Kontrola stacji roboczych nie jest wymysłem administratorów. Kierownictwo i działy bezpieczeństwa potrzebują informacji o tym, czy użytkownicy korzystają ze sprzętu i oprogramowania we właściwy sposób.
Analiza narzędzi i ich funkcji
Monitorowanie użytkownika oraz wykorzystywanego przez niego sprzętu i oprogramowania wpływają jednocześnie na aspekty bezpieczeństwa stacji roboczych, jak również nadzorowanie zgodności ich wykorzystania. Administrator potrzebuje więc dziś narzędzi zintegrowanych, pozwalających jednocześnie monitorować użytkownika, oprogramowanie i sprzęt, a także zabezpieczać dostęp do stacji roboczych wykrywając sytuacje niebezpieczne.
Funkcje oprogramowania
- Zdalne monitorowanie aktywności użytkownika w Internecie
- Określanie dostępu użytkownika zasobów
- Analiza zachowań użytkownika
- Wykorzystanie aplikacji
- Kontrolowanie instalacji nowych programów
- Zdalny podgląd pulpitu systemu operacyjnego stacji roboczej
- Nadzorowanie uruchomionych procesów
- Monitorowanie otwieranych portów przez hosta
- Kontrolowanie powiązań w warstwie 2
- Przechwytywanie transmisji hosta
- Analiza komunikacji z hostem
- Monitorowanie zapisów logów systemowych
- Kategoryzowanie treści
- Inwentaryzacja sprzętu oraz oprogramowania
- Śledzenie użycia programów (pierwszy plan, w tle, czas, aktywność w aplikacji)
- Rejestrowanie znaków wprowadzanych z klawiatury
- Blokowanie stron internetowych
- Rejestrowanie wejść na strony internetowe
- Podgląd i nagrywanie ekranu komputera
- Zdalne blokowanie dostępu do komputera
- Przechwytywanie wiadomości e-mail włącznie z załącznikami
- Archiwizacja poczty z klientów webowych
- Nagrywanie konwersacji chat
- Reagowanie na słowa kluczowe w transmisji
- Śledzenie wydruków ze stanowiska pracy
- Śledzenie dokumentów zapisywanych na nośnikach zewnętrznych
Wiele funkcji oprogramowania jest podobnych w oprogramowaniu służącym do monitorowania. Coraz częściej również będziemy spotykać się ze wspomaganiem sztuczną inteligencją. Narzędzia wspomagane są sztuczną inteligencją wykrywanie zagrożeń ze strony użytkownika. Generalnie aktywność użytkownika może być monitorowana na wiele sposobów. Funkcjonalności tego oprogramowania pozwalają na śledzenie aktywności użytkownika w Internecie, szczególnie odwiedzin na stronach WWW. Pozwalają na uzyskiwanie informacji o aktywności na stronach internetowych, w tym użycia webmaila i śledzenia przesyłania plików. Ważnym dodatkiem w tej klasie rozwiązań jest zbieranie informacji o długości odwiedzin użytkownika na stronie oraz jak był zaangażowany lub aktywny na określonej stronie WWW. W przypadku, gdy użytkownik korzysta z tradycyjnego klienta e-mail, oprogramowanie śledzące powinno przechwytywać komunikację. Celem tej operacji jest ocena zawartości wiadomości w zakresie zarówno bezpieczeństwa, jak i potencjalnego wycieku danych. Narzędzie potrafi zapisuje wyniki monitorowania w indeksowanej bazie danych, dzięki czemu można zdefiniować odpowiednie powiadomienia. Komunikacja sieciowa może być monitorowana pod kątem technicznym takim jak adresy czy porty TCP/UDP wraz z zawartością pakietów danych. Analiza ruchu sieciowego może pokazać również statystyki obciążenia pasma przez poszczególne połączenia sieciowe.
Oprócz monitorowania poczty w formie webowej lub instalowanego klienta, istnieje również funkcja monitorowania komunikatorów. Szczególnie ważna, gdy mamy uzasadnione podejrzenie wobec użytkownika, który przesyła poufne informacje do nieupoważnionych osób lub działa naruszając inne zasady. W oprogramowaniu można przechwytywać i skanować komunikację w celu alertowania lub raportowania zgodności. Oczywiście przydaje się również w przypadku prowadzonych spraw dotyczących naruszeń bezpieczeństwa.
Monitorowanie wykorzystania aplikacji polega na przechwytywaniu wykorzystania aplikacji przez użytkowników. Podobnie jak przy innych modułach monitorujących aktywność, funkcjonalność pozwala alertować oraz tworzyć raporty na temat otwartych aplikacji przez użytkownika z uwzględnieniem sposobu ich użycie. Informacja może dotyczyć aplikacji aktywnie używanych ze wskazaniem użytkownika oraz czasu. Jednocześnie możemy uzyskać informację o stanie używanej aplikacji – czy była aktywna i przez jaki okres czasu, czy znajdowała się w tle i przez jaki okres czasu była uruchomiona.
Szczególnie ciekawymi funkcjami są te dotyczące analizy anomalii. Jedną z podstawowych cech jest monitorowanie dostępu do stacji roboczej. Na podstawie informacji o adresie IP, z którego następuje logowanie oraz np. geolokalizacji system monitorujący powiadomić administratora o podejrzanym zachowaniu użytkownika, które odbiega od jego codziennego zachowania. Analizę uzupełnia uczenie się wzorców zachowań osób i grup, oparte na uczeniu maszynowym. Umożliwia nauczenie systemu monitorujące, jak wygląda normalność dla każdego użytkownika w monitorowanej sieci. Cechami monitorowanymi są między innymi sposób korzystania z aplikacji, ilość wiadomości i komunikacji sieciowej, rodzaje i ilość wysyłanych dokumentów, oraz same treści wiadomości oraz wysyłanych dokumentów. Jedna z funkcji np. oprogramowanie Veriato pozwala na identyfikowanie i kategoryzowanie opinii wyrażonych w treści wiadomości e-mail. To może prowadzić do wskazania niezadowolonych pracowników i możliwych zagrożeń dla bezpieczeństwa informacji np. w związku z ryzykiem ataku ze strony tzw. insidera.
W odniesieniu do ryzyka dotyczącego ataku przeprowadzanego przez zaufane osoby z wewnątrz, oprogramowanie monitorujące (nie tylko Veriato) oferuje wiele funkcji śledzenia i nagrywania aktywności użytkownika zarówno w aplikacjach on-prem jak i dostarczanych w modelu SaaS. Warto o tym pamiętać, aby w przypadku korzystania z aplikacji cloudowych wykorzystać funkcje monitorowania również działalności użytkownika w aplikacjach i usługach chmurowych.
Autor: Artur Cieślik