1 / 19

Мониторинг деятельности сотрудников: как не погрязнуть под лавиной информации

Мониторинг деятельности сотрудников: как не погрязнуть под лавиной информации. Содержание. Проблематика и тенденции Решение Архитектура и примеры использования Итоги. Инсайдеры. Защита конф. информации. Нормативные требования. Расследования инцидентов. Мониторинг сетевой активности.

angelica-saunders
Download Presentation

Мониторинг деятельности сотрудников: как не погрязнуть под лавиной информации

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Мониторинг деятельности сотрудников: как не погрязнуть под лавиной информации

  2. Содержание • Проблематика и тенденции • Решение • Архитектура и примеры использования • Итоги

  3. Инсайдеры Защита конф. информации Нормативные требования Расследования инцидентов Мониторинг сетевой активности Эволюция задач ИБ: от защиты ресурсов к защите информации • До недавнего времени, фокус систем ИБ был на защите ресурсов • Периметр организации, ключевые ресурсы • Защита от утечек по заданным параметрам • Бизнес-процессы определяют структуру ИТ • Мобильные устройства, порталы, VPN, консультанты, временные работники • Контролируемый легитимный доступ к ресурсам • Разграничение доступа • Отсутствие решений, предоставляющих полноценную информацию о внутрисетевой активности • Объем и скорость трафика в ядре намного выше, чем на периметре • Необходимы инструменты анализа и контроля с высокой производительностью

  4. Проблематика • Наиболее ценными являются не ИТ-ресурсы, а информация • Ноу-хау, перс. данные, финансы и пр. • Хранение – в БД, файловых системах, мобильных носителях, смартфонах... • Обеспечить доступ к информации – для бизнес- процессов • Обеспечить контролируемый авторизованный доступ к информации – задача ИБ • Контроль доступа к информации на любых ресурсах • В режиме реального времени • Автоматизация процесса (мониторинг, реагирование, расследования)

  5. Обеспечение контроля доступа к информации • Запретить доступ к информации – невозможно: необходимы решения для контроля и мониторинга над деятельностью пользователей ресурсов • Обеспечить авторизованный доступ • Обеспечить защиту информации от нелегитимного использования • Выявить каналы утечек информации Традиционные решения • МЭ, IPS/IDS, WAF • Права доступа к ресурсам (AD, базы данных и пр.) • DLP – защита от утечек • Системы логирования событий, системы корреляции событий

  6. Перегрузка информацией • Ограниченные ресурсы при увеличении объема работы • Все большее количество ИТ-ресурсов – увеличение количества угроз • Различные решения мониторингаХсистемы управления Х логи = лавина информации • Разрозненность систем • Отсутствие общей «картины действий» • Невозможность своевременного выявления угроз или нелегитимных действий • Человеческий фактор • Высокая стоимость (CAPEX, OPEX)

  7. Решение компании PacketMotion - PacketSentry • Обеспечивает мониторинг и контроль над всей активностью пользователей ИТ-ресурсов • Обеспечивает реагирование на события в реальном времени • Снижает нагрузку на ИТ-ресурсы • Внедрение без агентского ПО • Снижает нагрузку на отдел ИБ • Мониторинг всех ресурсов, отчетность по выбору оператора • Автоматизирует процесс реагирования на события • Позволяет привязать все действия сотрудников к Active Directory (или LDAP) • Значительно расширяет возможности защиты ресурсов

  8. Наличие знания о сетевой активности сотрудников Защита конфиденциальных данных Отчеты о соблюдении политики безопасности и нормативных актов Аудиты в сфере безопасности Анализ сети PacketSentry обеспечивает полную прозрачность активности пользователей • Благодаря PacketSentry вы знаете: • кто ваши пользователи или группы; • чем заняты т.н. неизвестные пользователи; • к каким файлам они осуществляют доступ; • какие файлы они отправляюти куда • доступ к каким серверам и ресурсам они осуществляют; • какие приложения они используют; • доступ к какой информации в базе данных они осуществляют; • когда и как они осуществляют доступ к информации. Интерфейс системы доступен с помощью стандартного браузера!

  9. Архитектура

  10. Remote Office Servers Probe Probe Users PacketSentry Manager Решение PacketMotion • Сенсоры (probes) обрабатывают трафик в дата-центре, или любых других уровнях сети (ядро, уровень доступа, филиалы) • Подключение через SPAN-порткоммутатора (port-mirroring) • Поддержка всех основных протоколов • От дата-центра до филиала (2Gbps– 100 mbps) • Корреляция с учетной записью пользователя (Active Directory or LDAP) • Результат: отчет об активности Пользователя • Manager (система отчетностии реагирования)сохраняет записи в базе данных, с возможностью полноценной индексации для быстрого и эффективного поиска и отчетов • Возможность настройки правил реагирования – от уведомлений до активных действий (сброс соединения, syslog-уведомление, предупреждение по email) • Все события сохраняются перманентно • Интеграция с AD, LDAP-совместимыми системами • Установка в режиме off-line • Типичная установка – около 2х часов • Без влияния на трафик и приложения

  11. Внедрение

  12. PacketSentry примеры использования: Защита конфиденциальной информации Общая информация о доступе к ресурсам - Кто, когда, каким образом... Уведомления о превышении обычных уровней доступа к информации Автоматические уведомления и отчеты при исключениях из общих правил доступа Уведомления в реальном режиме или блокировка в случае серьезных нарушений

  13. PacketSentry примеры использования: Расследование инцидентов для всех критических бизнес функций HR Finance Legal Operations • PacketSentry позволяет отделу безопасности или службе IT отвечать на требования бизнес-структур организации • Пример – что делал пользователь Иванов за две недели до увольнения, 6 месяцев назад

  14. PacketSentry примеры использования: Контроль над привилегированными пользователями Сгенерирован отчет о других нелегитимных действиях пользователя Информация предоставлена в соотв. отдел для расследования IT “администратор”копирует информацию с сервера в финансовом отделе Запись информации об инциденте в систему Уведомление посылается в отдел ИБ PacketSentry обнаруживаетнесанкционированный доступ в это же время

  15. Мониторинг и контроль Citrix XenApp и Windows Terminal Services клиентов • Проблематика • Отсутствие возможностей мониторинга и аудита активности при использовании Citrix XenApp (Presentation Server) и Windows Terminal Services (WTS) thin client • Решение • PacketSentryCitrix/WTSServer Agent – полноценный мониторинг и аудит для среды Citrix/WTS • Польза • Полноценный аудит активности пользователей Citrix/WTS • Без агентского ПО на рабочих станциях • Прозрачность действий сотрудников, консультантов или аутсорсеров • Мониторинг использования сетевых ресурсов пользователями Citrix/WTS • Соответствие требованиям отчетности в виртуализированной среде • Легкость внедрения, управления и поддержки – снижение операционных расходов

  16. PacketSentry SourceSync for WindowsПрозрачность действий (RDP, консоль) • Аудит критической активности при использовании консоли или RDP подключения • Полноценный аудит локальных действий на сервере • Login/Logoff • Доступ к файловым системам, изменение прав доступа • Администрирование локальных уч. Записей • Управление процессами приложений • Очистка логов, удаление • Отвечает нормативным требованиям Аудит активности ИТ Администратора • Полноценное журналирование в БД PacketSentry • Решает проблему «мертвых зон» контроля: делает прозрачной активность зашифрованных RDP и консольных сессий • Точная идентификация пользователя: Корреляция RDP UserID с учетной записью реального пользователя рабочей станции • Работает без агентского ПО – решение подключается к серверам и анализирует логи в реальном времени!

  17. Итоги - преимущества использования PacketSentry • Единый инструмент, обеспечивающий мониторинг и контроль • Базы данных, WindowsFile Sharing, Web, SMTP, FTP, Sharepoint, NFS…. • возможность приобрести, эксплуатировать и обеспечивать поддержку меньшего количества решений • Облегчает проблему, связанную с перегрузкой данными и их анализом • Корелляция всех учётных данных пользователей, приложений и событий • составление отчётов по политикам и «белым спискам» с реакцией на исключения • быстрый и легкий поиск способствует эффективным проверкам в сфере безопасности • Интеграция с системами SIEM (Arcsight, Cisco MARS) • Единое решение для отслеживания деятельности в области выполнения и нарушения нормативных требований • может быть применён в целях контроля соответствия нормативным требованиям, а также даёт ряд преимуществ в сфере общего обеспечения безопасности (например, контроль доступа администратора и третьей стороны, мониторинг транзакций, контроль за изменениямиконфигураций и пр.) • PCI-DSS • Очень низкие расходы на интеграцию • отсутствие агентских приложений на клиентских ПК и серверах, отсутствие интегрированных в разрыв устройств • Нет необходимости в активной работе с группой IT • Установка и настройка обычно занимает несколько часов

  18. PacketMotion – о компании • PacketMotion – ведущий разработчик решений мониторинга активности пользователей • Предоставление полноценной информации и контроля внутрисетевой активности пользователей • Штаб-квартира в San Jose, CA, USA; основана в 2004 г. • На рынке РФ с 2008 г. • Дистрибутор в РФ – SafeLine, ГК "Информзащита" • Основной продукт – PacketSentry: Аппаратно-программный комплекс для анализа активности пользователей IT-ресурсов • 4 Intel quad-core процессора в устройстве для обработкимульти-гигабитного трафика в онлайн-режиме • Интегрированная БД Oracle Enterprise для устойчивости, доступности и масштабирования • Частная компания; основные инвесторы - Intel Capital, Mohr Davidow Ventures, ONSET Ventures • Применение в разных сферах: Финансы, госсектор, ТЭК, промышленность, медицина

  19. Спасибо за внимание Юлий Демурджян jdemurjian@packetmotion.com +7 495 544 7556 www.packetmotion.com sales_ru@packetmotion.com ООО «СОВТЕЛ» Сергей Шайдуров +7 495 788 88 98 www.sovtel.ru sns@sovtel.ru

More Related