O-STA

ObserveIT 6.5 - spremljanje uporabniške aktivnosti, odpravljanje notranjih groženj

13.6.2016
Observe IT, vodilni dobavitelj izdelkov za napredno spremljanje in snemanje uporabniške aktivnosti na ključnih strežniških sistemih, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,

predstavljata ObserveIT 6.5. Sredi pomladi 2016 je podjetje ObserveIT namreč predstavilo novo različico rešitve za spremljanje in snemanje uporabniških aktivnosti, ki nosi oznako 6.5 in je vodilna platforma za spremljanje uporabniških aktivnosti ter zaznavanje in soočanje z notranjimi grožnjami informacijskega sistema, ki posledično pomaga preprečevati izgubo poslovnih podatkov, goljufije ter krajo intelektualne lastnine.

ObserveIT uporabljamo za

- spremljanje komunikacijske seje med uporabnikom in strežnikom ali delovno postajo;

- izdelavo in hranjenje videoposnetka celotne uporabniške aktivnosti na spremljanem sistemu;

- sestavljanje dnevniških zapisov (log) za vse aplikacije, tudi za tiste ki nimajo svojega internega beleženja;

- hranjenje forenzičnih podatkov in opravljanje forenzičnih preiskav;

- identifikacijo deljenih uporabniških računov ('admin') in zaznavanje kraje identitet;

- obveščanje o in preprečevanje neželenih ali škodljivih aktivnosti;

- boljšo integracijo s SIEM rešitvami.

Med drugim lahko s tem orodjem vidimo:

• podatke o uporabniškem dostop do, urejanju ali spreminjanje sistemskih datotek in nastavitev,

• SQL povpraševanje in podrobnosti komunikacijskih sej do podatkovnih baz,

• datotečne prenose z interneta ali preko FTP strežnikov neposredno na strežnike,

• spremembe izvorne kode Visual Studio,

• podrobnosti o delu z elektronsko pošto na uporabniškem vmesniku strežnika,

• odpiranje ali urejanje tabel v Excel-u ali drugih aplikacijah,

• uporabo aplikacij v aplikacijskih strežnikih Citrix ter Microsoft Forefront,

• dostop do deljenih datotečnih map, odpiranje, brisanje ali spreminjanje datotek,

• prijave v aplikacije, poganjanje uporabniških ali sistemskih skript,

• poganjanje sistemskih aplikacij, dostope do sistemskih knjižnic, nastavitev, konfiguracij,

• sprožanje SAP transakcij, prikazovanje podrobnosti o strankah v CRM ali ERP aplikacijah,

• dostop do specifičnih URL naslovov neposredno iz strežnika,

• in še marsikaj drugega.

Kako deluje ObserveIT

- Uporabnik se prijavi v operacijski sistem strežnika ali RDBMS, neposredno v konzolo ali preko oddaljene povezave.

- ObserveIT zazna vzpostavitev seje preko ali na strežniku nameščenega agenta, ali agenta na prehodnem (gateway) strežniku za koncentracijo strežniških ali aplikacijskih sej.

- ObserveIT identificira uporabnika, si ga zapomni, in spremlja nadaljnji potek seje vse do njenega zaključka.

- Vsa uporabniška aktivnost od začetka do konca seje se shrani v obliki tekstovnih podatkov tudi kot videoposnetek tj. množice zaslonskih slik (screenshot).

- Napredni nadzorni sistem beleži tudi očem skrite podrobnosti uporabniške seje, podatke, ki se ne izpisujejo v komandni vrstici, kot so seznami zagnanih aplikacij in sistemskih skript, dostopih do sistemskih sredstev, datotek ali izvršenih ukazih.

- Na strežnike nameščeni agenti lahko beležijo globoke sistemske aktivnosti tekom uporabniške seje, na prehodne strežnike nameščeni agenti za spremljanje več strežnikov hkrati ali za spremljanje aplikacijskih strežnikov lahko seveda beležijo samo podatke, ki se prenašajo po podatkovnem kanalu med strežnikom in uporabnikom.

- Vključuje forenzična orodja za napredne preiskave zbranih in shranjenih podatkov.

- Analiza uporabniških aktivnosti - User Behavior Analytics - algoritmi omogočajo samodejno odkrivanje neupoštevanja delovnih procesov, sumljivih ali celo škodljivih aktivnosti.

- Preprečevanje in usmerjanje - samodejna opozorila o zaznanih tveganih postopkih usmerjajo poštene uporabnike in zagotavljajo skladnost z varnostnimi pravilniki, uporabnike z morebitnimi nepoštenimi nameni pa odvračajo od škodljivih načrtov.

- Pred-oblikovana poročila namenjena reviziji in zagotavljanju skladnosti prikazujejo vse aktivnosti znotraj seje in vključujejo povezave do ustreznih mest na videoposnetku za morebitna nadaljnja pojasnila.

Mike McKee, CEO, ObserveIT: "ObserveIT's ability to deter, detect and record risky activity by insiders is a powerful and unique solution to the biggest cybersecurity threat facing organizations today: people. I am extremely impressed by our technical team in Israel and the existing base of very loyal customers. ObserveIT's proactive capabilities demonstrate instant value by cutting security incidents in half with security policy notifications and warnings that out-of-policy behavior will be recorded and reviewed. Nearly all employees and contractors stop operating out-of-policy after being notified that their behavior is risky to the company, and the ones that continue are identified as those most likely to become security threats. "

Popolna pokritost

ObserveIT podpira množico različnih namestitvenih opcij, s katerimi lahko ustrezno pokrijemo vse zahteve po spremljanju uporabniških aktivnosti.

· vse aplikacije: samodejno kreiranje dnevniških zapisov za vse aplikacije in vrste aplikacij, tudi za tiste, ki nimajo svojega notranjega sistema beleženja;

· vsi uporabniki: enakovredno spremljanje vseh uporabniških računov, od običajnih osebnih identitet, do deljenih računov in računov s posebnimi pravicami kot so 'admin' ali 'root', povezovanje deljenih računov z dejanskimi identitetami;

· vsi protokoli in delovna okolja: SSH, RDP, Citrix, VMware, aplikacijski strežniki, server gateway, podatkovne baze...;

· namestitvena opcija - agent na strežniku - omogoča največjo pokritost nadzora, agent lahko beleži sistemske aktivnosti tekom uporabniškem seje, ki so drugače 'skrite očem' tj. niso vidne v ukaznem vmesniku oz. se ne prenašajo po podatkovnem kanalu; beleži oddaljene in lokalne aktivnost tudi ko je uporabnik neposredno fizično povezan na računalnik tj. z monitorjem in tipkovnico ali s serijskim konzolnim kablom;

· namestitvena opcija - Jump Server Agent - en sam agent omogoča spremljanje dostopa množice administratorjev do več strežnikov če je nameščen na koncentrirani prehodni točki jump gateway, preko katere morajo biti usmerjene vse komunikacijske seje; lahko spremlja samo oddaljene seje;

· namestitvena opcija - Published App Agent - en sam agent omogoča spremljanje množice uporabnikov in njihove rabe aplikacij na aplikacijskih strežnikih Citrix ter Microsoft;

· namestitvena opcija - Desktop Agent - omogoča podrobno spremljanje aktivnosti na delovni postaji ; beleži oddaljene in lokalne aktivnost tudi ko je uporabnik neposredno fizično povezan na računalnik tj. z monitorjem in tipkovnico ali s serijskim konzolnim kablom;

· vse vrste uporabniških sej: Windows / Unix / Linux - strežniki / delovne postaje / prenosniki - lokalne / oddaljene seje.

Celoten življenjski cikel

ObserveIT 'pokriva:

a) spremljanje,

b) beleženje,

c) zaznavanje notranjih in zunanjih groženj,

d) samodejne analize in prepoznavanje vedenjskih vzorcev,

e) hranjenje podatkov in odkritij,

f) forenzične preiskave,

g) preventivo,

h) poročanje.

ObserveIT Insider Threat Management Version 6.5 - Gabriel Friedlander, soustanovitelj in CTO, ObserveIT - "The majority of security incidents stem from unintentional or negligent employee behavior, People often forget what they learn during employee on-boarding and training. Instead, ObserveIT provides just-in-time training by informing them of high-risk activities in real time and in the context of their actions, addressing the root cause of almost all security incidents."

Rich Malewicz, CIO lokalne ObserveIT stranke: "ObserveIT's new policy notification and enforcement capabilities dramatically reduce negligent behavior and prevent malicious activities. ObserveIT addresses the root cause of the majority of our security incidents, which translates to fewer employees getting infected or making accidental mistakes. Ultimately, this enables my staff to focus on more strategic initiatives, instead of constantly putting out fires."

Avtor / prevod: Robert Lubej

Povezava do izvorne novice:

http://www.reuters.com/article/ma-observeit-software-idUSnPn7YTR8r+9c+PRN20160223

### ### ###

O Observe IT

Observe IT je dobavitelj programskih rešitev za napredno spremljanje in beleženje tj. snemanje uporabniških aktivnosti na ključnih strežniških sistemih. Brez ovir se seveda lahko uporablja tudi za spremljanje dela na delovnih postajah, a primarni interes so strežniki, na katerih tudi ni težav o poseganju v zasebno sfero zaposlene osebe, saj se na strežnikih nikoli ne počnejo zasebne stvari. Podjetje je bilo ustanovljeno leta 2006, njegova vodilna motivacija je 'poenostavitev življenja' IT vodjem in varnostnim strokovnjakom. Naloge rešitve Observe IT so:

· snemanje uporabniške aktivnosti na strežniku;

· ustvarjanje tekstovnih dnevniških zapisov o aktivnosti vseh aplikacij znotraj uporabniške seje;

· identifikacija deljenih uporabniških računov ('admin', 'root') in zaznavanje kraje identitet;

· enostaven dostop do vseh shranjenih podatkov, dnevnikov in posnetkov, za podporo forenzičnim preiskavam;

· enostavna integracija s SIEM rešitvami;

· popolno pokritje - vsi uporabniki, aplikacije, protokoli in vsa delovna okolja, vse vrste uporabniških sej.

Več o podjetju, katerega sedež je v Izraelu, najdete na spletnih straneh: http://www.observeit-sys.com

Dodatne informacije:

Matic Knuplež, PreSales Engineer
matic.knuplez@real-sec.com

REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74
http://www.real-sec.com
info@real-sec.com