ObserveIT - analitična orodja za spremljanje uporabniških navad
Observe IT, vodilni dobavitelj izdelkov za napredno spremljanje in snemanje uporabniške aktivnosti na ključnih strežniških sistemih, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,
predstavljata zelo pomembno funkcionalnost ObserveIT rešitve - možnost spremljanja in preučevanja uporabniških navad oz. v originalu "User Behaviour Analytics".
Preučevanje uporabniških aktivnosti
Rešitev ObserveIT je bila originalno namenjena za spremljanje aktivnosti privilegiranih uporabnikov kot so na primer strežniški administratorji ali skrbniki podatkovnih baz. Z nadgradnjo zmogljivosti in zmanjšanjem zahtevnosti obratovanja je postala zanimiva tudi za spremljanje aktivnosti poslovnih uporabnikov informacijskih sistemov. Sedaj je sposobna samodejno in brez prekinitve spremljati vsakega uporabnika in obnavljati njegov profil rabe informacijskega sistema, s pomočjo česar kršitve poslovnega pravilnika ter površno obnašanje ali škodljivo aktivnost. Heker, ki se bo prijavil v sistem z ukradenim geslom, se bo obnašal popolnoma drugače od ustreznega poslovnega uporabnika. Uporabniški računi, ki pričnejo nenadoma dostopati do popolnoma novih podatkov ali sprožijo kreiranje nenavadno obsežnih poročil in dolgih seznamov so prav tako potencialno zanimivi za preučitev. Obstaja mnogo primerov sprememb v vedenjskih vzorcih, ki so vredni podrobnega vpogleda, na primer:
· poganjanje neobičajnih aplikacij (uporabnik jih 5 let ni potreboval, potem pa kar naenkrat...)
· dostop do neobičajnih sistemov, dokumentov in drugih sredstev (prej pa jih nikoli ni potreboval)
· sprožanje nenavadnih operacij ali poganjanje redko uporabljenih ukazov
· izdelava poročil, ki so kar nekajkrat daljša od običajnih
· sprožanje več postopkov in opravil kot je to običajno ali celo pričakovano možno v nekem časovnem okviru
· dostop do sistemov iz končnih naprav, ki prej niso bile zaznane (oddaljena prijava iz neznanega IP naslova ali neznanega pametnega telefona)
· prijava zunaj običajnih ali pričakovanih ur oziroma dneva v tednu.
Ve te vzorce obnašanja je mogoče spremljati samodejno v skladu s pravilnikom podjetja o varovanju osebnih podatkov in sprožiti preiskavo šele ko pride do anomalije.
Prilagodljiva pravila za spremljanje vedenjskih vzorcev in alarmiranje
Analitično orodje hza prepoznavanje vedenjskih vzorcev poslovnih uporabnikov znotraj rešitve ObserveIT deluje na podlagi množice pravil, s katerimi mu lahko enostavno določimo kaj naj spremlja in kaj je posebej zanimivo ali nenavadno. Administratorji lahko enostavno določijo pogoje, ki bodo v določenem primeru sprožili alarm, in sicer preprosto povedano glede na to Kdo je naredil Kaj, Kdaj, na Katerem računalniškem sistemu in s Katere delovne postaje je dostopal. Alarmi so, ob možnosti takojšnjega pošiljanja sporočila elektronske pošte, v celoti integrirani v delovni proces rešitve ObserveIT, zato se lahko pojavljajo tudi v običajni revizijski sledi uporabniške aktivnosti, v rezultatih iskanja po aktivnostih, ter celo v predvajanju video posnetka uporabniške seje. Enostavno jih lahko integriramo tudi v SIEM sisteme drugih ponudnikov.
Primeri
Primeri scenarijev, v katerih bi taka rešitev pomagal preprečiti večje težave zaradi vdora v sistem ali nepooblaščenega dostopa do osebnih podatkov:
· uporabnik prebere osebne podatke skupine strank ali npr. pacientov v bolnišnici,
· dostop do dokumenta v zbirki finančnih planov podjetja izven delovnega časa uporabnika,
· običajni poslovni uporabnik poskuša dostopati do sistemske datoteke,
· uporabnik operacijskega sistema Unix ali podobnega požene proces, ki mu dodeli posebne pravice,
· skrbnik podatkovne baze kopira podatke iz nje ali sproža ukaze kot so DROP TABLE in DROP INDEX,
· zunanji izvajalci dostopajo do strežnikov v urah, ki niso bile posebej vnaprej dogovorjen,
· uporabniki dostopajo do potencialno škodljivih spletnih strani ali nalagajo poslovne dokumente na pomnilniški prostor v javnem strežniškem oblaku.
Avtor / prevod: Robert Lubej
Povezava do izvorne novice:
http://www.observeit.com/product/user-behavior-analytics
### ### ###
O Observe IT
Observe IT je dobavitelj programskih rešitev za napredno spremljanje in beleženje tj. snemanje uporabniških aktivnosti na ključnih strežniških sistemih. Brez ovir se seveda lahko uporablja tudi za spremljanje dela na delovnih postajah, a primarni interes so strežniki, na katerih tudi ni težav o poseganju v zasebno sfero zaposlene osebe, saj se na strežnikih nikoli ne počnejo zasebne stvari. Podjetje je bilo ustanovljeno leta 2006, njegova vodilna motivacija je 'poenostavitev življenja' IT vodjem in varnostnim strokovnjakom. Naloge rešitve Observe IT so:
· snemanje uporabniške aktivnosti na strežniku;
· ustvarjanje tekstovnih dnevniških zapisov o aktivnosti vseh aplikacij znotraj uporabniške seje;
· identifikacija deljenih uporabniških računov ('admin', 'root') in zaznavanje kraje identitet;
· enostaven dostop do vseh shranjenih podatkov, dnevnikov in posnetkov, za podporo forenzičnim preiskavam;
· enostavna integracija s SIEM rešitvami;
· popolno pokritje - vsi uporabniki, aplikacije, protokoli in vsa delovna okolja, vse vrste uporabniških sej.
Več o podjetju, katerega sedež je v Izraelu, najdete na spletnih straneh: http://www.observeit-sys.com
Dodatne informacije:
Matic Knuplež, inženir IT varnosti
matic.knuplez@real-sec.com
REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74
http://www.real-sec.com
info@real-sec.com