Funkcje oprogramowania pozwalają na bardzo szeroki zakres monitorowania tego, co się dzieje na komputerze użytkownika. I to nie zawsze w zakresie, który jest niezbędny do osiągniecia celu monitorowania. Co jest zatem celem monitorowania? Pytając kierownictwo oraz administratorów uzyskujemy najczęściej odpowiedź: bezpieczeństwo, zgodność z zasadami wykorzystania sprzętu i oprogramowania.
Jednak funkcje oprogramowania służącego do monitorowania pozwalają na wiele więcej niż tylko podstawowe sprawdzanie użytkownika:
- Zdalne monitorowanie aktywności użytkownika w Internecie
- Określanie dostępu użytkownika zasobów
- Analiza zachowań użytkownika
- Wykorzystanie aplikacji
- Kontrolowanie instalacji nowych programów
- Zdalny podgląd pulpitu systemu operacyjnego stacji roboczej
- Nadzorowanie uruchomionych procesów
- Monitorowanie otwieranych portów przez hosta
- Kontrolowanie powiązań w warstwie 2
- Przechwytywanie transmisji hosta
- Analiza komunikacji z hostem
- Monitorowanie zapisów logów systemowych
- Kategoryzowanie treści
- Inwentaryzacja sprzętu oraz oprogramowania
- Śledzenie użycia programów (pierwszy plan, w tle, czas, aktywność w aplikacji)
- Rejestrowanie znaków wprowadzanych z klawiatury
- Blokowanie stron internetowych
- Rejestrowanie wejść na strony internetowe
- Podgląd i nagrywanie ekranu komputera
- Zdalne blokowanie dostępu do komputera
- Przechwytywanie wiadomości e-mail włącznie z załącznikami
- Archiwizacja poczty z klientów webowych
- Nagrywanie konwersacji chat
- Reagowanie na słowa kluczowe w transmisji
- Śledzenie wydruków ze stanowiska pracy
- Śledzenie dokumentów zapisywanych na nośnikach zewnętrznych
Pojawiają się również funkcje dotyczące analizy anomalii. Jedną z podstawowych cech jest monitorowanie dostępu do stacji roboczej czy laptopa. Na podstawie informacji o adresie IP, z którego następuje logowanie oraz np. geolokalizacji system monitorujący powiadomić administratora o podejrzanym zachowaniu użytkownika, które odbiega od jego codziennego zachowania. Analizę uzupełnia uczenie się wzorców zachowań osób i grup, oparte na uczeniu maszynowym. Umożliwia nauczenie systemu monitorujące, jak wygląda normalność dla każdego użytkownika w monitorowanej sieci. Cechami monitorowanymi są między innymi sposób korzystania z aplikacji, ilość wiadomości i komunikacji sieciowej, rodzaje i ilość wysyłanych dokumentów, oraz same treści wiadomości oraz wysyłanych dokumentów.
Niektóre funkcje oprogramowania monitorującego pozwalają na identyfikowanie i kategoryzowanie opinii wyrażonych w treści wiadomości e-mail. To może prowadzić do wskazania niezadowolonych pracowników i możliwych zagrożeń dla bezpieczeństwa informacji np. w związku z ryzykiem ataku ze strony tzw. insidera!
Łatwo przy takim bogactwie funkcji i możliwości zbierania danych (nie bójmy się tego słowa 😊) osobowych wykroczyć poza zakres niezbędny do celów, dla których monitorowania zostało uruchomione. A monitorowanie działań użytkownika na stanowisku komputerowym jest niezbędne m.in. aby sprawdzać uruchamiane oprogramowanie, w jaki sposób użytkownik z niego korzysta oraz czy uruchamiane oprogramowanie można uznać za bezpieczne, analiza zachowania użytkownika na komputerze pod kątem bezpieczeństwa – użytkownik może wysyłać dane za pomocą poczty elektronicznej lub skorzystać do wymiany danych z dysków cloudowych.
Monitorowanie wynika również z konieczności sprawdzania wykorzystania nośników zewnętrznych, które, jak np. pendrajwy, które można w łatwy sposób podłączyć do dowolnego komputera i za jego pomocą przenieść dane lub aplikacje. Dostępność zasobów Internetu jest dodatkowym czynnikiem wpływającym na ciągłe zagrożenie ze strony oprogramowania, które może okazać się malwarem. Ponadto użytkownik może próbować pobrać i uruchomić oprogramowanie dostępne w Internecie, które może stanowić bardzo istotny zagrożenie dla bezpieczeństwa.
Monitorowanie użytkownika oraz wykorzystywanego przez niego sprzętu i oprogramowania wpływają jednocześnie na aspekty bezpieczeństwa stacji roboczych, jak również nadzorowanie zgodności ich wykorzystania. Jednak pamiętajmy o ograniczeniu zakresu do tych funkcji, które są niezbędne do monitorowania proaktywnego w obszarach bezpieczeństwa i zgodności. System monitoringu użytkownika systemu o szerokim zakresie, zbierający ogromną ilość danych w trybie ciągłym, może naruszać RODO i jednocześnie stanowić problem z punktu widzenia zabezpieczenia dostępu do zebranych danych, ich analizy i właściwej obróbki w celu raportowania.
Autor: Artur Cieślik