Jump to content

Мониторинг активности пользователей

Add links

В сфере безопасности информационной мониторинг активности пользователей (UAM) или анализ активности пользователей (UAA) — это мониторинг и запись действий пользователей. UAM фиксирует действия пользователя, включая использование приложений, открытие окон, выполнение системных команд, установку флажков, ввод/редактирование текста, посещение URL-адресов и почти все другие события на экране, чтобы защитить данные , гарантируя, что сотрудники и подрядчики остаются в пределах своих полномочий. задачи и не представляют риска для организации.

Программное обеспечение для мониторинга активности пользователей может обеспечивать воспроизведение активности пользователя в формате видео и обрабатывать видео в журналах активности пользователей, в которых ведутся пошаговые записи действий пользователя, которые можно искать и анализировать для расследования любых действий, выходящих за рамки области применения. [1]

Фон

[ редактировать ]

Потребность в UAM возросла из-за увеличения количества инцидентов безопасности, которые прямо или косвенно затрагивают учетные данные пользователей, раскрывают информацию компании или конфиденциальные файлы. произошла 761 утечка данных , в результате чего было раскрыто более 83 миллионов записей клиентов и сотрудников. В 2014 году в США [2] Поскольку 76% этих нарушений происходят из-за слабых или злоупотреблений учетными данными пользователей, UAM стал важным компонентом ИТ-инфраструктуры . [3] Основными группами пользователей, для которых UAM стремится снизить риски, являются:

Подрядчики

[ редактировать ]

Подрядчики используются в организациях для выполнения операционных задач в области информационных технологий . Удаленные поставщики, имеющие доступ к данным компании, представляют собой риск. Даже при отсутствии злого умысла внешний пользователь, например подрядчик, представляет собой серьезную угрозу безопасности.

Пользователи

[ редактировать ]

70% обычных бизнес-пользователей признались, что имеют доступ к большему количеству данных, чем необходимо. Обобщенные учетные записи предоставляют обычным бизнес-пользователям доступ к секретным данным компании. [4] Это делает инсайдерские угрозы реальностью для любого бизнеса, использующего обобщенные учетные записи.

ИТ-пользователи

[ редактировать ]

Учетные записи администраторов тщательно контролируются из-за высокого уровня доступа к ним. Однако текущие инструменты ведения журнала могут вызвать «усталость ведения журнала» в этих учетных записях администратора. Усталость журналов — это непреодолимое ощущение от попыток обработки огромного количества журналов в учетной записи в результате слишком большого количества действий пользователя. Вредные действия пользователей можно легко не заметить, поскольку каждый день собираются тысячи действий пользователей.

Общий риск

[ редактировать ]

Согласно отчету Verizon об инциденте с утечкой данных, «первым шагом в защите ваших данных является знание того, где они находятся и кто имеет к ним доступ». [2] В сегодняшней ИТ-среде «отсутствует надзор и контроль над тем, как и кто из сотрудников имеет доступ к конфиденциальной, чувствительной информации». [5] Этот очевидный пробел является одним из многих факторов, которые привели к возникновению большого количества проблем с безопасностью для компаний.

Компоненты

[ редактировать ]

Большинство компаний, использующих UAM, обычно разделяют необходимые аспекты UAM на три основных компонента.

Визуальная криминалистика

[ редактировать ]

Визуальная криминалистика включает в себя создание визуальной сводки потенциально опасной активности пользователя. Каждое действие пользователя протоколируется и записывается. После завершения сеанса пользователя UAM создает как письменную, так и визуальную запись, будь то снимки экрана или видео того, что именно сделал пользователь. Эта письменная запись отличается от записи SIEM или инструмента ведения журналов , поскольку она собирает данные на уровне пользователя, а не на уровне системы, предоставляя журналы на простом английском языке, а не SysLogs (изначально созданные для целей отладки). Эти текстовые журналы сопровождаются соответствующими снимками экрана или видеосводками. Используя соответствующие журналы и изображения, компонент визуальной криминалистики UAM позволяет организациям искать точные действия пользователя в случае инцидента безопасности. В случае угрозы безопасности, то есть утечки данных, используется визуальная криминалистика, чтобы точно показать, что сделал пользователь, и все, что привело к инциденту. Визуальная криминалистика также может использоваться для предоставления доказательств любому правоохранительные органы , которые расследуют вторжение .

Оповещение об активности пользователя

[ редактировать ]

Оповещение об активности пользователей служит для уведомления того, кто управляет решением UAM, о сбое или ошибке, касающейся информации компании. Оповещение в режиме реального времени позволяет администратору консоли получать уведомления в момент возникновения ошибки или вторжения. Оповещения агрегируются для каждого пользователя, чтобы предоставить профиль риска пользователя и рейтинг угроз. Оповещения настраиваются на основе комбинаций пользователей, действий, времени, местоположения и метода доступа. Оповещения могут быть вызваны просто, например, при открытии приложения или вводе определенного ключевого слова или веб-адреса. Оповещения также можно настроить на основе действий пользователя в приложении, таких как удаление или создание пользователя и выполнение определенных команд.

Аналитика поведения пользователей

[ редактировать ]

Аналитика поведения пользователей добавляет дополнительный уровень защиты, который поможет специалистам по безопасности следить за самым слабым звеном в цепочке. Отслеживая поведение пользователя с помощью специального программного обеспечения, которое точно анализирует действия пользователя во время сеанса, специалисты по безопасности могут привязать фактор риска к конкретным пользователям и/или группам и немедленно получать предупреждение с помощью красного флажка при высоком уровне. Пользователь -risk делает что-то, что можно интерпретировать как действие с высоким риском, например экспорт конфиденциальной информации о клиенте, выполнение больших запросов к базе данных , выходящих за рамки его роли, доступ к ресурсам, к которым ему не следует обращаться, и т. д.

Функции

[ редактировать ]

Регистрация активности

[ редактировать ]

UAM собирает пользовательские данные, записывая действия каждого пользователя в приложениях, веб-страницах , внутренних системах и базах данных. UAM охватывает все уровни доступа и стратегии доступа ( RDP , SSH , Telnet , ICA , прямой вход в консоль и т. д.). Некоторые решения UAM сочетаются со Citrix и VMware средами .

Журналы активности пользователей

[ редактировать ]

Решения UAM записывают все документированные действия в журналы активности пользователей. Журналы UAM совпадают с видеовоспроизведением одновременных действий. Некоторыми примерами регистрируемых элементов являются имена запущенных приложений, заголовки открытых страниц, URL-адреса, текст (введенный, отредактированный, скопированный/вставленный), команды и сценарии.

Воспроизведение, подобное видео

[ редактировать ]

UAM использует технологию записи экрана , которая фиксирует отдельные действия пользователя. Каждое воспроизведение видео сохраняется и сопровождается журналом активности пользователя. Воспроизведение отличается от традиционного воспроизведения видео до скрапинга экрана , который представляет собой объединение последовательных снимков экрана в видеоповтор . Журналы активности пользователей в сочетании с видеовоспроизведением предоставляют сводную информацию обо всех действиях пользователя с возможностью поиска. Это позволяет компаниям не только читать, но и просматривать, что именно делал конкретный пользователь в системах компании.

Конфиденциальность

[ редактировать ]

Поставит ли мониторинг активности пользователей под угрозу их конфиденциальность, зависит от того, как конфиденциальность определяется в различных теориях. В то время как в «теории контроля» конфиденциальность определяется как уровни контроля, которые человек имеет над своей личной информацией, «теория неограниченного доступа» определяет конфиденциальность как доступность своих личных данных другим. Используя теорию контроля, некоторые утверждают, что система мониторинга снижает контроль людей над информацией и, следовательно, независимо от того, будет ли система фактически введена в эксплуатацию, приведет к потере конфиденциальности. [6]

Аудит и соблюдение требований

[ редактировать ]

Многие нормативные акты требуют определенного уровня UAM, в то время как другие требуют журналов активности только для целей аудита. UAM соответствует множеству нормативных требований ( HIPAA , ISO 27001 , SOX , PCI и других). UAM обычно реализуется с целью аудита и соблюдения требований, чтобы компании могли сделать свои аудиты проще и эффективнее. Запрос информации аудита о деятельности пользователя может быть удовлетворен с помощью UAM. В отличие от обычных инструментов ведения журнала или SIEM , UAM может помочь ускорить процесс аудита за счет создания средств контроля, необходимых для навигации во все более сложной нормативной среде. Возможность воспроизведения действий пользователя обеспечивает поддержку определения воздействия на регулируемую информацию во время реагирования на инциденты безопасности.

Устройство против программного обеспечения

[ редактировать ]

UAM имеет две модели развертывания. Подходы к мониторингу на основе устройств, в которых используется специальное оборудование для мониторинга путем анализа сетевого трафика. Подходы к программному мониторингу, в которых используются программные агенты, установленные на узлах, к которым обращаются пользователи.

Чаще всего программное обеспечение требует установки агента в системах (серверах, настольных компьютерах, серверах VDI, терминальных серверах), пользователей которых вы хотите отслеживать. Эти агенты фиксируют активность пользователей и передают информацию обратно на центральную консоль для хранения и анализа. Эти решения могут быть быстро развернуты поэтапно, в первую очередь ориентируясь на пользователей и системы с высоким уровнем риска с конфиденциальной информацией, что позволяет организации быстро приступить к работе и расшириться за счет новых групп пользователей по мере необходимости бизнеса.

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ «Что такое программное обеспечение для мониторинга активности пользователей?» . АктивТрак . 17 февраля 2019 года . Проверено 5 марта 2019 г.
  2. ^ Перейти обратно: а б «Отчеты об утечках данных» (PDF) . Ресурсный центр по краже личных данных . 31 декабря 2014 года . Проверено 19 января 2015 г.
  3. ^ «Отчет о расследовании утечки данных за 2014 год» . Веризон . 14 апреля 2014 года . Проверено 19 января 2015 г.
  4. ^ «Виртуализация: раскрытие нематериального предприятия» . Партнеры по управлению предприятием . 14 августа 2014 года . Проверено 19 января 2015 г.
  5. ^ «Корпоративные данные: защищенный актив или бомба замедленного действия?» (PDF) . Институт Понемонов . Декабрь 2014 года . Проверено 19 января 2015 г.
  6. ^ Мартин, Кирстен; Фриман, Р. Эдвард (1 апреля 2003 г.). «Некоторые проблемы с мониторингом сотрудников» . Журнал деловой этики . 43 (4): 353–361. дои : 10.1023/А:1023014112461 . ISSN   1573-0697 .
Retrieved from "https://en.wikipedia.org/w/index.php?title=User_activity_monitoring&oldid=1235999347"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 202a70967b16f410d5bb9d26b511e05b__1721631360
URL1:https://arc.ask3.ru/arc/aa/20/5b/202a70967b16f410d5bb9d26b511e05b.html
Заголовок, (Title) документа по адресу, URL1:
User activity monitoring - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)