüm- erişim vermeyin, ancak anonimleştirilmiş (müşterileri belirtmeden) verileri analiz için özel bir veritabanına yükleyin. Baş pazarlamacının bu şekilde çalışmasının sakıncalı olduğu yönündeki itirazlarına yanıt olarak, yönetmen ona "doğrudan" bir soru sordu: "Müşterilerin isimlerine neden ihtiyacınız var - veritabanını birleştirmek mi istiyorsunuz?" ” -sonra herkes işine gitti. Bunun bir bilgi sızdırma girişimi olup olmadığını asla bilemeyeceğiz ama her ne ise kurumsal finansal sistem korunuyordu.

Hazırlık sırasında sızıntıların önlenmesi

Gizli bilgilerle dahili olayların izlenmesine yönelik bir sistem geliştirmenin bir başka yönü, bir sızıntı önleme sistemi oluşturmaktır. Böyle bir sistemin çalışma algoritması saldırı önleme çözümlerindekiyle aynıdır. İlk olarak, davetsiz misafirin bir modeli oluşturulur ve bundan bir "ihlal imzası", yani davetsiz misafirin eylem sırası oluşturulur. Birkaç kullanıcı eylemi ihlal imzasıyla çakışırsa kullanıcının bir sonraki adımı tahmin edilir ve imzayla da eşleşiyorsa bir alarm verilir. Örneğin, gizli bir belge açıldı, bir kısmı seçilip panoya kopyalandı, ardından bir yeni belge ve arabelleğin içeriği buna kopyalandı. Sistem şunu varsayar: Yeni bir belge "gizli" etiketi olmadan kaydedilirse, bu bir çalma girişimidir. USB sürücüsü henüz takılmadı, mektup oluşturulmadı ve sistem, çalışanı durdurma veya bilginin nereye gittiğini takip etme kararını veren bilgi güvenliği görevlisini bilgilendiriyor. Bu arada, suçlunun davranışının modelleri (diğer kaynaklarda - "profiller") yalnızca yazılım aracılarından bilgi toplayarak kullanılamaz. Veritabanına yapılan sorguların doğasını analiz ederseniz, veritabanına yapılan bir dizi ardışık sorgu aracılığıyla belirli bir bilgi parçası elde etmeye çalışan bir çalışanı her zaman tanımlayabilirsiniz. Bu isteklerle ne yaptığını, bunları kaydedip kaydetmediğini, çıkarılabilir depolama ortamına bağlanıp bağlanmadığını vb. anında izlemek gerekir.

Bilgi depolama organizasyonu

Verilerin anonimleştirilmesi ve şifrelenmesi ilkeleri, depolama ve işlemenin düzenlenmesi için bir ön koşuldur ve uzaktan erişim isteğin düzenlendiği bilgisayarda herhangi bir bilgi bırakılmadan terminal protokolü kullanılarak organize edilebilir.

Kimlik doğrulama sistemleriyle entegrasyon

Er ya da geç müşteri, personel sorunlarını çözmek için gizli belgelerle yapılan eylemleri izlemek için bir sistem kullanmak zorunda kalacak - örneğin, bu sistem tarafından belgelenen gerçeklere dayanarak çalışanları işten çıkarmak veya hatta sızdıranları kovuşturmak. Bununla birlikte, izleme sisteminin sağlayabileceği tek şey suçlunun elektronik tanımlayıcısıdır - IP adresi, hesap, e-posta adresi vb. Bir çalışanı yasal olarak suçlayabilmek için bu tanımlayıcının bir kişiye bağlı olması gerekir. Burada entegratör açılıyor yeni market– basit belirteçlerden gelişmiş biyometri ve RFID tanımlayıcılara kadar kimlik doğrulama sistemlerinin uygulanması.

Viktor Çutov
Proje Yöneticisi INFORMSVYAZ HOLDİNG

Sistemin uygulanması için önkoşullar

Bilgi güvenliğine yönelik iç tehditlere ilişkin Infowatch tarafından 2007 yılında yürütülen ilk açık küresel çalışma (2006 sonuçlarına dayanarak), iç tehditlerin (%56,5) dış tehditlerden (kötü amaçlı yazılım, spam, bilgisayar korsanları vb.) daha az yaygın olmadığını gösterdi. D.). Ayrıca, ezici çoğunlukta (%77) bir iç tehdidin uygulanmasının nedeni, kullanıcıların kendilerinin ihmalidir (uygulamanın başarısızlığı). iş tanımları veya temel bilgi güvenliği önlemlerinin ihmal edilmesi).

2006-2008 döneminde durumdaki değişikliklerin dinamikleri. Şekil 2'de gösterilmiştir. 1.

İhmal nedeniyle sızıntı payındaki göreceli azalma, kazara sızıntılara karşı oldukça yüksek derecede koruma sağlayan bilgi sızıntısı önleme sistemlerinin (kullanıcı eylemlerini izlemeye yönelik sistemler dahil) kısmen uygulanmasından kaynaklanmaktadır. Ayrıca, kişisel verilerin kasıtlı olarak çalınmasının sayısındaki mutlak artıştan kaynaklanmaktadır.

İstatistiklerdeki değişikliğe rağmen, öncelikli görevin kasıtsız bilgi sızıntılarıyla mücadele etmek olduğunu hala güvenle söyleyebiliriz, çünkü bu tür sızıntılara karşı koymak daha kolay, daha ucuz ve sonuç olarak çoğu olay kapsanıyor.

Aynı zamanda, Infowatch ve Perimetrix'in 2004-2008 araştırma sonuçlarının analizine göre çalışan ihmali, en tehlikeli tehditler arasında ikinci sırada yer almaktadır (özetlenmiş araştırma sonuçları Şekil 2'de sunulmaktadır) ve alaka düzeyi de büyümeye devam etmektedir. işletmelerin yazılım ve donanım otomatik sistemlerinin (AS) iyileştirilmesiyle.

Bu nedenle, bir çalışanın kurumun otomatik sistemindeki (izleme programları dahil) bilgi güvenliği üzerindeki olumsuz etki olasılığını ortadan kaldıran, bilgi güvenliği hizmeti çalışanlarına bir olayın araştırılması için kanıt temeli ve materyaller sağlayan sistemlerin uygulanması, tehditleri ortadan kaldıracaktır. İhmalden kaynaklanan sızıntı, kazara meydana gelen sızıntıları önemli ölçüde azaltır ve ayrıca kasıtlı olanları da biraz azaltır. Sonuçta bu önlem, iç ihlalcilerden kaynaklanan tehditlerin uygulanmasının önemli ölçüde azaltılmasını mümkün kılmalıdır.

Kullanıcı eylemlerini denetlemek için modern otomatik sistem. Avantajlar ve dezavantajlar

Genellikle izleme yazılımı ürünleri olarak adlandırılan kullanıcı eylemlerini (ASADP) denetlemeye (izlemeye) yönelik otomatik sistemler (ASADP), AS güvenlik yöneticileri (kuruluşun bilgi güvenliği hizmeti) tarafından gözlemlenebilirliğini - "özelliklerini" sağlamak için kullanılmak üzere tasarlanmıştır. bilgi işlem sistemi Bu, güvenlik politikalarının ihlallerini önlemek ve/veya belirli eylemlerin sorumluluğunu sağlamak amacıyla kullanıcı etkinliğini kaydetmenizin yanı sıra belirli olaylara karışan kullanıcıların tanımlayıcılarını benzersiz şekilde oluşturmanıza olanak tanır."

AS'nin gözlemlenebilirlik özelliği, uygulama kalitesine bağlı olarak, kuruluş çalışanlarının güvenlik politikasına ve belirlenen kurallara uyumunu bir dereceye kadar izlemenize olanak tanır güvenli çalışma bilgisayarlarda.

Gerçek zamanlı da dahil olmak üzere izleme yazılımı ürünlerinin kullanımı şu amaçlara yöneliktir:

  • gizli bilgilere yetkisiz erişime yönelik tüm girişimleri, bu tür bir girişimin yapıldığı zamanı ve ağ işyerini tam olarak belirterek tanımlamak (yerelleştirmek);
  • yazılımın yetkisiz kurulumuna ilişkin gerçekleri belirlemek;
  • yetkisiz olarak kurulan özel uygulamaların başlatılmasıyla ilgili gerçekleri analiz ederek ek donanımın (örneğin modemler, yazıcılar vb.) yetkisiz kullanımına ilişkin tüm durumları belirlemek;
  • klavyede kritik kelime ve kelime öbeklerinin yazıldığı, üçüncü taraflara aktarılması maddi hasara yol açacak kritik belgelerin hazırlanmasına ilişkin tüm durumları tespit etmek;
  • sunuculara ve kişisel bilgisayarlara erişimi kontrol etmek;
  • sörf yaparken kişileri kontrol etme İnternet ağları;
  • Personelin dış etkilere verdiği tepkinin doğruluğunu, verimliliğini ve yeterliliğini belirlemeye yönelik araştırmalar yapmak;
  • kullanıcı emeğinin bilimsel organizasyonu amacıyla kuruluşun bilgisayar iş istasyonlarındaki yükü (günün saatine, haftanın gününe vb.) belirlemek;
  • kullanım durumlarını izleyin kişisel bilgisayarlar mesai saatleri dışında ve bu tür kullanımın amacını tanımlayın;
  • Kuruluşun bilgi güvenliği politikasını vb. ayarlamak ve iyileştirmek için hangi kararların alındığına bağlı olarak gerekli güvenilir bilgileri almak.

Bu işlevlerin uygulanması, AS iş istasyonlarına ve sunuculara, daha fazla durum sorgulaması veya onlardan rapor alınmasıyla aracı modüllerin (sensörlerin) eklenmesiyle gerçekleştirilir. Raporlar Güvenlik Yöneticisi Konsolu'nda işlenir. Bazı sistemler kendi alanlarını ve güvenlik gruplarını işleyen ara sunucularla (konsolidasyon noktaları) donatılmıştır.

Yürütülen sistem Analizi Piyasada sunulan çözümler (StatWin, Tivoli Configuration Manager, Tivoli Remote Control, OpenView Operations, Uryadnik/Enterprise Guard, Insider), gelecek vaat eden bir ASADP'nin karşılaştırmalı olarak performans göstergelerini iyileştireceğini bildiren bir dizi spesifik özelliği tanımlamayı mümkün kıldı Çalışılan örneklerle.

Genel durumda, oldukça geniş bir işlevsellik ve geniş bir seçenek paketinin yanı sıra, mevcut sistemler, belirtilen tüm AS öğelerinin (ve öncelikle iş istasyonunun) zorunlu bir döngüsel araştırmasına (tarama) dayalı olarak yalnızca bireysel AS kullanıcılarının faaliyetlerini izlemek için kullanılabilir. kullanıcılar).

Aynı zamanda, modern sistemlerin dağılımı ve ölçeği oldukça çok sayıda AWS, teknolojiler ve yazılım, kullanıcı çalışmasını izleme sürecini önemli ölçüde karmaşık hale getirir ve ağ cihazlarının her biri, binlerce denetim mesajı üreterek, büyük, çoğunlukla yinelenen veritabanlarının bakımını gerektiren oldukça büyük miktarda bilgiye ulaşma kapasitesine sahiptir. Bu araçlar, diğer şeylerin yanı sıra, önemli miktarda ağ ve donanım kaynağı tüketir ve paylaşılan sistemi yükler. Donanım ve yazılımın yeniden yapılandırılması konusunda esnek olmadıkları ortaya çıktı bilgisayar ağları, bilinmeyen ihlal türlerine ve ağ saldırılarına uyum sağlayamazlar ve güvenlik politikası ihlallerini tespit etmelerinin etkinliği büyük ölçüde AS öğelerinin güvenlik yöneticisi tarafından taranma sıklığına bağlı olacaktır.

Bu sistemlerin verimliliğini arttırmanın yollarından biri de doğrudan tarama sıklığını arttırmaktır. Bu, hem yöneticinin iş istasyonunda hem de kullanıcı iş istasyonlarının bilgisayarlarında bilgi işlem yükündeki önemli bir artış nedeniyle, aslında bu AS'nin amaçlandığı temel görevleri yerine getirme verimliliğinde kaçınılmaz olarak bir azalmaya yol açacaktır. trafiğin artmasıyla birlikte yerel ağ AC.

Mevcut izleme sistemlerinde, büyük miktarda verinin analiz edilmesiyle ilgili sorunların yanı sıra, bir insan operatör olarak yöneticinin fiziksel yeteneklerinin belirlediği insan faktörünün neden olduğu, alınan kararların verimliliği ve doğruluğu konusunda ciddi sınırlamalar bulunmaktadır.

Mevcut izleme sistemlerinde, kullanıcıların bariz yetkisiz eylemleri hakkında gerçek zamanlı olarak bildirimde bulunabilme yeteneğinin varlığı, sorunu bir bütün olarak temelden çözmez, çünkü yalnızca önceden bilinen ihlal türlerinin izlenmesine izin verir (imza yöntemi) ve mümkün değildir. yeni ihlal türlerine karşı önlem alın.

Bilgi güvenliği sistemlerinde bilgi güvenliğini sağlamak için kapsamlı yöntemlerin geliştirilmesi ve kullanılması, AS'den bir bilgi işlem kaynağının ek "seçimi" nedeniyle koruma düzeyinde bir artış sağlanması, AS'nin sorunları çözme yeteneğini azaltır. amaçlandığı görevler ve/veya maliyetini arttırır. Hızla gelişen bilişim teknolojisi pazarında bu yaklaşımın başarısızlığı oldukça açıktır.

Kullanıcı eylemlerini denetlemek (izlemek) için otomatik sistem. Gelecek vaat eden özellikler

Daha önce sunulan analiz sonuçlarından, gelecek vaat eden izleme sistemlerine aşağıdaki özelliklerin verilmesinin açık bir ihtiyaç olduğu anlaşılmaktadır:

  • rutin "manuel" işlemleri ortadan kaldıran otomasyon;
  • düzeyde yönetim ile merkezileştirmenin (otomatik bir güvenlik yöneticisi iş istasyonuna dayalı) birleşimi bireysel unsurlar(entelektüel bilgisayar programları) AS kullanıcılarının çalışmalarını izlemeye yönelik sistemler;
  • etkin işleyişi için gerekli bilgi işlem kaynaklarında önemli bir artış olmadan izleme sistemlerinin kapasitesinin artırılmasına ve yeteneklerinin genişletilmesine olanak tanıyan ölçeklenebilirlik;
  • AS'nin bileşimindeki ve özelliklerindeki değişikliklere ve ayrıca yeni tür güvenlik politikası ihlallerinin ortaya çıkmasına uyum sağlama.

AS'de uygulanabilecek, belirtilen ayırt edici özelliklere sahip olan ASADP A.Ş.'nin genelleştirilmiş yapısı çeşitli amaçlar için ve aksesuarlar Şekil 2'de gösterilmiştir. 3.

Verilen yapı aşağıdaki ana bileşenleri içerir:

  • Hoparlör sisteminin bazı elemanlarına (kullanıcı iş istasyonları, sunucular, ağ ekipmanı Denetim verilerini gerçek zamanlı olarak kaydetmek ve işlemek için kullanılan bilgi güvenliği araçları;
  • kullanıcı çalışmasına ilişkin ara bilgileri içeren kayıt dosyaları;
  • kayıt dosyaları aracılığıyla sensörlerden bilgi alan, analiz eden ve sonraki eylemlere ilişkin kararlar veren veri işleme ve karar verme bileşenleri (örneğin, bazı bilgilerin veri tabanına girilmesi, yetkililere bildirimde bulunulması, raporlar oluşturulması vb.);
  • raporların oluşturulduğu ve belirli bir süre boyunca AS'nin durumunun izlendiği tüm kayıtlı olaylar hakkında bilgi içeren bir denetim veritabanı (DB);
  • denetim veritabanında kayıtlı bilgilere ve kayıtları filtrelemeye (tarihe göre, kullanıcı kimliklerine göre, iş istasyonuna göre, güvenlik olaylarına göre vb.) dayalı olarak raporlar ve sertifikalar oluşturmaya yönelik bileşenler;
  • ASADP AS'nin iş istasyonuyla çalışmasını kontrol etmeye, bilgileri görüntülemeye ve yazdırmaya hizmet eden güvenlik yöneticisi arayüzünün bileşeni, çeşitli türler AS kullanıcılarının mevcut faaliyetlerinin gerçek zamanlı olarak izlenmesine ve çeşitli kaynakların mevcut güvenlik düzeyinin değerlendirilmesine olanak tanıyan veritabanı sorguları ve raporların oluşturulması;
  • ek bileşenler, özellikle sistemi yapılandırmak, sensörleri kurmak ve yerleştirmek, bilgileri arşivlemek ve şifrelemek vb. için yazılım bileşenleri.

ASADP AS'de bilgi işleme aşağıdaki aşamaları içerir:

  • kayıt bilgilerinin sensörler tarafından kaydedilmesi;
  • bireysel sensörlerden bilgi toplamak;
  • ilgili sistem temsilcileri arasında bilgi alışverişi;
  • kayıtlı olayların işlenmesi, analizi ve korelasyonu;
  • işlenen bilgilerin güvenlik yöneticisine normalleştirilmiş bir biçimde (rapor, grafik vb. şeklinde) sunulması.

Gerekli bilgi işlem kaynaklarını en aza indirmek, sistemin gizliliğini ve güvenilirliğini artırmak için bilgiler çeşitli AS elemanlarında saklanabilir.

Temel olarak yeni (AS kullanıcılarının çalışmalarını denetlemek için mevcut sistemlerle karşılaştırıldığında) otomasyon özellikleri, merkezileştirme ve merkezi olmayanlaştırma, ölçeklenebilirlik ve uyarlanabilirliğin bir kombinasyonunu verme görevine dayanarak, inşaatı için olası stratejilerden biri gibi görünüyor modern teknoloji entegre bir aracı topluluğu geliştirilerek uygulanan akıllı çok aracılı sistemler çeşitli türler(güvenlik politikasına aykırı kullanıcı eylemlerini tespit etme ve bunlara karşı koyma gibi belirli işlevleri uygulayan akıllı özerk programlar) ve etkileşimlerini organize eder.

Dosya ve klasörlere erişimi denetlemek için Windows Server 2008 R2'de denetim işlevini etkinleştirmeniz ve ayrıca erişimin kaydedilmesi gereken klasörleri ve dosyaları da belirtmeniz gerekir. Denetimi ayarladıktan sonra sunucu günlüğü, seçilen dosya ve klasörlerdeki erişim ve diğer olaylarla ilgili bilgileri içerecektir. Dosya ve klasörlere erişimin denetiminin yalnızca NTFS dosya sistemine sahip birimlerde gerçekleştirilebileceğini belirtmekte fayda var.

Windows Server 2008 R2'de dosya sistemi nesnelerinin denetlenmesini etkinleştirin

Dosyalar ve klasörler için erişim denetimi aşağıdakiler kullanılarak etkinleştirilir ve devre dışı bırakılır: grup politikaları: etki alanı için etki alanı politikası Aktif Dizin veya bağımsız sunucular için yerel güvenlik politikaları. Tek bir sunucuda denetimi etkinleştirmek için yönetim konsolunu açmalısınız yerel politikacı Başlat ->TümProgramlar ->YönetimAraçlar ->YerelGüvenlikPolitika. Yerel politika konsolunda yerel politika ağacını genişletmeniz gerekir ( YerelPolitikalar) ve bir öğe seçin DenetimPolitika.

Sağ panelde bir öğe seçmeniz gerekiyor DenetimNesneErişim ve beliren pencerede, dosya ve klasörlere ne tür erişim olaylarının kaydedilmesi gerektiğini belirtin (başarılı/başarısız erişim):


Gerekli ayarı seçtikten sonra tıklayın. TAMAM.

Erişimin kaydedileceği dosya ve klasörlerin seçilmesi

Dosya ve klasörlere erişim denetimi etkinleştirildikten sonra belirli nesneleri seçmeniz gerekir dosya sistemi, erişimi denetlenecek. NTFS izinlerinde olduğu gibi, denetim ayarları da varsayılan olarak tüm alt nesnelere aktarılır (aksi şekilde yapılandırılmadıkça). Tıpkı dosyalara ve klasörlere erişim hakları atarken olduğu gibi, denetim ayarlarının devralınması tüm nesneler için veya yalnızca seçilen nesneler için etkinleştirilebilir.

Belirli bir klasör/dosya için denetimi ayarlamak için üzerine tıklamanız gerekir sağ tık fareyi seçin ve Özellikler'i seçin ( Özellikler). Özellikler penceresinde Güvenlik sekmesine gidin ( Güvenlik) ve düğmeye basın Gelişmiş. Gelişmiş güvenlik ayarları penceresinde ( GelişmişGüvenlikAyarlar) Denetim sekmesine gidin ( Denetim). Denetimi ayarlamak elbette yönetici haklarını gerektirir. Bu aşamada denetim penceresinde, bu kaynak için denetimin etkinleştirildiği kullanıcıların ve grupların bir listesi görüntülenecektir:

Bu nesneye erişimi kaydedilecek kullanıcıları veya grupları eklemek için düğmeye tıklayın Eklemek… ve bu kullanıcıların/grupların adlarını belirtin (veya belirtin Herkes– tüm kullanıcıların erişimini denetlemek için):

Bu ayarları uyguladıktan hemen sonra sistem günlüğü Güvenlik (ek bileşende bulabilirsiniz) BilgisayarYönetim -> Olay Görüntüleyicisi), denetimi etkinleştirilen nesnelere her eriştiğinizde ilgili girişler görünecektir.

Alternatif olarak olaylar PowerShell cmdlet'i kullanılarak görüntülenebilir ve filtrelenebilir - Get-EventLogÖrneğin, olay kimliği 4660 olan tüm olayları görüntülemek için şu komutu çalıştırın:

Get-EventLog güvenliği | ?($_.eventid -eq 4660)

Tavsiye. Herhangi bir etkinliğe atanabilir Windows günlüğü göndermek gibi belirli eylemler e-posta veya komut dosyası yürütme. Bunun nasıl yapılandırıldığı makalede açıklanmaktadır:

06.08.2012 tarihinden itibaren güncelleme (Yorumcuya teşekkürler).

Windows 2008/Windows 7'de denetim yönetimi tanıtıldı özel yardımcı program denetimpol. Tam liste Denetimin etkinleştirilebileceği nesne türleri şu komut kullanılarak görülebilir:

Denetimpol / liste / alt kategori:*

Gördüğünüz gibi bu nesneler 9 kategoriye ayrılıyor:

  • Sistem
  • Oturum Açma/Oturumu Kapatma
  • Nesne Erişimi
  • Ayrıcalık Kullanımı
  • Detaylı Takip
  • Politika Değişikliği
  • Hesap Yönetimi
  • DS Erişimi
  • Hesap Oturum Açma

Ve buna göre her biri alt kategorilere ayrılmıştır. Örneğin, Nesne Erişimi denetim kategorisi Dosya Sistemi alt kategorisini içerir ve bilgisayardaki dosya sistemi nesnelerinin denetimini etkinleştirmek için şu komutu çalıştırın:

Auditpol /set /alt kategori:"Dosya Sistemi" /başarısızlık:etkinleştirme /başarı:etkinleştirme

Komuta göre devre dışı bırakılır:

Auditpol /set /alt kategori:"Dosya Sistemi" /başarısızlık:devre dışı bırakma /başarı:devre dışı bırakma

Onlar. Gereksiz alt kategorilerin denetimini devre dışı bırakırsanız günlük hacmini ve gereksiz olayların sayısını önemli ölçüde azaltabilirsiniz.

Dosya ve klasörlere erişim denetimi etkinleştirildikten sonra, izleyeceğimiz belirli nesneleri (dosya ve klasörlerin özelliklerinde) belirtmeniz gerekir. Varsayılan olarak denetim ayarlarının tüm alt nesnelere (aksi belirtilmediği sürece) miras alındığını unutmayın.

Bazen bir soruyu cevaplamamızı gerektiren olaylar olur. "kim yaptı?" Bu "nadiren ama kesin olarak" gerçekleşebilir, bu nedenle sorunun cevabına önceden hazırlanmalısınız.

Hemen hemen her yerde, bir dosya sunucusunda veya iş istasyonlarından birinde herkesin erişebileceği (Paylaşılan) bir klasörde saklanan belge grupları üzerinde birlikte çalışan tasarım departmanları, muhasebe departmanları, geliştiriciler ve diğer çalışan kategorileri vardır. Birisi bu klasörden önemli bir belgeyi veya dizini silebilir ve bunun sonucunda tüm ekibin çalışması kaybolabilir. Bu durumda daha önce sistem yöneticisi Birkaç soru ortaya çıkıyor:

    Sorun ne zaman ve saat kaçta ortaya çıktı?

    Bu zamana en yakın olan hangisi yedek kopya veriler geri yüklenmeli mi?

    Belki vardı sistem hatası hangisi tekrar olabilir?

Windows'un bir sistemi var Denetim, ne zaman, kim tarafından ve hangi program belgelerinin silindiği hakkındaki bilgileri izlemenize ve günlüğe kaydetmenize olanak tanır. Varsayılan olarak Denetim etkin değildir; izlemenin kendisi belirli bir sistem gücü yüzdesi gerektirir ve her şeyi kaydederseniz yük çok büyük olur. Üstelik tüm kullanıcı eylemleri ilgimizi çekmeyebilir, bu nedenle Denetim politikaları yalnızca bizim için gerçekten önemli olan olayların izlenmesini etkinleştirmemize olanak tanır.

Denetim sistemi her şeyin içine yerleştirilmiştir işletim sistemi MicrosoftpencerelerNT: Windows XP/Vista/7, Windows Sunucusu 2000/2003/2008. Maalesef seri sistemlerde Windows Ana Sayfası denetim derinlemesine gizlenmiştir ve yapılandırılması çok zordur.

Neyin yapılandırılması gerekiyor?

Denetimi etkinleştirmek için, paylaşılan belgelere erişim sağlayan bilgisayarda yönetici haklarıyla oturum açın ve komutu çalıştırın. BaşlangıçKoşmakgpedit.msc. Bilgisayar Yapılandırması bölümünde klasörü genişletin Windows AyarlarıGüvenlik ayarlarıYerel PolitikalarDenetim Politikaları:

Politikaya çift tıklayın Nesne erişimini denetle (Nesne erişim denetimi) ve onay kutusunu seçin Başarı. Bu ayar, bir mekanizmanın dosyalara ve kayıt defterine başarılı erişimi izlemesini sağlar. Aslında biz yalnızca dosya veya klasörleri silmeye yönelik başarılı girişimlerle ilgileniyoruz. Denetimi yalnızca izlenen nesnelerin doğrudan depolandığı bilgisayarlarda etkinleştirin.

Yalnızca Denetim politikasını etkinleştirmek yeterli değildir; hangi klasörleri izlemek istediğimizi de belirtmemiz gerekir. Genellikle bu tür nesneler, ortak (paylaşılan) belge klasörleri ve üretim programları veya veritabanları (muhasebe, depo vb.) - yani birkaç kişinin çalıştığı kaynaklar - içeren klasörlerdir.

Dosyayı tam olarak kimin sileceğini önceden tahmin etmek imkansızdır, bu nedenle izleme Herkes için belirtilir. Herhangi bir kullanıcının izlenen nesneleri silmeye yönelik başarılı girişimleri günlüğe kaydedilecektir. Gerekli klasörün özelliklerini çağırın (bu tür birkaç klasör varsa, hepsi sırayla) ve sekmede Güvenlik → Gelişmiş → Denetim konu takibi ekle Herkes başarılı erişim girişimleri Silmek Ve Alt Klasörleri ve Dosyaları Sil:


Oldukça fazla sayıda olay günlüğe kaydedilebilir, dolayısıyla günlük boyutunu da ayarlamanız gerekir. Güvenlik(Emniyet), kaydedilecekleri yer. İçin
bu komutu çalıştır BaşlangıçKoşmakolayvwr. yüksek lisans. Açılan pencerede Güvenlik günlüğünün özelliklerini çağırın ve aşağıdaki parametreleri belirtin:

    Maksimum Günlük Boyutu = 65536 K.B.(iş istasyonları için) veya 262144 K.B.(sunucular için)

    Gerektiğinde olayların üzerine yazın.

Aslında belirtilen rakamların doğruluğu garanti edilmez, ancak her özel durum için ampirik olarak seçilir.

pencereler 2003/ XP)?

Tıklamak BaşlangıçKoşmakeventvwr.msc Güvenlik. GörüşFiltre

  • Olay Kaynağı: Güvenlik;
  • Kategori: Nesne Erişimi;
  • Olay Türleri: Başarı Denetimi;
  • Olay Kimliği: 560;


Her girişte aşağıdaki alanlara dikkat ederek filtrelenen etkinlikler listesine göz atın:

  • Nesneİsim. Aradığınız klasör veya dosyanın adı;
  • ResimDosyaİsim. Dosyayı silen programın adı;
  • Erişimler. Talep edilen haklar kümesi.

Bir program aynı anda sistemden birden fazla erişim türü talep edebilir; örneğin, Silmek+ Senkronize et veya Silmek+ Okumak_ Kontrol. Bizim için önemli bir hak Silmek.


Peki belgeleri kim sildi (pencereler 2008/ Manzara)?

Tıklamak BaşlangıçKoşmakeventvwr.msc ve görüntülemek için dergiyi açın Güvenlik. Günlük, sorunla doğrudan ilgili olmayan olaylarla dolu olabilir. Güvenlik günlüğüne sağ tıklayın ve GörüşFiltre ve görüntülemenizi aşağıdaki kriterlere göre filtreleyin:

  • Olay Kaynağı: Güvenlik;
  • Kategori: Nesne Erişimi;
  • Olay Türleri: Başarı Denetimi;
  • Olay Kimliği: 4663;

Tüm silme işlemlerini kötü amaçlı olarak yorumlamak için acele etmeyin. Bu işlev genellikle programın normal çalışması sırasında kullanılır; örneğin bir komutun yürütülmesi Kaydetmek(Kaydetmek), paket programlar MicrosoftOfisönce yeni bir geçici dosya oluşturun, belgeyi bu dosyaya kaydedin ve ardından silin önceki versiyon dosya. Benzer şekilde, birçok veritabanı uygulaması başlatıldığında ilk olarak geçici bir kilit dosyası oluşturur. (. ck), daha sonra programdan çıkarken silin.

Uygulamada kullanıcıların kötü niyetli eylemleriyle uğraşmak zorunda kaldım. Örneğin, belirli bir şirketin çatışan bir çalışanı, işinden ayrıldıktan sonra, işinin tüm sonuçlarını yok etmeye, ilişkili olduğu dosya ve klasörleri silmeye karar verdi. Bu tür olaylar açıkça görülebilir; güvenlik günlüğünde saniyede onlarca, yüzlerce giriş oluştururlar. Tabii ki, belgeleri geri yükleme GölgeKopyalar (Gölge Mızrakları) ya da her gün otomatik olarak oluşturulan bir arşiv zor değil ama aynı zamanda “Bunu kim yaptı?” sorularına da cevap verebildim. ve "Bu ne zaman oldu?"