Rambler's Top100
Статьи
Айк ТАТЕВОСЯН  30 апреля 2020

Глубокая аналитика на страже безопасности удаленной работы

Одной из главных проблем, с которой столкнулись подразделения информационной безопасности при массовом переходе на «удаленку», стала однозначная идентификация сотрудников и оценка достоверности и актуальности информации, получаемой с их рабочих станций.

Классические средства защиты информации подобным функционалом не обладают. Системы класса User Entity Behavior Analytics (UEBA) ближе решению этой задачи, но доступны сравнительно небольшому количеству компаний. Но даже такие системы недостаточно гибки и не способны охватить все существующие и потенциальные бизнес-сценарии.

Таким образом, новые реалии вносят коррективы в знакомую ИБ-специалистам задачу мониторинга деятельности пользователей и требуют адекватного ответа со стороны людей, принимающих решения о выборе технологий. Теперь нужно учитывать два тренда: массовый переход пользователей на удаленную работу и распространение гибких инструментов контроля и аналитики. 

Для мониторинга деятельности удаленных пользователей необходима комплексная система со встроенными алгоритмами машинного обучения. Такая система позволит автоматизировать процессы детектирования и реагирования на инциденты и обеспечит серьезную информационную поддержку принятия решений топ-менеджментом.

Деятельность в сфере мониторинга ИБ можно категоризировать следующим образом:
  1. Реагирование на инциденты ИБ, связанные с использованием учетных записей.
  2. Мониторинг учетных записей с административными привилегиями.
  3. Аудит доступа в информационные системы.
  4. Анализ работы с критичными данными.
  5. Анализ механизмов безопасности прикладного ПО.
  6. Непрерывный мониторинг рисков ИБ.
  7. Защита от киберугроз.
Центр анализа и мониторинга активности удаленных пользователей должен обеспечивать решение следующих общих задач: сбор, обработка и долгосрочное хранение событий ИБ, мониторинг соблюдения принятых в организации бизнес-процессов, автоматизация ETL-процессов и интерактивное построение конвейера обработки данных, автоматизация анализа данных путем интерактивного формирования OLAP-кубов и аналитических моделей, возможность формирования графиков, диаграмм и таблиц по результатам проведенного анализа.

Сценарий работы удаленного сотрудника может быть приблизительно следующим: подключение удаленного компьютера по VPN к корпоративной сети. Система с помощью агента анализирует защищенность удаленного устройства. После того, как устройство прошло проверку защищенности, сотрудник может подключиться к корпоративным приложениям, работать с файлами, в том числе на удаленном устройстве. С момента подключения сотрудника к корпоративной сети агент собирает информацию о его действиях на удаленном устройстве. Объектами сбора являются:
  • статическая и динамическая информация на рабочих станциях;
  • файлы с логических/физических дисков, мобильных телефонов;
  • оперативная память (процессы, DLL, драйверы и пр.), история и кэш браузеров, журналы событий, файлы реестра.
Вся собранная информация направляется в центр мониторинга поведения пользователя. Здесь она консолидируется с информацией, которую систему получила от устройств защищенной сети и корпоративных приложений за время работы сотрудника. Центр мониторинга проводит профилирование пользователей и выявляет аномалии в их поведении. В случае обнаружения инцидентов агент удаленного доступа позволяет оперативно менять политики безопасности на соответствующем устройстве и при необходимости предоставить доступ к нему сотруднику подразделения ИБ.

Центр мониторинга должен обеспечивать ИБ-специалистам и топ-менеджменту возможность принятия решений на основе детектирования нетипичных активностей удаленных пользователей, несанкционированного использования ими учетных записей, а также детализации сессий пользователей и выставления негативного рейтинга их действиям с помощью соответствующих математических моделей.

Айк Татевосян, руководитель центра исследований и разработки, CrossTech Solutions Group
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!