Kombajny do monitorowania
Aplikacje służące do monitorowania składają się zazwyczaj z kilku modułów, pozwalających na zarządzanie stacjami roboczymi oraz pomagających wymuszać przestrzeganie polityki bezpieczeństwa informacji. Oprócz samych funkcji pozwalających na monitorowanie użytkownika, pozwala na zarządzanie zasobami sprzętowymi naszej infrastruktury. Możemy dodawać tu urządzenia, wprowadzać o nich informacje od finansowych po techniczne. Istnieje również możliwość powiązania określonego użytkownika ze stacją roboczą, na której loguje się nasz pracownik. Jest to rozwiązanie wskazane, ponieważ na podstawie zdefiniowanych tutaj danych możemy właściwie raportować działalność użytkownika na określonych komputerze. Z kolei funkcje dotyczące zarządzania oprogramowaniem zawierają informacje o zakupionych licencjach, które możemy wprowadzić do bazy łącznie z zeskanowanymi fakturami zakupu. Tę informację wiążemy natomiast z pozyskanymi danymi na temat ilości zainstalowanych kopii oprogramowania na komputerach, których listę możemy otrzymać na podstawie wykonywanych regularnych audytów uruchamianych za pomocą odpowiedniej funkcji.
Funkcja audytowania pozwala na przeprowadzanie skanów dysków twardych oraz rejestrów systemowych Windows w celu inwentaryzacji oraz identyfikacji aplikacji zainstalowanych na komputerach użytkowników. Jeżeli powiążemy te informacje z ewidencją zakupionych licencji, będziemy w stanie określić zgodność wykorzystania zainstalowanych kopii aplikacji z zakupionymi licencjami.
Kolejnym elementem modułów są funkcje dotyczące użytkowników komputerów. Jest to moduł raportujący działalność użytkowników na zintegrowanych z systemem stacjach roboczych. Możemy za jego pomocą wykonywać zestawienia aktywności użytkowników, np.: dotyczących aplikacji, z którymi pracują najczęściej z jednoczesnym określeniem czasu uruchomienia i wyłączenia programu. Do najpopularniejszych raportów należą zestawienia zadań drukowania, odwiedzanych stron internetowych oraz operacji na nośnikach zewnętrznych typu pendrive. Zestaw opcji sieciowych pozwala na monitorowanie łącza z dokładnością do obciążenia generowanego przez komunikatory internetowe, odwiedzane strony WWW czy FTP.
Ważnym elementem są powiadomienia umożliwiające notyfikowanie operacji wykonywanych przez użytkownika. Informacje o zdarzeniach mogą dotyczyć włożenia lub wyciagnięcia płyty CD/DVD lub dysku zewnętrznego bądź pendrajwa, czy też ostrzeżenia dotyczące bieżącej eksploatacji komputera przez użytkownika np. o ilości miejsca na dysku. Administrator ponadto może otrzymywać alerty w przypadku instalacji lub usunięcia oprogramowania na stacji roboczej. Wiele z systemów pozwala również na określenie dokładnych uprawnień dostępu do nośników przenośnych. Prawa są definiowane dla wskazanych użytkowników bądź ich grup. Aplikacja pozwala określać uprawnienia dla plików i katalogów znajdujących się na nośnikach zewnętrznych, którymi mogą być pendrive, przenośne dyski zewnętrzne lub płyty CD bądź DVD.
W cloudzie
Wybierając funkcje do wykorzystania w naszym narzędziu UAM (User Activity Monitoring) warto mieć na uwadze cel, dla którego wdrażamy to oprogramowanie. Wybijają się na górę listy celów dwa. Pierwszy to zabezpieczenie aktywów organizacji, szczególnie przed zaufaną osobą z wewnątrz organizacji tzw. insider. Drugim jest analiza i ocena efektywności pracowników na stanowisku komputerowym, w tym szczególnie analiza i ocena wykorzystywanych narzędzi oraz innych zasobów sieci i systemów. Zabezpieczenie przed insiderem niestety nie jest łatwo bez dedykowanego oprogramowania monitorującego. Jest to osoba znajdująca się wewnątrz naszej organizacji oraz często sieci. Posiada konto i określone uprawnienia do danych, a próba np. skopiowania danych może zostać niezauważona bez ustawionych kryteriów alarmowania o przypadkach dostępu do większej ilości rekordów danych. Poza tym w przypadku dostępu do udostępnionych dokumentów, w których znajdują się informacje poufne, sam fakt ich otwierania powinien zostać odnotowany, a w pewnych przypadkach wygenerować alert. Zabezpieczenia przed działaniami zaufanej osoby z wewnątrz to również analiza zachowania na komputerze, rodzaju zapisywanych plików i ich zawartości na nośnikach lokalnych. Wygenerowanie alertu przy próbie wysłania określonej kategorii treści może być funkcją zarówno oprogramowania UAM, jak i dedykowanych do tego celu systemów klasy DLP (Data Leak/Loss Protection/Prevention – zabezpieczenie przed wyciekiem/utratą danych). Systemy tej klasy implementowane są coraz częściej w usługach typu SaaS, w których przechowywane są dane. Pozwalają na wykrywanie wychodzącej z usługi kategorii treści np. informacji oznaczonych jako tajemnica przedsiębiorstwa. Umożliwiają również analizę treści maili i dokumentów, rozpoznając w nich przesyłane lub pobierane pliki z danymi osobowymi.
Przykładem zbioru funkcji monitorujących zachowania użytkowników jest usługa Microsoft 365. Centrum bezpieczeństwa i zgodności Microsoft 365 można skonfigurować w zakresie wykorzystania funkcji alertowania na podstawie zdefiniowanych reguł. Zarządzanie zagrożeniami pozwala na tworzenie i stosowanie zasad zarządzania urządzeniami korzystającymi z usługi Microsoft 365, konfigurowanie zasad zapobiegania utracie danych (DLP) w organizacji, konfigurowanie filtrowania poczty e-mail, ochrony przed złośliwym oprogramowaniem, wykorzystania funkcji bezpiecznych załączników, linków i uprawnień w aplikacji. Konfiguracja mechanizmu DLP (Data Loss Prevention) jest usługą Microsoft 365 bazującą na zestawie uprzednio skonstruowanych reguł poszukiwania wrażliwych informacji. Działanie systemu DLP zakłada przeszukiwanie e-maili pod kątem słów kluczowych zawartych w temacie, treści wiadomości i załączonych dokumentach. Przy użyciu predefiniowanego słownika system potrafi wykryć wiadomości, które zawierają poufne i wrażliwe dane, oraz wszystkie inne informacje istotne z perspektywy funkcjonowania organizacji, w tym dane osobowe. System DLP umożliwia sterowanie przepływem poczty sklasyfikowanej jako zawierającej wrażliwe dane. Każda taka wiadomość może zostać zablokowana przed wysłaniem lub przekazana do moderacji. System informuje administratora bezpieczeństwa o zaistniałym zdarzeniu.
Autor: Artur Cieślik