Автоматизированная система аудита (мониторинга) действий пользователей

Виктор Чутов
Руководитель проектов ИНФОРМСВЯЗЬ ХОЛДИНГ

Предпосылки к внедрению системы

Проведенное в 2007 г. первое открытое глобальное исследование внутренних угроз информационной безопасности компанией Infowatch (по итогам 2006 г.) показало, что внутренние угрозы являются не менее распространенными (56,5%), чем внешние (вредоносные программы, спам, действия хакеров и т.д.). При этом в подавляющем большинстве (77%) причиной реализации внутренней угрозы является халатность самих пользователей (невыполнение должностных инструкций либо пренебрежение элементарными средствами защиты информации).

Динамика изменения ситуации в период 2006-2008 гг. отражена на рис. 1.

Относительное уменьшение доли утечек по причине халатности обусловлено частичным внедрением систем предотвращения утечек информации (в том числе системы мониторинга действий пользователей), которые обеспечивают достаточно высокую степень защиты от случайных утечек. Помимо этого она обусловлена абсолютным ростом числа умышленных краж персональных данных.

Несмотря на изменение статистики, по-прежнему можно уверенно утверждать, что приоритетной задачей является борьба с непреднамеренными утечками информации, поскольку противодействовать таким утечкам проще, дешевле, а в результате покрывается большая часть инцидентов.

При этом халатность сотрудников, согласно проведенному анализу результатов исследований Infowatch и Perimetrix за 2004-2008 гг., занимает второе место среди самых опасных угроз (сводные результаты исследований представлены на рис. 2), и ее актуальность продолжает расти наряду с совершенствованием программно-аппаратных средств автоматизированных систем (АС) предприятий.

Таким образом, внедрение систем, позволяющих устранить возможность негативного влияния сотрудника на ИБ в АС предприятия (в том числе мониторинговых программ), обеспечить сотрудников службы ИБ доказательной базой и материалами для расследования инцидента, позволит устранить угрозу утечки по причине халатности, значительно снизить случайные утечки, а также несколько уменьшить умышленные. В конечном счете данная мера должна дать возможность значительно сократить реализацию угроз от внутренних нарушителей.

Современная АС аудита действий пользователей. Достоинства и недостатки

Автоматизированные системы аудита (мониторинга) действий пользователей (АСАДП) АС, часто называемые мониторинговыми программными продуктами, предназначены для использования администраторами безопасности АС (службой ИБ организации) для обеспечения ее наблюдаемости - "свойства вычислительной системы, позволяющего фиксировать деятельность пользователей, а также однозначно устанавливать идентификаторы причастных к определенным событиям пользователей с целью предотвращения нарушения политики безопасности и/или обеспечения ответственности за определенные действия".

Свойство наблюдаемости АС в зависимости от качества его реализации позволяет в той или иной мере контролировать соблюдение сотрудниками организации ее политики безопасности и установленных правил безопасной работы на компьютерах.

Применение мониторинговых программных продуктов, в том числе и в реальном масштабе времени, призвано:

• определять (локализовать) все случаи попыток несанкционированного доступа к конфиденциальной информации с точным указанием времени и сетевого рабочего места, с которого такая попытка осуществлялась;
• выявлять факты несанкционированной установки ПО;
• определять все случаи несанкционированного использования дополнительных аппаратных средств (например, модемов, принтеров и т.п.) путем анализа фактов запуска несанкционированно установленных специализированных приложений;
• определять все случаи набора на клавиатуре критичных слов и словосочетаний, подготовки критичных документов, передача которых третьим лицам приведет к материальному ущербу;
• контролировать доступ к серверам и персональным компьютерам;
• контролировать контакты при серфинге в сети Internet;
• проводить исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;
• определить загрузку компьютерных рабочих мест организации (по времени суток, по дням недели и т.д.) с целью научной организации труда пользователей;
• контролировать случаи использования персональных компьютеров в нерабочее время и выявлять цель такого использования;
• получать необходимую достоверную информацию, на основании которой принимаются решения о корректировке и совершенствовании политики ИБ организации и т.д.

Реализация данных функций достигается путем внедрения модулей-агентов (сенсоров) на рабочие станции и серверы АС с дальнейшим опросом состояния либо получением отчетов от них. Отчеты обрабатываются на консоли администратора безопасности. Некоторые системы оборудуются промежуточными серверами (точками консолидации), обрабатывающими свои области и группы безопасности.

Проведенный системный анализ представленных на рынке решений (StatWin, Tivoli Configuration Manager, Tivoli Remote Control, OpenView Operations, "Урядник/Enterprise Guard", Insider) позволил выделить ряд специфических свойств, придание которых перспективной АСАДП позволит повысить ее показатели эффективности по сравнению с исследованными образцами.

В общем случае, наряду с достаточно широким функционалом и большим пакетом опций, существующие системы могут использоваться для отслеживания деятельности лишь отдельных пользователей АС на основе обязательного циклического опроса (сканирования) всех заданных элементов АС (и в первую очередь АРМ-пользователей).

При этом распределенность и масштабность современных АС, включающих достаточно большое количество АРМ, технологий и ПО, значительно усложняет сам процесс мониторинга работы пользователей, а каждое из сетевых устройств способно генерировать тысячи сообщений аудита, достигающих достаточно больших объемов информации, которые требуют ведения огромных, зачастую дублирующих баз данных. Указанные средства помимо прочего потребляют значительные сетевые и аппаратные ресурсы, загружают общую АС. Они оказываются негибкими к реконфигурации аппаратно-программного обеспечения компьютерных сетей, не способны адаптироваться к неизвестным типам нарушений и сетевых атак, а эффективность обнаружения ими нарушений политики безопасности в значительной мере будет зависеть от частоты сканирования администратором безопасности элементов АС.

Одним из способов повышения эффективности работы указанных систем является непосредственное увеличение частоты сканирования. Это неизбежно приведет к снижению эффективности выполнения тех основных задач, для которых, собственно, и предназначена данная АС, в связи со значительным увеличением вычислительной нагрузки как на АРМ администратора, так и на компьютеры рабочих станций пользователей, а также с ростом трафика локальной сети АС.

Помимо проблем, связанных с анализом большого объема данных, в существующих мониторинговых системах имеют место серьезные ограничения по оперативности и точности принимаемых решений, вызываемых человеческим фактором, определяемым физическими возможностями администратора как человека-оператора.

Наличие в существующих системах мониторинга возможности оповещения о явных несанкционированных действиях пользователей в реальном масштабе времени принципиально не решает проблемы в целом, так как позволяет отследить только заранее известные виды нарушений (сигнатурный метод), и не способно обеспечить противодействие новым видам нарушений.

Разработка и использование в системах защиты информации экстенсивных методов ее обеспечения, предусматривающих повышение уровня ее защиты за счет дополнительного "отбора" вычислительного ресурса у АС, сокращает возможности АС по решению задач, для которых она предназначена, и/или увеличивает ее стоимость. Несостоятельность подобного подхода на стремительно развивающемся рынке IT-технологий достаточно очевидна.

Автоматизированная система аудита (мониторинга) действий пользователей. Перспективные свойства

Из приведенных ранее результатов анализа следует очевидная необходимость придания перспективным мониторинговым системам следующих свойств:

• автоматизации, исключающей рутинные "ручные" операции;
• сочетания централизации (на базе автоматизированного рабочего места администратора безопасности) с управлением на уровне отдельных элементов (интеллектуальных компьютерных программ) системы мониторинга работы пользователей АС;
• масштабируемости, позволяющей проводить наращивание мощностей мониторинговых систем и расширения их возможностей без значительного увеличения вычислительных ресурсов, необходимых для их эффективного функционирования;
• адаптивности к изменению состава и характеристик АС, а также к появлению новых видов нарушений политики безопасности.

Обобщенная структура АСАДП АС, обладающая отмеченными отличительными чертами, которая может быть реализована в АС  различного назначения и принадлежности,    представлена на рис. 3.

Приведенная структура включает следующие основные компоненты:

• программные компоненты-сенсоры, размещаемые на некоторых элементах АС (на рабочих местах пользователей, серверах, сетевом оборудовании, средствах защиты информации), служащие для фиксации и обработки данных аудита в режиме реального времени;
• регистрационные файлы, содержащие промежуточную информацию о работе пользователей;
• компоненты обработки данных и принятия решений, получающие информацию от сенсоров через регистрационные файлы, осуществляющие  ее анализ и принимающие решения о дальнейших действиях (например, о занесении некоторой информации в базу данных, извещении должностных лиц, создании отчетов и т.д.);
• база данных (БД) аудита, содержащая информацию о всех зарегистрированных событиях, на основе которой создаются отчеты и осуществляется мониторинг состояния АС за любой заданный период времени;
• компоненты формирования отчетов и справок на основании информации, зафиксированной в БД аудита, и фильтрации записей (по дате, по идентификаторам пользователя, по рабочей станции, по событиям безопасности и т.п.);
• компонент интерфейса администратора безопасности, служащий для управления работой АСАДП АС с ее АРМ, просмотра и печати информации, создания различного вида запросов к БД и формирования отчетов, позволяющий в режиме реального времени отслеживать текущую деятельность пользователей АС и оценивать текущий уровень защищенности различных ресурсов;
• дополнительные компоненты, в частности программные компоненты конфигурирования системы, установки и размещения сенсоров, архивирования и шифрования информации и др.

Обработка информации в АСАДП АС включает в себя следующие стадии:

• фиксацию сенсорами регистрационной информации;
• сбор информации от отдельных сенсоров;
• обмен информацией между соответствующими агентами системы;
• обработку, анализ и корреляцию зарегистрированных событий;
• представление обработанной информации администратору безопасности в нормализованном виде (в виде отчетов, диаграмм и т.п.).

С целью минимизации требуемых вычислительных ресурсов, увеличения скрытности и надежности работы системы хранение информации может осуществляться на различных элементах АС.

Исходя из поставленной задачи придания АСАДП АС принципиально новых (по сравнению с существующими системами аудита работы пользователей АС) свойств автоматизации, сочетания централизации и децентрализации, масштабируемости и адаптивности, одной из возможных стратегий ее построения видится современная технология интеллектуальных многоагентных систем, реализуемая путем разработки интегрированного сообщества агентов различных типов (интеллектуальных автономных программ, реализующих определенные функции обнаружения и противодействия противоречащим политике безопасности действиям пользователей) и организации их взаимодействия.