CC BY
277
УДК: 004.4
ББК: 32.97-018.2
Князева Г.В.
МОНИТОРИНГ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЯ КАК ЧАСТЬ СИСТЕМЫ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ
Knyazeva G. V.
THE MONITORING OF USER ACTIONS AS A PART OF THE INTEGRATED SECURITY OF COMPUTER SYSTEMS
Ключевые слова: информационная безопасность, блокировка USB-портов, защита информации от утечки, мониторинг действий пользователей, конфиденциальная информация.
Keywords: information security, blocking USB-ports, protection against a leakage of information, monitoring user activities, confidential information.
Аннотация: мониторинг действий пользователей корпоративной сети в организации - не только одно из основных средств информационной безопасности фирмы, но и важный инструмент контроля трудовой дисциплины коллектива.
Abstract: the monitoring of user activities in the corporate network in the organization is not just one of the principal means of information security firm, but also an important tool for monitoring team labor discipline.
Компьютеры и компьютерные сети сейчас используются повсеместно. Хорошо, если вновь поступающий на работу сотрудник ознакомлен с основными правилами безопасности при работе в сети, с правилами работы с конфиденциальной информацией. Но зачастую специалисты технических отделов не принимают никакого участия при приеме на работу новых сотрудников, а первичный и, чаще всего, формальный инструктаж проводит сотрудник отдела кадров. Поэтому стоит ли удивляться, когда компьютерные системы оказываются мишенью незаконного проникновения (попытки хакеров проник-нуть в систему из спортивного интереса, месть рассерженных служащих, взлом мошенниками для незаконной наживы и т.д.)?
Цель данного исследования - опреде-лить, какими средствами можно отследить действия пользователя в корпоративной компьютерной сети предприятия для уменьшения рисков утечки служебной информа-ции.
В настоящее время под компьютер-ными преступлениями подразумеваются: неправомерный доступ к компьютерной информации (статья 272 УК РФ); создание, использование и распространение вредонос-ных программ для ЭВМ (статья 273 УК РФ); нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (статья 274 УК РФ); хищение, подделка, уничтожение компьютерной информации и др.
Аналитический Центр компании InfoWatch1 провел глобальное исследование утечек конфиденциальной информации в I полугодии 2014 г. и опубликовал следующие данные:
1. В I полугодии 2014 года в мире зафиксировано, обнародовано в СМИ и зарегистрировано Аналитическим центром InfoWatch 654 случая утечки конфиден-циальной информации, что на 32% превы-шает количество утечек, зарегистрирован-ных за аналогичный период 2013 года.
2. Россия занимает второе место по количеству опубликованных утечек. Количество «российских» утечек по сравнению с 2013 годом выросло более чем вдвое - в исследуемый период зарегистри-ровано 96 случаев утечки конфиденциаль-ной информации из российских компаний и государственных организаций.
1 Http://www.infowatch.ru/analytics
3. Во всем мире скомпрометировано более 450 млн записей, в том числе финансовые и персональные данные.
4. В 71% случаев виновными в утечке информации оказались сотрудники компаний. В 3% случаев - высшие руководители организаций.
5. К непосредственным утечкам данных относятся 83% случаев компромета-ции информации, 11% зафиксированных утечек сопряжены с использованием сотрудниками служебного положения для получения личной выгоды, в 5% утечек произошли вследствие превышения сотрудниками прав доступа к информации.
6. Больше всего утечек информации связано с персональными данными - в 89% случаев утекает именно эта информация.
В 2014 году российская картина утечек данных все стремительнее приближается к американской. Перевод документооборота в электронную форму провоцирует в нашей стране распростране-ние такого вида преступления, как «кража личности» -использование чужих персональных данных (ПДн) в собственных целях. Если раньше мы об этом читали только в иностранных СМИ, сегодня хищение чужих ПДн с целью мошенничества - обычная практика российских преступников.
Пример использования персональных данных.
Бывшая сотрудница банка «Хоум Кредит эдн Финанс» оформила фиктивные кредиты более чем на миллион рублей, воспользовавшись чужими персональными данными. Всего было выявлено девять фиктивных договоров на суммы от 220 до 300 тысяч рублей, все они, по данным следствия, с мая по сентябрь 2012 года оформлялись одним менеджером по продаже финансовых услуг. После внутренней проверки банк подал в полицию заявление с просьбой возбудить дело в отношении в целях мошенничества2.
Развертывание систем комплексной безопасности является обязательным требованием для предприятий, работающих с конфиденциальной информацией.
Одним из важных компонентов таких комплексов является система контроля действий пользователя — программный или программно-аппаратный комплекс, позволяющий осуществлять мониторинг рабочих операций пользователя на предмет их соответствия корпоративным политикам.
Необходимость возникновения таких систем была обусловлена увеличением инсайдерских угроз3. Согласно иссле-дованию IDC4, 30-40% из проводимого на рабочем месте времени сотрудники компаний тратят на задачи, не связанные с выполнением рабочих обязанностей. Каждый работодатель заинтересован в повышении эффективности работы коман-ды, а для этого необходимо получить ин-формацию о том, чем занимаются сотрудники в рабочее время.
Программное обеспечение для мониторинга пользователей, как правило, имеет следующие составляющие:
- кейлоггер: программа, занимаю-щаяся перехватом нажатий клавиш;
- скриншоты экрана: позволяют увидеть, чем сотрудник занимается за компьютером;
- видеозапись экрана: позволяет в режиме реального времени отслеживать
2 http://www.evening-kazan.ru/articles/bank-obvinil-menedzhera-v-moshennichestve.html
3 Инсайдерские угрозы — это вредоносные для организации угрозы, которые исходят от людей внутри организации, таких как работники, бывшие работники, подрядчики или деловые партнеры, у которых есть информация о методах безопасности внутри организации, данных и компьютерных системах. Угроза может включать мошенничества, кражи конфиденциальной и коммерчески ценной информации, воровство интеллектуальной собственности, либо саботаж компьютерных систем.
4 IDC - ведущий поставщик информации и консультационных услуг, организатор мероприятий на рынках информационных технологий, телекоммуникаций и потребительской техники. IDC помогает профессионалам ИТ, руководителям и инвесторам принимать обоснованные решения о закупке техники и выборе бизнес-стратегии.
действия сотрудника;
- контроль приложений: запись того, сколько времени, с какими приложениями работает пользователь.
Мониторинг действий пользователей включает в себя:
- мониторинг рабочего стола;
- мониторинг процессов;
- мониторинг доступа к USB;
- мониторинг интернет-активности;
- мониторинг локальных действий.
Мониторинг рабочего стола реализ-уется двумя способами - администратор видит всё то, что в данный момент видит пользователь, или просматривает сохранён-ные снимки экрана. Они могут быть использованы как вещественные доказа-тельства нарушения трудового договора. Существует много других способов получить снимок экрана, например, программа Greenshot .
Мониторинг процессов отслеживает запущенные приложения, сохраняя различ-ные параметры: время запуска, время работы, время активности на экране и т.д. Это позволяет оценить эффективность использования рабочего времени работ-ником, отследить вирусную атаку, которая может повредить корпоративную информацию. Большинство систем позво-ляет блокировать запуск определённых процессов. Может существовать функция завершения уже запущенных процессов удалённо. Существует множество вариантов получения списка процессов. Например, библиотека tlhelp32.h позволяет получить список процессов в Windows.
Мониторинг доступа к USB. Съёмные usb-носители представляют серьёзную угрозу конфиденциальной информации. Большинство систем наблюдения предоставляют возможность блокировки доступа ко всем устройствам, фильтрации устройств и журналирование использования usb-устройств. Это предотвращает как утечку информации, так и проникновение вирусов на рабочий компьютер. Часто, при разрешённом доступе, всё, что копируется на съёмный носитель, сохраняется в другом месте и может быть использовано для расследования нарушений политики компании.
В Windows технически это реали-зуется несколькими способами:
- полное блокирование через реестр;
- полное блокирование, через запрет записи в файлов %SystemRoot%\Inf\Usbstor.pnf, %SystemRoot%\Inf\Usbstor.inf;
- частичная блокировка и фильтрация возможна через написание USB-драйвера.
Мониторинг интернет-активности. Интернет - серьёзный канал утечки конфиденциальных данных, поэтому системы контроля за действиями пользователей отслеживают многие аспекты интернет активности работника.
Мониторинг посещаемых веб-сайтов позволяет выявить нецелевое использование рабочего времени, отслеживать поисковые запросы сотрудника (из них можно отследить -ищет ли он другие вакансии или не относящуюся к работе информацию). Сохраняются Url, заголовки посещённых страниц, время их посещения. Некоторыми системами реализуется возможность наблюдения в режиме реального времени за открытыми сайтами.
Социальные сети. Помимо не целевой траты рабочего времени на социальные сети, через них может утекать конфиденциальная информация. Поэтому система может
5 Greenshot is a free and open source screenshot program for microsoft windows. It is developed by thomas braun, jens klingen and robin krom and published under gnu general public license. The development project is hosted bysourceforge.
Greenshot's feature set mainly targets project managers, testers and developers. It is used to create full or partial screenshots. The captured screenshot can be annotated and edited using the built-in image editor before exporting it either to an image file, email attachment, printer or clipboard.
сохранять набор данных: просматриваемые профили, переписки, а также отправляемые туда фотографии.
IM. Чтобы предотвратить или потом доказать утечку информации, перехва-тываются и сохраняются сообщения большинства популярных IM-протоколов и мессенджеров (ICQ, Skype). Это делается как программными средствами, так и через анализ трафика проходящего через шлюз.
Мониторинг электронной почты. Для этого ведётся полное журналирование всех сообщений электронной почты. Чаще всего это делается путём перехвата сообщений локального почтового клиента, однако возможен и перехват сообщений отправляемых через web-клиент. Техни-чески, такой вид мониторинга может быть реализован двумя способами:
1. Перехват непосредственно сетевого трафика программно или аппаратно. Это работает до тех пор, пока не используется защищенное интернет соединение, например, SSL.
2. Перехват содержания web-форм, полей ввода и прочего. При таком методе наблюдения скрыть передаваемое сообще-ние практически невозможно.
Мониторинг локальных действий. Основные локальные действия пользователя тоже контролируются.
Мониторинг клавиатуры. Система записывает все нажимаемые клавиши, включая системные (CTRL, SHIFT, ALT, CAPS LOCK), кроме этого могут быть записаны название окна, в которое производился ввод, язык раскладки и т.д. Это позволяет контролировать использо-вание конфиденциальной информации, восстанавливать забытые пароли. Для Windows кейлоггеры создаются с помощью так называемых хуков, когда между нажатием клавиши и отправкой сообщения окну о факте нажатия, вклинивается сторонняя функция, которая отмечает факт нажатия клавиши. В unix-подобных системах, использующих Х-сервер, кейлогеры реализуются по средствам функции XQueryKeymap из библиотеки Xlib.
Буфер обмена. Система сохраняет всё, что было скопировано в буфер обмена, и почти всегда, сопутствующую информацию. Это позволяет предотвратить потерю информации, даёт возможность обнаружить разглашение конфиденциальной информации. Windows предоставляет стандартную функцию для этих целей SetClipboardViewer, для Linux это делается через Xlib. Так же есть платформонезави-симые средства управления буфером обмена, например, Qt.
Запоминаются все действия с файла-ми: копирование, удаление, редактирование, и программа, через которое действие совершено. Это позволяет установить, какие файлы использовал сотрудник для своей работы, и выявить вирусную атаку. Для Windows программно это реализуется подменой стандартных функций чтения/записи файла в соответствующих динамических библиотеках (DLL). В Linux этого можно достичь, перехватывая системные вызовы.
Печать файлов. Через принтер может утечь конфиденциальная информация, достаточно распечатать важный документ и вынести с предприятия, поэтому сохраняются названия печатаемых файлов, времени и даты печати. Также печатаемые файлы могут сохраняться, как в виде исходного файла, так и в виде графического файла. В Windows для таких целей предусмотрен Print Spooler API6, позволяющий управлять очередью печати. Для Linux теневое копирование файлов печати реализуется с помощью CUPS.
Тестирование безопасности проверяет фактическую реакцию защитных механизмов, встроенных в систему, на проникнове-ние. В ходе тестирования безопасности испытатель играет роль взломщика. Ему разрешено все:
- попытки узнать пароль с помощью внешних средств;
6 The Print Spooler API contains the functions and data structures that applications use to manage the Windows print spooler and the printers and print jobs that it controls.
- атака системы с помощью специальных утилит, анализирующих защиты;
- подавление, ошеломление систе-мы (в надежде, что она откажется обслуживать других клиентов);
- целенаправленное введение ошибок в надежде проникнуть в систему в ходе восстановления;
- просмотр несекретных данных в надежде найти ключ для входа в систему.
При неограниченном времени и ресурсах хорошее тестирование безопас-ности взломает любую систему. Задача проектировщика системы — сделать цену проникновения более высокой, чем цена получаемой в результате информации.
Одним из решений для мониторинга действий пользователя можно рекомен-довать использование специальных прог-раммных комплексов.
В качестве программы для тести-рования сети рекомендуется использовать Сканер-ВС. Загрузочное окно программы представлено на рисунке 1.
□ менеджер сканирования с задания а новое задание а заметки
а переопределения п исполнение
□ настройки с настройки
сканирования о иепи
о полномочия с агенты с шкапы о расписания оформэтиртчетор о помощники
О администрирование О пользователи а настройки
□ помощь о о проекте
NVT Е- I «уде [текст действия
Рисунок 1 - Загрузочное окно программы Сканер-ВС
Сканер-ВС - универсальный инстру-мент, содержащий целый арсенал средств для выполнения внутреннего или внешнего аудита сетей, тестирования проникнове-нием, перехвата и анализа трафика с помощью технологии ARP-спуфинга (возможен перехват шифрованного HTTPS-трафика посредством подмены сертифика-та), проверки стойкости сетевых и локальных паролей, а также поиска остаточной информации на жестких дисках и других носителях вне зависимости от файловой структуры. Сканер-ВС позволяет определять топологию корпоративной сети, производить инвентаризацию вычислительных ресурсов, проводить проверку защищенности беспроводных сетей Wi-Fi, контролировать появление сетевых серви-сов и проверять на прочность брандмауэры, системы обнаружения вторжений и прочие средства защиты. Для имитации различных видов атак используется обновляемая международная база, включающая свыше 17 тысяч уязвимостей.
Сканер-ВС не требует изменения конфигурации IT-инфраструктуры и поставляется разработчиком в виде загрузочного DVD- или USB-накопителя с операционной системой и предустанов-ленным программным обеспечением для всестороннего тестирования защищенности информационных комплексов. Решение может применяться в качестве мобильного места администратора информационной безопасности, а также как средство расследования инцидентов IT-безопасности и для мониторинга сети. Продукт имеет сертификаты Министерства обороны Российской Федерации (Минобороны России) и Федеральной службы по техническому и экспортному контролю (ФСТЭК России).
итог задания в ■ ■■«*
- имя: unnamed 9§В«ТИв F JiAfllHPK
комментарий
конфигурация Full and fast
шкала
расписамие: (Next due over)
цель Locaihoefc
помощник.
статус:
отчеты: 1 (Finished 1)
отчеты no "unnamed" nn-
отчет угроза результаты сканирования Icti |«=a lean действия
Wed May 25 08:22:51 2011 , ■ j Done S 9 19 19 0 aau
заметки результатов по 'unnamed*
NVT теист
переопределения результатов по 'unnamed* 5
Подведем некоторые итоги данного исследования.
Защита безопасности - актуальная тема, включающая несколько направлений. Пользователь, как главное действующее лицо корпоративной информационной системы, может умышленно или неумыш-ленно нанести ущерб безопасности данным. Следовательно, мониторинг действий поль-зователя является важной частью комплексной системы безопасности компьютер-ных систем. Применение специальных программных средств может поднять на новый качественный уровень систему комплексной безопасности предриятия.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Альтман, Е.А. Компьютерные сети на базе оборудования фирмы Cisco / Е.А. Альтман. - Омск: Омский гос. университет путей сообщения, 2007. - 32 с.
2. Горбачевская, Е.Н., Краснов, С.А. Анализ структуры системы информационной безопасности предприятия с централизованной авторизацией пользователей // Вестник Волжского университета имени В.Н. Татищева. - №4(22). - С. 63-74.
3. Жадаев, А.Г. Как защитить компьютер на 100%. - СПб.: Питер, 2014. - 304 с.
4. Низамутдинов, М.Ф. Тактика защиты и нападения на Web-приложения. - СПб.: БХВ-Петербург, 2005. - 432 с.
5. Эминов, Б.Ф., Эминов, Ф.И. Безопасное управление ресурсами и пользователями в корпоративных информационных сетях: Учебное пособие. - Казань: Новое знание, 2007. - 80 с.
6. Википедия. http://www.ru.wikipedia.org.
7. Wikipedia. http://www.en.wikipedia.org.
8. Глобальное исследование утечек конфиденциальной информации в 2014 году. http://www.infowatch.ru/report2014
9. Сеть разработчиков Microsoft. http://msdn.microsoft.com/.
