Контакты
Подписка
МЕНЮ
Контакты
Подписка

Может ли система ЮМ помочь в расследовании компьютерного преступления?

Может ли система ЮМ помочь в расследовании компьютерного преступления?

В рубрику "Исследование" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Может ли система IDM помочь в расследовании компьютерного преступления?

В настоящее время системы IDM (Identity Management), или в более широком смысле IAM (Identity & Access Management), получают все более широкое распространение. Основное назначение таких систем — автоматизация процесса управления доступом к информационным ресурсам предприятия.
Александр Санин
коммерческий директор
компании Avanpost

Само понятие И Б начинается именно с процесса управления доступом. Долгое время этот процесс не вызывал никаких серьезных вопросов, но с ростом IT-инфраструктуры, с развитием масштабов бизнеса этот процесс постепенно начал выходить из-под контроля. Именно тогда и начали активно появляться IDM-системы, призванные автоматизировать и упростить данный процесс.

Вообще, сегодня многие вопросы ИБ уже перестали быть чем-то узкоспециализированным и доступным лишь ограниченному кругу специалистов, теперь данные вопросы понимает и менеджмент организаций, в том числе и владельцы бизнеса. Сегодня, в XXI веке, информация стала одним из самых ценных ресурсов, никого не удивляют новости о различных компьютерных преступлениях, о взломах сайтов, мошенничествах с пластиковыми картами и даже об информационных войнах. Вы спросите, а при чем тут системы IDM? В данной статье мы попробуем рассмотреть некоторые моменты, которые могут помочь организации, внедрившей у себя IDM-систему, в расследовании компьютерного преступления.

Взглянем на работу специалиста по расследованию компьютерных преступлений. На первый план сразу выходит работа, связанная со сбором и анализом системных журналов и лог-файлов. Специалист должен понять. Безусловно, нужный срез матрицы доступа, которую можно оперативно получить из IDM-системы. поможет в расследовании. Кроме того, подробные логи по процедуре управления доступом могут так же указать на различные отклонения от стандартных процессов.

Начнем с того, что, как правило, практически любое компьютерное преступление подразумевает неправомерное получение доступа к конфиденциальной информации (не считая, конечно, таких неприятных вещей, как DDoS-атаки и пр.). И тут совершенно не важно, был ли это прямой взлом сети организации, либо это был "внутренний" инцидент, главное тут то, что некий человек-злоумышленник получил доступ к той информации, к которой не имел права доступа. Тут и выходит на первый план система управления доступом, о которой мы говорили выше. Ведь именно она призвана защищать бизнес от таких рисков, и от того насколько грамотно и эффективно эта система построена, зависит очень многое. Если говорить о примерах, то необходимо сказать о главнейшей задаче, которую решает IDM-система, - своевременное блокирование доступа. Подумайте, все ли учетные записи в вашей компании, например уволенных сотрудников, блокируются своевременно? А тем временем эти самые незаблокированные учетные записи несут в себе определенный риск, и мы уже не раз слышали о том, что бывшие сотрудники уже после ухода из компании забирают с собой часть той информации, к которой имели доступ. Это, наверное, один из наиболее важных моментов, на который стоит обратить внимание, - IDM-система является одной из важных превентивных мер борьбы с компьютерными преступлениями.

Сегодня наблюдается тенденция, и многие эксперты это подтверждают, что большинство компьютерных преступлений, связанных с хищениями корпоративной конфиденциальной информации, проводятся при участии инсайдеров, то есть тех людей, которые работают в организации. Эта тенденция объясняется довольно просто - в большинстве случаев для злоумышленников гораздо быстрее и дешевле внедрить инсайдера в компанию, нежели пытаться "пробиваться снаружи". Если говорить метафорически, инсайдеры - самый страшный сон службы ИБ. Дело в том, что IDM-система может помочь и тут, и связано это с тем, что она собирает и хранит абсолютно все сведения о предоставлении доступа. И именно они могут помочь в расследовании.


Нельзя не отметить и специфические плюсы IDM-систем, связанные с одной из наиболее острых проблем в управлении доступом, - контроль администраторов. Нередки прецеденты, когда в роли подобного злоумышленника выступает именно администратор системы, и в таком случае, не имея никаких методов контроля, подобное компьютерное преступление будет крайне тяжело раскрыть и привлечь виновных к ответственности. IDM-системы и тут могут помочь, ведь при таком раскладе администратор ресурса не всегда сможет самостоятельно скрыть все улики. Даже если он оперативно создаст учетную запись и затем ее же удалит, эта информация отобразится в логе IDM-решения. Хотя в этом сложном вопросе есть некоторые оговорки, связанные с контролем целостности системных файлов, и для полноценного контроля за действиями администраторов понадобится решение, несколько выходящее за рамки классических IDM-систем.

Безусловно, IDM-системы не являются панацеей от всех бед, и далеко не всегда они способны предотвратить компьютерное преступление, но серьезную помощь в расследовании они оказать точно смогут.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2012

Приобрести этот номер или подписаться

Статьи про теме