Внутренняя угроза: выявление и защита с помощью ObserveIT
Transcript of Внутренняя угроза: выявление и защита с помощью ObserveIT
![Page 1: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/1.jpg)
ЗАЩИТА ОТ ВНУТРЕННИХ УГРОЗС OBSERVEIT
Евгений Гончаренко - БАКОТЕК
![Page 2: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/2.jpg)
КТО ТАКИЕ OBSERVEIT?
Главный офис – Бостон, США Разработка – Тель-Авив, Израиль На рынке с 2006 года Более 1200 клиентов в мире $20M инвестиций от Bain Capital
Ведущий разработчик решения по выявлению, мониторингу и защите от внутренних угроз ИБ
![Page 3: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/3.jpg)
1,200+ КЛИЕНТОВ
![Page 4: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/4.jpg)
ТИПЫ УГРОЗ
ПОДРЯДЧИКИПРИВИЛЕГИРОВАННЫЕ ПОЛЬЗОВАТЕЛИ
СОТРУДНИКИ
ВНУТРЕННИЕ УГРОЗЫ
ВНЕШНИЕ УГРОЗЫ
![Page 5: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/5.jpg)
Аудит и соответствие стандартам
Сотрудники__________________________________________
Копирование и передача
информации
С доступом к ключевым
приложениям, люди под
подозрением, на испытательном
Подрядчики__________________________________________
Кража интеллект.
собственности и сбой в работе
систем
Контрактники, поддержка вендоров,
аутсорсинг
Привилег. пользовател
и__________________________________________
Превышение доступа и
утечка данных
Help Desk, администраторы
ТИПЫ УГРОЗ
Внутренний аудит, соответвие внешним стандартам ИБ и внутренним политикам
![Page 6: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/6.jpg)
Колл центры
_____________________________________________________
Удаленный доступ
НСД в HR
Копирование данных
Несанкц. доступ
Облачные сервисы
МОНИТОРИНГ СОТРУДНИКОВПросмотр закрытой информации в приложениях, ошибки пользователя,
использование запрещенных облачных сервисов
![Page 7: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/7.jpg)
МОНИТОРИНГ ПРИВИЛЕГ. ПОЛЬЗОВАТЕЛЕЙ
UNIX / LINUX
_____________________________________________________
Windows ______________________________________________
_______
DBA __________________________________________
___________
Сеть______________________________________________
_______
Help Desk ______________________________________________
_______
Разрабочики
WireShark PuTTY
Toad
RDPWinSCP
Reg EditorCMD PowerShell
DR JavaSSH
Запрещенные изменения / доступ, передача привилегий, доступ к системным УЗ
ADSQL PLUS
![Page 8: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/8.jpg)
МОНИТОРИНГ ПОДРЯДЧИКОВ
Подрядчики Консультанты
Вендоры
Аутсорсинг Внешние разработчик
и ______________________________________________
_______
Поставщики услуг
_____________________________________________________
Несогласованные задачи, аномальная активность, несанкционированные изменения
![Page 9: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/9.jpg)
ПРОБЛЕМЫ ПРИ БОРЬБЕ С ВНУТРЕННИМИ УГРОЗАМИ
“Трудно отличить обычную работу от подозрительных
действий”
3 из 4 профессионалов ИБ
260,000+ подписчиков
![Page 10: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/10.jpg)
ЗАЩИТА ОТ ВНУТРЕННИХ УГРОЗ С OBSERVEIT
Сбор
Выявление
Реакция
• Аналитика поведения пользователя
• Уведомления о подозрительной активнсоти
• Оценка рисков
• Запись экрана• Логирование активности• Тегирование элементов
приложений
• Воспроизведение сессии
• Информирование пользователя
• Блокировка сессии
ПРОСМОТР АКТИВНОСТИ ГЛАЗАМИ ПОЛЬЗОВАТЕЛЯ
ВЫЯВЛЕНИЕ НСД К ДАННЫМ И ПРИЛОЖЕНИЯМ
РАССЛЕДОВАНИЕ ПОДОЗРИТЕЛЬНОЙ АКТИВНОСТИ И НСД
ЛЮДИ
![Page 11: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/11.jpg)
Подрядчики
РИСКИ ПОЛЬЗОВАТЕЛЕЙ
Бизнес пользователи
IT пользователи
![Page 12: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/12.jpg)
КТО ЧТО ДЕЛАЛ?
Identify and Manage User-based Risks
Apps Keystrokes Clicks
![Page 13: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/13.jpg)
Пользователь
СегодняXС тремя
ключевыми особенностями
от ObserveIT
Наше Решение
Рабочий компьютер
Служба безопасности
КТО чем занимается в нашей сети???
‘Admin‘ = Alex
ЗаписьВидеоСессии
2. Создание
видеозаписи1. Идентификация 3. Подробный
анализвидеозаписи
База Данных Аудита
Список программ,
файлов, URL-адресов
Пользователь Смотрите Текстовый лог Alex Видео! Приложений
Сисадмин
Входит как ‘Administrator’
Класс! Теперь я знаю ответ!.Любой из протоколов
![Page 14: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/14.jpg)
14
Может проще нажать кнопку ‘Replay Video’?
Replay Video
Видео запись покажет что именно происходило
Можете объяснить – что тут происходит?
![Page 15: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/15.jpg)
Мониторинг активности пользователей: Windows
«Дневник Сервера» выдает список всех пользовательских сессий, на каждом сервере, для каждого из пользователей
Every session that took place, identified with user name server, client etc.
Why was this user editing the ‘hosts’ file???
Просто нажмите кнопку
воспроизведения, чтобы увидеть что
происходило!
Четкая фиксация каждого запущенного приложения , каждого открытого окна и действия пользователя
В аудит попадают• Облачные приложения• Системные утилиты• Стандартные приложения
Воспроизведение Видео всей деятельности пользователя с любой заданной временной точки
![Page 16: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/16.jpg)
Идентификация пользователя
16
Вход по общей учетной записью “administrator” Уведомление о записи
действий
Подтверждение доступа
![Page 17: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/17.jpg)
Аудит третьих лиц
• Мгновенный отклик– Всегда точно знаете чем занимается третья сторона
•Воздействие на поведение пользователя– Захотите ли вы нарушать скоростной режим, если знаете, что впереди
стоят камеры видеофиксации?
•Прозрачность SLA и подтверждение правильности затрат
– Не будет сомнений в том: что было сделано и в какие сроки
•Нет «тыканья пальцами»– Моментальное нахождение проблемы и ее устранение
17
3rd-Party Vendor Monitoring
![Page 18: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/18.jpg)
ObserveIT Video and Logs in CA UARM
18
![Page 19: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/19.jpg)
ObserveIT Video and Logs in Splunk
19
![Page 20: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/20.jpg)
АНАЛИЗ УГРОЗ
![Page 21: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/21.jpg)
Simply mark all sensitive application elements
V6.0 APPLICATION MARKING TOOL
![Page 22: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/22.jpg)
УВЕДОМЛЕНИЯ ДЕЙСТВИЙ В ПРИЛОЖЕНИЯХ
![Page 23: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/23.jpg)
АНАЛИЗ ПОВЕДЕНЧЕСКОГО РИСКА
New Role
On Watch List
John Smith (Sales Engineer)EMEA Sales
User Context
User Activity
4 weeks ago
+10Connecting after hours
+20Changing sensitive
configuration
3 weeks ago 2 weeks ago 1 week ago
+10Updating Customer
Contact Details
+20Attempt to turn
Firewall OFF
+15Running sensitive
report in SAP
85 +15
+25Viewing VIP
patient records
![Page 24: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/24.jpg)
ОТЧЕТНОСТЬ
![Page 25: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/25.jpg)
ВАРИАНТЫ РАЗВЕРТЫВАНИЯ
![Page 26: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/26.jpg)
Стандартное развертывание: клиенты
Удаленные пользователи
ObserveIT Сервер
Управления Сервер базы данных
Логи метаданных& Видеозахват
Пользователи Данные аудита
ObserveIT Агенты
Локальный вход
Desktop
RDP
SSH
ICA
Internet
![Page 27: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/27.jpg)
Шлюзовое решение (Без агентов)
Корпоративный сервер(нет агентов)
Корпоративные машины(нет агентов)
Сервер Терминаловили Citrix сервер
Published AppsPuTTY
ObserveITАгент
Сессии пользователей Данные аудита
Удаленные пользователи
RDP
VPN
ObserveIT Сервер
управленияСервер базы
данных
Метаданные& Видеозахват
Internet
• Агент устанавливается только на шлюз. Записываются все сессии проходящие через шлюз
![Page 28: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/28.jpg)
Смешанное развертывание
28
Любой корпоративный сервер(нет агентов)
Корпоративные машины(нет агентов)
Чувствительные к нагрузке сервера(агенты установлены)
Сервер Терминаловили Citrix сервер
ObserveIT агентУдаленные и Локальные
пользователи
RDP
VPN
ObserveIT Сервер
управленияСервер базы
данных
Метаданные& Видеозахват
Internet
Прямое подключение
(не через шлюз) ObserveIT агент
• Аудит всех пользователей проходящих через шлюз (вне зависимости от цели ресурса в сети)
• Дополнительно установленные агенты на чувствительных серверах для большей глубины охвата
Сессии пользователей Данные аудита
![Page 29: Внутренняя угроза: выявление и защита с помощью ObserveIT](https://reader033.fdocument.pub/reader033/viewer/2022042600/58a9285a1a28ab6f508b66b5/html5/thumbnails/29.jpg)
ЧТО ДАЛЬШЕ? Тестовая версия
http://www.observeit.com/tryitnow Вопросы / пилот / цены
[email protected] Расписание вебинаров
http://bakotech.ua/event-list/