O-STA

ObserveIT : "5 razlogov za nujnost nadzora privilegiranih uporabniških računov v podjetjih"

30.4.2014

Observe IT, vodilni dobavitelj izdelkov za napredno spremljanje in snemanje uporabniške aktivnosti na ključnih strežniških sistemih, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,

predstavljata članek o nujnosti spremljanja aktivnosti sistemskih računov. Marsikje uporabljajo nadzorne kamere za snemanje prostorov in dogajanja na občutljivih lokacijah. Zdaj prevzemimo ta koncept in ga uporabimo za IT sisteme in dobimo rešitev za naslavljanje številnih pomembnih varnostnih vprašanj v ITju. Zakaj je to potrebno? Spodaj je pet razlogov, zakaj bi morala podjetja spremljati in beležiti aktivnosti privilegiranih uporabnikov na računalnikih, uporabnikov kot so - skrbnik sistema, skrbnik podatkovne baze, dobavitelj ali zunanji izvajalec. Članek je delo Gabriela Friedlanderja, ki je soustanovitelj in CTO podjetja ObserveIT.

  1. Superiorno odkrivanje podatkovnih kršitev

Spremljanje aktivnosti uporabnikov z visokimi pravicami - kaj na najpomembnejših strežnikih delajo admin, root ali podobni - mora biti prva obrambna linija za preprečevanje podatkovnih kršitev. Te aktivnosti so namreč običajno precej skrite drugim očem. Raziskave kažejo, da so podatkovne kršitve večinoma notranjega izvora, največkrat preko pooblaščenega dostopa do pomembnih informacij, katerega se zaupa zaposlenim ali podizvajalcem z zakonitimi dovoljenji; prav tak je bil npr. Edward Snowden. Kljub temu v večini primerov na tak nadzor ali pozabimo, ali se nam zdi prezapleten, ali pa se ga zaradi problema zasebnosti ne lotimo. Običajno samo preverimo osebo in ko ji prvič zaupamo, jo prepustimo samo sebi. Kar v praksi pomeni, da v bistvu sploh nimamo pojma kaj počne s sistemi in podatki do katerih dostopa.

Spremljanje uporabniške aktivnosti lahko prepreči uhajanje občutljivih podatkov na različne načine:

· Preventiva - uporabniki se morajo pred pričetkom dela izrecno strinjati z nadzorom. Ker vedo, da jih 'snema varnostna kamera', se jim želja po neprimernih aktivnosti drastično zmanjša.

· Prilagodljivo takojšnje opozarjanje o specifičnih uporabnikih, informacijskih virih, aplikacijah in / ali glede na ključne besede - zagotavlja zgodnje opozarjanje o ali narejeni nenamerni človeški napaki ali tekočem zlonamernem dejanju.

· Celovito spremljanje - zagotavlja, da so zajete tudi človeške dejavnosti, ki jih drugi dnevniški ali SIEM sistemi spregledajo.

· Možnost preprečevanja prijav v strežnike brez vnosa veljavne delovne številke (ticketing) - zagotavlja, da se vsaka prijava s privilegiranim računom naredi samo v povezavi s posebnim namenom, ki je tudi zabeležen, podobno kot delovni nalog.

  1. Učinkovitost ITja, manjše število in krajše trajanje izpadov

Video nadzor zmanjšuje stroške podpore z zmanjšanjem števila eskalacij. Osebju na prvi ravni podpore pa zagotavlja vrhunsko orodje za odpravljanje težav, ki jim točno pokaže, kaj se je dogajalo, in jim tako omogoča enostavnejšo obnovitev sistema v prejšnje stanje.

Večina orodij in postopkov za informacijske preiskave temelji na dnevniških zapisih. A brez sistema za spremljanje aktivnosti uporabnikov ni dnevnikov, ki kažejo, kaj uporabniki dejansko počnejo, zato imamo veliko vrzel v podatkih. Postopki za forenzične preiskave in odpravljanje težav se lahko zaključijo veliko hitreje, če imamo na voljo podrobne podatke o obnašanju ljudi - ali samo tekstovne povzetke ali celoten zajem zaslonskih slik v obliki video posnetka.

  1. Cenejše in lažje zagotavljanje skladnost s predpisi

Namestitev sistema za beleženje aktivnosti uporabnikov takoj zmanjša mnoge s skladnostjo povezane stroške in neučinkovitost, ker:

  • ni več treba investirati v nenehno izvajanje in obnavljanje neskončnih procesov za nadzor skladnosti in korelacijo dnevniških zapisov v SIEM sistemih; posnetek uporabniške seje je dovolj natančen dokaz njegove aktivnosti, ki ne zahteva dodatnih korelacij;
  • omogoča precej hitrejše izvajanje revizij, saj je preiskovanje uporabniških aktivnosti, ki so vse zabeležene tako kot posnetki zaslona kot tudi v tekstovni obliki oz. kot dnevniški zapisi, enostavno; to omogoča avtoritativno odgovarjanje na vsako revizijsko vprašanje;
  • taki sistemi običajno vključujejo tudi funkcije za upravljanje privilegiranih računov, znane tudi kot "sekundarna identifikacija", ki omogočajo identifikacijo in beleženje dejanskih posameznih oseb, ki dostopajo do skupnih privilegiranih računov (npr. root ali admin); to je pogosto kritični element številnih varnostnih predpisov, ki drugače zahteva nameščanje dragih rešitev za zaščito gesel; v primeru odsotnosti takih funkcij pa je zelo težko ugotoviti, kdo je privilegiranih račun zares zlorabil.
  • Boljši nadzor dobaviteljev in zunanjih izvajalcev

Sistemi za snemanje uporabniške seje poenostavijo spremljanje zunanjih izvajalcev in njihovih aktivnosti na internih strežnikih podjetja. Z njimi si lahko pomagamo tudi pri zagotavljanju skladnosti z zahtevami iz SLA in pri obračunavanju storitev - pregled seje nam lepo pokaže kdo vse je delal na strežnikih, kdaj, kako dolgo in kaj vse je počel. Preverjanje prejetih računov je lažje, če imamo enostavnejši dostop do preglednice opravljenih ur, nalog in izpolnjenih SLA obveznosti.

  1. Učinkovitejše forenzične preiskave

V teh časih se za spremljanja celovite informacijske varnosti najpogosteje uporabljajo SIEM sistemi. Te rešitve izvajajo v veliki meri samodejno združevanje in povezovanje / primerjanje (agregacija in korelacija) podatkov iz dnevniških zapisov strežnikov in aplikacij, omrežnih naprav in drugih virov. V prvi vrsti se z njimi poskuša odkriti anomalije ali grožnje, vendar so lahko le tako učinkovite, kot so dobri podatki, s katerimi jih polnimo. Mnoge podedovane ali namenske aplikacije sploh ne ustvarjajo dnevnikov, tiste ki jih, po bolj kot ne hranijo le tehnične zapise namenjene razhroščevanju in ne beleženju uporabniške aktivnosti.

Namenska rešitev za spremljanje uporabniške seje lahko tvori tako posnetek zaslona kot tudi tekstovni dnevniški zapis o vsem dogajanju. Le-te je nato mogoče uvoziti v SIEM rešitev, kjer se jih lahko korelira tako med sabo kot tudi z zapisi iz drugih virov. Na ta način zvišamo tudi uporabnost SIEM rešitev, kot tudi forenzično preiskavo, saj lahko analitik enostavno pride od dnevniškega zapisa do s preprostim klikom miške posnetka dogajanja na zaslonu v tistem trenutku.

Kaj pa pravica zaposlenih do zasebnosti ?

Vse to je lahko zelo koristno za delodajalca, kaj pa pravica delavca do zasebnosti? Preučevanje pravnih stališčih ni predmet tega članka, a klasični pristop, katerega večina pravilnikov o zasebnosti in varovanju osebnih podatkov dopušča, je kompromis. Treba je najti pravo ravnotežje med delavčevimi pričakovanji do zasebnostmi in delodajalčevo potrebo po upravičenem spremljanju poslovnih procesov. Ob vprašanju o zakonitosti se moramo zavedati, da mora tudi delodajalec spoštovati delavce, ne le obratno, tudi to se naj upošteva pri kompromisu? Tri nasveti za dobro postavitev so sledeči:

· Dober veliki brat ni vseprisoten. Omogočeno naj bo izbiranje katere strežnike in uporabniške račune spremljati, morda tudi omejiti spremljanje da ne zajame celotne seje ampak samo določene aplikacije, ali pa recimo da ignorira delo z zasebno orientiranimi spletnimi stranmi kot so socialna omrežja ali spletno bančništvo. Pravilniki nadzora morajo biti prilagodljivi vsaki posamezni organizaciji in narejeni tako, da jih administratorji lahko po potrebi hitro spremenijo, uporabniki pa morajo biti z njimi seznanjeni.

· Popolno razkritje. Vsakič, ko se uporabnik prijavi v nadziran računalnik ali račun, se mu mora prikazati jasno opozorilo o tem. Za potrebe pravnih postopkov naj se tudi shrani zapis o izpisu in potrditvi tega opozorila oz. o seznanjenosti ter strinjanju z nadzorom.

· Zaščita predvajanje posnetkov z dvojnimi gesli. Predvajanje zaslonskega posnetka naj bo mogoče samo z vnosom ustreznega gesla. Pri tem naj obstaja opcija, da je to mogoče samo če se vneseta dve aktivni gesli - eno od administratorja ali revizorja, drugo pa od uporabnikovega predstavnika, ki je lahko na primer iz kadrovskega oddelka, sindikata, pravni svetovalec, ipd.

Zaključek

Potencialne poslovne koristi od snemanje privilegiranih uporabniških sej na strežnikih so lahko ogromne, vključno z bistvenim zmanjšanjem podatkov incidentov, obsega forenzičnih preiskav in stroškov za doseganje in ohranjanje skladnosti s predpisi.

Smo v obdobju, ko bi za informatiko ali informacijsko varnost odgovorna oseba (CIO in CISO) vsakega malo večjega podjetja morala že preučevati in izbirati ustrezno rešitev za spremljanje dejavnosti privilegiranih uporabnikov in zagon v čim bližnji prihodnosti, ob hkratnem načrtovanju pravilnikov in najboljših praks za zaščito in spoštovanje zasebnost uporabnikov.

Avtor / prevod: Robert Lubej

Povezava do izvorne novice:

http://sandhill.com/article/5-reasons-businesses-should-monitor-privileged-computer-user-activity/

### ### ###

O Observe IT

Observe IT je dobavitelj programskih rešitev za napredno spremljanje in beleženje tj. snemanje uporabniških aktivnosti na ključnih strežniških sistemih. Brez ovir se seveda lahko uporablja tudi za spremljanje dela na delovnih postajah, a primarni interes so strežniki, na katerih tudi ni težav o poseganju v zasebno sfero zaposlene osebe, saj se na strežnikih nikoli ne počnejo zasebne stvari. Podjetje je bilo ustanovljeno leta 2006, njegova vodilna motivacija je 'poenostavitev življenja' IT vodjem in varnostnim strokovnjakom. Naloge rešitve Observe IT so:

· snemanje uporabniške aktivnosti na strežniku;
· ustvarjanje tekstovnih dnevniških zapisov o aktivnosti vseh aplikacij znotraj uporabniške seje;
· identifikacija deljenih uporabniških računov ('admin', 'root') in zaznavanje kraje identitet;
· enostaven dostop do vseh shranjenih podatkov, dnevnikov in posnetkov, za podporo forenzičnim preiskavam;
· enostavna integracija s SIEM rešitvami;
· popolno pokritje - vsi uporabniki, aplikacije, protokoli in vsa delovna okolja, vse vrste uporabniških sej.

Več o podjetju, katerega sedež je v Izraelu, najdete na spletnih straneh: http://www.observeit-sys.com


Dodatne informacije:
Matic Knuplež, inženir IT varnosti
matic.knuplez@real-sec.com

REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74
http://www.real-sec.com
info@real-sec.com