ObserveIT 6.7 - nadgrajene funkcionalnosti za uspešnejše soočanje z notranjimi grožnjami
Observe IT, vodilni dobavitelj izdelkov za napredno spremljanje in snemanje uporabniške aktivnosti na ključnih strežniških sistemih, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,
nas je sredi novembra 2016 obvestil o izidu nove različice programske opreme ObserveIT z oznako 6.7. Brez posebnega dolgovezenja naštejmo nekaj novih in nadgrajenih funkcionalnosti rešitve za odkrivanje, ukrepanje proti in odpravljanje posledic notranjih groženj.
· Napredni varnostni pravilniki: izboljšana knjižnica "Insider Threat Library" več kot 180 pravil, na podlagi katerih lahko rešitev samodejno odkriva kršitve varnostnih pravilnikov znotraj informacijskega sistema organizacije. Vsa pravila so logično kategorizirana z izbranimi najbolj primernimi nastavitvami za prvi zagon, s čimer je mogoče doseči maksimalno učinkovitost in sprotno inteligentno zaščito avtorskih podatkov že nekaj ur po originalni namestitvi.
· Samodejna kategorizacija spletnih strani: ObserveIT sicer ni spletni filter kot Forcepoint Web Security Gateway ali McAfee Web Gateway, a na delovnih postajah in strežnikih nameščeni agenti so vseeno sposobni naprednega spremljanja uporabniških aktivnosti na spletu. Na podlagi tega nas lahko obveščajo o tveganih aktivnostih, morebitnih okužbah ali zlorabah spletnih storitev, ali čisto enostavno kadar se odpirajo spletne strani, ki se po varnostnih pravilnikih ne bi smele, kot so na primer strani s pornografsko vsebino, športnimi poročili ali stavami in podobno. ObserveIT ima sproti posodabljajočo se po kategorijah urejeno bazo več kot 28 milijonov spletnih naslovov. Zakaj? Ker je notranja grožnja pogosto posledica spletnih navad, ki lahko povzročijo okužbe, določene spletne strani pa se lahko namenoma uporabijo kot orodje za ogrožanje organizacije, na primer za odtujitev podatkov.
· Kraja podatkov s pomočjo tiskalnika: nove funkcionalnosti za tiskanja na mrežnih ali neposredno na računalnik priklopljenih tiskalnikih. Prilagodljiva pravila omogočajo odkrivanje kraje podatkov na ta način, torej opozarjanje na tiskanje dokumentov z občutljivimi podatki. Kajti, zakaj bi na primer administrator strežnika s podatkovno bazo tiskal nekaj neposredno iz operacijskega sistema, to se običajno počne iz navadne delovne postaje in iz aplikacije kot je na primer Microsoft Word.
· Več zasebnosti, enaka vidljivost: ObserveIT omogoča anonimizacijo osebnih imen, uporabniških računov in delovnih postaj sodelavcev. Pomeni, da je ObserveIT lahko vedno v skladu z EU pravilniki o zaščiti osebnih podatkov, ne glede na to kako strogo se ti pravilniki tolmačijo.
· Poenostavljeno delo z alarmi in upravljanje incidentov: Nova različica omogoča hitro in enostavno kreiranje ali uvažanje več vrst seznamov za lažje upravljanje množice alarmov in incidentov. V seznamih lahko definiramo za varnost pomembne uporabniške račune, imena ali skupine uporabnikov, kakor tudi na primer račune, katerih aktivnosti bi radi ignorirali, in podobno.
· Trend Graph for User Risk Behavior: ObserveIT spremlja in se uči iz uporabniških aktivnosti, ocenjuje njihove navade skozi čas. tako pridobljene podatke lahko normalizira v običajne okvire in opozarja na odstopanja. S tem je omogočeno natančnejše in hitrejše odkrivanje notranjih groženj ter prioritizacija incidentov in s tem uspešnejše odpravljanje posledic namernih ali nenamernih dejanj.
· Mac Agent: Sedaj imamo na razpolago kompletno snemanje zaslonske aktivnosti kakor tudi zbiranje vseh pomembnih meta-podatkov s prenosnikov, delovnih postaj ter strežnikov z operacijskimi sistemi podjetja Apple.
· Skladnost s širokim naborom operacijskih sistemov: ObserveIT je sedaj vodilni ponudnik te vrste rešitev glede na število različnih sistemov, ki jih rešitev podpira, Windows, MacOS ter 17 različic operacijskih sistemov of Unix in Linux.
ObserveIT uporabljamo za
- spremljanje komunikacijske seje med uporabnikom in strežnikom ali delovno postajo;
- izdelavo in hranjenje videoposnetka celotne uporabniške aktivnosti na spremljanem sistemu;
- sestavljanje dnevniških zapisov (log) za vse aplikacije, tudi za tiste ki nimajo svojega internega beleženja;
- hranjenje forenzičnih podatkov in opravljanje forenzičnih preiskav;
- identifikacijo deljenih uporabniških računov ('admin') in zaznavanje kraje identitet;
- obveščanje o in preprečevanje neželenih ali škodljivih aktivnosti;
- boljšo integracijo s SIEM rešitvami.
Med drugim lahko s tem orodjem vidimo:
• podatke o uporabniškem dostop do, urejanju ali spreminjanje sistemskih datotek in nastavitev,
• SQL povpraševanje in podrobnosti komunikacijskih sej do podatkovnih baz,
• datotečne prenose z interneta ali preko FTP strežnikov neposredno na strežnike,
• spremembe izvorne kode Visual Studio,
• podrobnosti o delu z elektronsko pošto na uporabniškem vmesniku strežnika,
• odpiranje ali urejanje tabel v Excel-u ali drugih aplikacijah,
• uporabo aplikacij v aplikacijskih strežnikih Citrix ter Microsoft Forefront,
• dostop do deljenih datotečnih map, odpiranje, brisanje ali spreminjanje datotek,
• prijave v aplikacije, poganjanje uporabniških ali sistemskih skript,
• poganjanje sistemskih aplikacij, dostope do sistemskih knjižnic, nastavitev, konfiguracij,
• sprožanje SAP transakcij, prikazovanje podrobnosti o strankah v CRM ali ERP aplikacijah,
• dostop do specifičnih URL naslovov neposredno iz strežnika,
• in še marsikaj drugega.
Avtor / prevod: Robert Lubej
Povezava do izvorne novice:
http://blog.observeit.com/2013/07/02/observeits-new-release-coming
### ### ###
O Observe IT
Observe IT je dobavitelj programskih rešitev za napredno spremljanje in beleženje tj. snemanje uporabniških aktivnosti na ključnih strežniških sistemih. Brez ovir se seveda lahko uporablja tudi za spremljanje dela na delovnih postajah, a primarni interes so strežniki, na katerih tudi ni težav o poseganju v zasebno sfero zaposlene osebe, saj se na strežnikih nikoli ne počnejo zasebne stvari. Podjetje je bilo ustanovljeno leta 2006, njegova vodilna motivacija je 'poenostavitev življenja' IT vodjem in varnostnim strokovnjakom. Naloge rešitve Observe IT so:
· snemanje uporabniške aktivnosti na strežniku;
· ustvarjanje tekstovnih dnevniških zapisov o aktivnosti vseh aplikacij znotraj uporabniške seje;
· identifikacija deljenih uporabniških računov ('admin', 'root') in zaznavanje kraje identitet;
· enostaven dostop do vseh shranjenih podatkov, dnevnikov in posnetkov, za podporo forenzičnim preiskavam;
· enostavna integracija s SIEM rešitvami;
· popolno pokritje - vsi uporabniki, aplikacije, protokoli in vsa delovna okolja, vse vrste uporabniških sej.
Več o podjetju, katerega sedež je v Izraelu, najdete na spletnih straneh: http://www.observeit-sys.com
Dodatne informacije:
Matic Knuplež, PreSales Engineer
REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74