Центр мониторинга поведения удалённых пользователей: как бизнесу обезопасить данные
Атциев
ведущий пресейл-инженер отдела информационной безопасности компании Cross Technologies
Текущая ситуация, связанная с пандемией коронавируса заставляет компании уделять особое внимание вопросам организации удаленного рабочего места. Количество россиян, которые работают в компаниях, полностью перешедших на удаленный режим работы с конца марта, выросло почти в пять раз. К таким выводам пришли специалисты портала "Работа.ру" после опроса 6700 пользователей сервиса во всех регионах России. Такое резкое изменение режима работы— это серьезный вызов для бизнеса. Во-первых, необходимо обеспечить сотрудников удобными рабочими местами и ПО. Во-вторых, такое резкое изменение режима и способа работы несет за собой новые угрозы информационной безопасности.
Для бизнеса очень важно сохранить контроль над корпоративными ресурсами, отслеживать деятельность удаленных сотрудников, анализировать их эффективность, выявлять попытки мошеннических действий. Чтобы обеспечить безопасность удаленного доступа, компаниям необходимо проводить постоянный мониторинг поведения удаленных пользователей, при этом отслеживать и оперативно предоставлять данные, а затем формировать операционную отчетность. Примером такой системы является центр мониторинга поведения удаленных пользователей.
Основными источниками событий при создании такого центра мониторинга являются удаленные АРМы, сетевое оборудование, а также корпоративные сервисы, с помощью которых сотрудники выполняют бизнес-задачи.
Если рассматривать на примере, то сценарий работы сотрудника будет приблизительно следующий: подключение удаленного компьютера по VPN к корпоративным приложениям, последующая работа в нем, работа с файлами, в том числе и на удаленном устройстве. Система с помощью агента выполняет анализ защищенности удаленного устройства. После того, как удаленное устройство прошло проверку защищенности, сотрудник может подключиться к корпоративным приложениям. На момент подключения сотрудника к корпоративной сети агент собирает информацию о действиях работника на удаленном устройстве. Объектами сбора являются:
- Статическая и динамическая информация на рабочих станциях;
- Файлы с логических/физических дисков, мобильных телефонов;
- Оперативная память (процессы, DLL, драйверы и пр.), история и кэш браузеров, журналы событий, файлы реестра.
Вся собранная информация направляется в центр мониторинга поведения пользователя с целью выявления информации. Здесь она консолидируется с информацией, которую систему получила от устройств защищенной сети и корпоративных приложений на время работы сотрудника. Центр мониторинга проводит профилирование пользователей и выявляет аномалии в их поведении. В случае выявления инцидентов, агент на удаленного доступе позволяет оперативно менять политики безопасности на устройстве и, если необходимо получить доступ к устройству.
При обработке данных служба информационной безопасности сталкивается с рядом проблем, среди которых большие массивы информации, которые необходимо обработать, высокие трудозатраты аналитиков на обработку данных, сложность выявления аномальной активности пользователей или недостаточное понимание реальной причины возникновения инцидентов.
Для решения этих проблем необходимо использовать алгоритмы машинного обучения, особенно при анализе данных. Такой подход в первую очередь позволяет выявлять сложные инциденты информационной безопасности, к которым относятся: выявление скрытых взаимосвязей между данными, которые невозможно обнаружить классическими сигнатурными методами и анализ пользовательской активности, путем создания профилей поведения.
При профилировании пользователей создаются поведенческие модели, опирающиеся на сущности пользователя, бизнес-приложения, а также основываясь на анализе сетевого трафика.
Профилирование проводится по множеству метрик, включая количество пользовательских транзакций, частоту пользовательских транзакций, типы пользовательских транзакций, временные интервалы пользовательских транзакций, источники пользовательских транзакций, геоактивность пользователей, корреляцию между всеми учетными записями, принадлежащими пользователю с учетом должности, подразделения, локации, типа системы и пр.
По итогам внедрения системы обеспечения безопасного удаленного доступа компания получает мощный инструмент мониторинга поведения удаленных пользователей, который позволяет следить за активностью сотрудников и инцидентами информационной безопасности в реальном времени.