Kontrollsystem för användaråtgärder

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 25 december 2015; verifiering kräver 21 redigeringar .

Övervakningssystem för användaråtgärder  är ett mjukvaru- eller hårdvaru-mjukvarukomplex som låter dig spåra användaråtgärder. Detta system övervakar användarens arbetsaktiviteter för att följa företagets policyer.

Behovet av sådana system berodde på ökningen av insiderhot . Sådana mjukvarusystem förhindrar eller hjälper till att undersöka läckor av konfidentiell information, samt identifierar missbruk av arbetstid.

Orsaker

Moderna informationssäkerhetssystem implementerar principen om "flerlagers" skydd. Korrekt installerade och konfigurerade verktyg för informationsskydd gör att du på ett tillförlitligt sätt kan skydda dig mot attacker från inkräktare eller virusutbrott. Men trots allt detta är problemet med insiders väldigt populärt. Tidigare, mot bakgrund av hackare och en massa datavirus, såg deras egna anställda inte så hotfulla ut. Men i vår tid innebär deras handlingar, begångna på grund av inkompetens eller, vilket också ganska ofta är avsiktliga, verkliga hot mot företaget.

Den första öppna globala studien av interna hot mot informationssäkerhet av Infowatch som genomfördes 2007 (baserat på resultaten från 2006) visade att interna hot inte är mindre vanliga (56,5%) än externa (skadlig programvara, spam, hackare, etc.). I de allra flesta (77 %) är orsaken till implementeringen av ett internt hot användarnas försumlighet (underlåtenhet att följa arbetsinstruktioner eller försummelse av elementära sätt att skydda information). [1] Angripare med höga åtkomsträttigheter – administratörer av nätverk, operativsystem, applikationer, databaser – utgör också en stor fara. Allt detta förklarar det växande intresset under de senaste decennierna för att övervaka användarnas handlingar. Användarkontrollsystem validerar arbetsaktiviteter mot företagens efterlevnadspolicyer och utfärdar automatiskt varningar när säkerhetspolicyer bryts eller informations- och tekniktillgångar riskerar att få obehörig åtkomst och störningar

Huvudfunktionalitet och syfte

Skrivbordsövervakning

Ett av de viktigaste sätten att kontrollera användarens handlingar är att övervaka hans skrivbord. Detta implementeras på två sätt - administratören ser allt som användaren för närvarande ser, eller tittar på sparade skärmdumpar eller video av användarens handlingar. [2] [3] De kan användas som fysiska bevis på ett brott mot ett anställningsavtal. Tekniskt sett är det en mycket enkel operation att ta skärmdumpar .

Processövervakning

Systemet för övervakning av användaraktivitet övervakar också applikationer som körs och sparar olika parametrar: starttid, arbetstid, skärmaktivitetstid, etc. Detta låter dig utvärdera effektiviteten av att använda arbetstid av en anställd, spåra en virusattack som kan skada företaget information. [4] Dessutom, om en anställd lägger ner lång tid på en viss applikation kan det innebära att den anställde har svårt att använda den [5] . De flesta system låter dig blockera lanseringen av vissa processer. Det kan finnas en funktion för att avbryta redan körande processer på distans [4] .

Precis som med skärmdumpar finns det många alternativ för att få en lista över processer. Till exempel låter tlhelp32.h-biblioteket dig få en lista över processer i Windows. [6] På unix-liknande system görs detta till exempel med kommandot ps .

USB- åtkomstövervakning

Flyttbara USB-enheter utgör ett allvarligt hot mot konfidentiell information [7] , så åtkomst till dem måste kontrolleras av systemet. De flesta övervakningssystem ger möjlighet att blockera åtkomst till alla enheter, filterenheter och logga USB-enhetsanvändning. Detta förhindrar både informationsläckage och inträngning av virus på en fungerande dator. Ofta, när åtkomst tillåts, lagras allt som kopieras till flyttbara media någon annanstans och kan användas för att undersöka brott mot företagets policy.

På Windows är detta tekniskt implementerat på flera sätt:

• Fullständig blockering genom registret [8]
• Fullständig blockering genom att förbjuda skrivning till filer %SystemRoot%\Inf\Usbstor.pnf , %SystemRoot%\Inf\Usbstor.inf [8]
• Partiell blockering och filtrering är möjlig genom att skriva en USB-drivrutin

På Linux och vissa andra Unix-liknande system är följande blockeringsalternativ möjliga:

• Inaktivera nedladdning av USB-drivrutin
• Ställ in nousb-parametern till kärnan när du startar upp systemet
• Neka enhetsmontering för alla användare utom administratören

Övervakning av internetaktivitet

Internet är en seriös kanal för att läcka konfidentiell data [9] , så system för övervakning av användaraktivitet spårar många aspekter av en anställds internetaktivitet:

• Genom att övervaka besökta webbplatser kan du identifiera icke-riktad användning av arbetstid, spåra medarbetarnas sökfrågor (från vilken du kan spåra om han letar efter andra lediga tjänster eller information som inte är relaterad till arbetet). Sparad webbadress, titlar på besökta sidor, tidpunkten för deras besök. Vissa system implementerar möjligheten att övervaka öppna webbplatser i realtid.
• Sociala nätverk . Förutom det oriktade slöseriet med arbetstid på sociala nätverk kan konfidentiell information läcka genom dem. Därför kan systemet spara en uppsättning data: visade profiler, korrespondens, såväl som foton som skickas dit.
• I.M. _ För att förhindra eller senare bevisa informationsläckage, fångas och lagras meddelanden från de flesta populära IM-protokoll och meddelanden ( ICQ , Jabber , IRC , Skype ). Detta görs både av mjukvara och genom analys av trafik som passerar genom gatewayen.
• E-postövervakning. Enligt Infowatch skedde under första halvåret 2013 nästan 30 % av läckorna via e-post [10] , så det är viktigt att kontrollera vad som skickas/mottas av en företagsanställd. För att göra detta utförs fullständig loggning av alla e-postmeddelanden. Oftast görs detta genom att avlyssna meddelanden från den lokala e-postklienten [11] , men det är också möjligt att avlyssna meddelanden som skickas via webbklienten. [12]

Tekniskt sett kan denna typ av övervakning implementeras på två sätt:

• Avlyssning av nätverkstrafik direkt i mjukvara eller hårdvara. Detta fungerar så länge en säker internetanslutning som SSL inte används.
• Avlyssning av innehållet i webbformulär, inmatningsfält och annat. Med denna observationsmetod är det praktiskt taget omöjligt att dölja det överförda meddelandet.

Övervaka lokala aktiviteter

Användarens huvudsakliga lokala åtgärder kontrolleras också:

• Tangentbordsövervakning . Systemet registrerar alla nedtryckta tangenter, inklusive systemtangenter (CTRL, SHIFT, ALT, CAPS LOCK) [13] , dessutom namnet på fönstret där inmatningen gjordes, layoutspråket etc. [14] Detta tillåter dig att kontrollera användningen av konfidentiell information, återställa glömda lösenord, spåra hur mycket arbete som utförs (för stenografer). Ett program som bara fångar upp tangenttryckningar kallas en keylogger . För Windows skapas keyloggers med hjälp av sk. krokar , när en tredjepartsfunktion infogas mellan tangenten som trycks ned och meddelandet som skickas till fönstret om att tangenten trycktes, vilket markerar att tangenten trycktes. På unix-liknande system som använder X-servern implementeras keyloggers med XQueryKeymap-funktionen från Xlib-biblioteket .
• Urklipp. Systemet sparar allt som har kopierats till urklipp och nästan alltid relaterad information. Detta gör att du kan förhindra förlust av information, gör det möjligt att upptäcka avslöjande av konfidentiell information. Windows tillhandahåller en standardfunktion för detta ändamål SetClipboardViewer [15] , för Linux görs detta via Xlib. Det finns också plattformsoberoende urklippskontroller, som Qt .
• Alla åtgärder med filer kommer ihåg : kopiering, radering, redigering och programmet genom vilket åtgärden utfördes. Detta låter dig fastställa vilka filer en anställd använde för sitt arbete och identifiera en virusattack. För Windows implementeras detta programmatiskt genom att ersätta standardfunktionerna för att läsa/skriva en fil i motsvarande DLL-filer [16] . På Linux kan detta uppnås genom att avlyssna systemanrop [17] .
• Skriva ut filer. Konfidentiell information kan läcka genom skrivaren, det räcker att skriva ut ett viktigt dokument och ta ut det från företaget, så att namnen på de utskrivna filerna, tid och datum för utskrift sparas. Dessutom kan de utskrivna filerna sparas både som en källfil och som en bildfil. För sådana ändamål tillhandahåller Windows Print Spooler API, som låter dig hantera utskriftskön [18] . För Linux implementeras skuggkopiering av utskriftsfiler med CUPS .

Rättslig reglering

En arbetsgivare som använder övervakningsprogram är i första hand intresserad av informationssäkerheten i sitt företag och även av förmågan att effektivt kontrollera den rationella användningen av datorfaciliteter och arbetstid av dina anställda. Ändå kan sådan verksamhet av chefer när som helst orsaka indignation hos underordnade, eftersom Ryska federationens konstitution skyddar privat egendom (art. 8; 35), en medborgares integritet (del 1, art. 23), skyddar sekretessen för korrespondens, telefonsamtal, post-, telegrafiska och andra meddelanden, fastställer att begränsningen av denna rätt endast är tillåten på grundval av ett domstolsbeslut (del 2 i artikel 23). Lagstiftningen förbjuder kategoriskt att arbetsgivaren upprättar några hemliga metoder för att övervaka personal. Hemlig övervakning är en operationell sökningsåtgärd som endast har rätt att utföras av operativa enheter av särskilt auktoriserade statliga organ som anges i art. 13 i den federala lagen av 1995/08/12 No144-FZ "Om operativa sökaktiviteter". [19] Sådana meningsskiljaktigheter kräver en avvägning för att undvika konflikter mellan arbetstagare och arbetsgivare. I händelse av en konflikt kan underordnade försöka framställa ledarens verksamhet som olaglig. I sådana situationer, för att undvika problem, måste arbetsgivaren känna till sina rättigheter och lagen, till exempel: civillagen artikel 1470 (Officiell hemlighet för produktion) - ensamrätten till en produktionshemlighet skapad av den anställde i samband med utförandet av sina arbetsuppgifter eller en särskild uppgift för arbetsgivaren (officiell hemlig produktion) tillhör arbetsgivaren.

Ryska federationens arbetslagstiftning (artikel 15) säger: Arbetsförhållanden är relationer baserade på ett avtal mellan en anställd och en arbetsgivare om en anställds personliga prestation av en arbetsfunktion (arbete inom en viss specialitet, kvalifikation eller befattning) för betalning, arbetstagarens underordnande till reglerna för interna arbetsbestämmelser samtidigt som arbetsgivaren tillhandahåller arbetsvillkor enligt arbetslagstiftning, kollektivavtal, avtal, arbetsavtal. Därför, för att undvika juridiska incidenter, måste arbetsgivaren komplettera standardanställningsavtalet eller arbetsavtalet (anställningsavtalet) med tre punkter:

• avslöjande av information som representerar kommersiella och andra hemligheter är ett officiellt brott;
• användning av telefon, fax, e-post, internetåtkomst är endast tillåten för att utföra officiella uppgifter;
• den anställde samtycker till att regelbunden övervakning av efterlevnaden av de punkter som anges ovan kommer att utföras med alla tillgängliga medel.

Ur juridisk synvinkel är antagandet av ovanstående åtgärder tillräckligt för att använda användarens kontrollsystem för handlingar lagligt, men frågan om lagligheten av avlyssning och övervakning av internetkorrespondens är djupare och mer komplex, och kompletterar till och med kontrakt med ovanstående stycken. kanske inte förhindrar juridiska konflikter. Enligt arbetsrätten har arbetsgivaren rätt att endast samla in uppgifter om sina anställda som är relevanta för hans tjänsteuppgifter. Motsättningen ligger i det faktum att i kommunikationsprocessen på arbetsplatsen berörs oundvikligen personliga ämnen. Och om den anställde undertecknade ett samtycke för att samla in information om sig själv, tillhandahöll inte hans samtalspartner ett sådant dokument. Problemet med Internetkorrespondens kan lösas på följande sätt: se endast utgående meddelanden från anställda.

Se även

• Förebyggande av informationsläckor

Anteckningar

1. ↑ Global studie av interna incidenter med informationssäkerhet . Hämtad 10 december 2013. Arkiverad från originalet 12 december 2013. (obestämd)
2. ↑ Inspelning av video från datorskärmar, Kickidler Arkiverad 31 oktober 2018 på Wayback Machine  (ryska)
3. ↑ Lan Agent Arkiverad 11 december 2013 på Wayback Machine  (ryska)
4. ↑ 1 2 Beskrivning av StaffCop Arkiverad 12 december 2013 på Wayback Machine  (ryska)
5. ↑ Beskrivning av säkerhetskurator arkiverad 26 september 2013 på Wayback Machine  (ryska)
6. ↑ MSDN . Datum för åtkomst: 10 december 2013. Arkiverad från originalet den 27 februari 2014. (obestämd)
7. ↑ SecurityLab . Hämtad 8 december 2013. Arkiverad från originalet 12 december 2013. (obestämd)
8. ↑ 1 2 Förhindra användning av USB-lagringsenheter . Datum för åtkomst: 10 december 2013. Arkiverad från originalet 13 december 2013. (obestämd)
9. ↑ Kanaler för att läcka konfidentiell information - Hotanalys - Anti-Malware.ru . Datum för åtkomst: 7 december 2013. Arkiverad från originalet 12 december 2013.  (obestämd)  (ryska)
10. ↑ InfoWatch-rapport . Hämtad 8 december 2013. Arkiverad från originalet 12 december 2013. (obestämd)
11. ↑ Beskrivning av säkerhetskurator arkiverad 26 september 2013 på Wayback Machine  (ryska)
12. ↑ Beskrivning av Lan Agent . Hämtad 7 december 2013. Arkiverad från originalet 11 december 2013. (obestämd)
13. ↑ StaffCop- beskrivning Arkiverad 26 november 2020 på Wayback Machine (ryska) 
14. ↑ Beskrivning av Lan Agent arkiverad 11 december 2013 på Wayback Machine  (ryska)
15. ↑ MSDN . Datum för åtkomst: 10 december 2013. Arkiverad från originalet den 27 februari 2014. (obestämd)
16. ↑ Hacker #070, s. 070-082-1, Operation Interception . Datum för åtkomst: 10 december 2013. Arkiverad från originalet 14 december 2013. (obestämd)
17. ↑ Cyber ​​​​Security News | Nyheter om datorsäkerhet | csn.net4me.net . Hämtad 11 december 2013. Arkiverad från originalet 14 december 2013. (obestämd)
18. ↑ MSDN . Datum för åtkomst: 10 december 2013. Arkiverad från originalet den 10 februari 2014. (obestämd)
19. ↑ Om operativa sökaktiviteter . Hämtad 10 december 2013. Arkiverad från originalet 21 februari 2011. (obestämd)

Länkar

• Övervakning av arbetare