4 июля, 2019, BIS Journal №2(33)/2019

Кому на самом деле нужна СКДПУ НТ в банке


Вы уже контролируете действия администраторов. Что дальше?

Решение СКДПУ НТ появилось как ответ на возрастающие потребности заказчиков, уже использующих систему контроля действий привилегированных пользователей СКДПУ.

Специалисты «АйТи БАСТИОН» при внедрении этого решения в инфраструктуре крупных банков выявили у ответственных за информационную безопасность специалистов острую потребность централизованно контролировать действия администраторов в условиях территориально распределенной инфраструктуры, особенно когда в периметре ИТ-инфраструктуры работают не только собственные администраторы, но и внешние подрядчики. Кроме того, для финансовых организаций важно не столько устранять инциденты, сколько не допускать их развития: слишком велики потери от любого сбоя.

Для обеспечения именно этой задачи мы создали решение СКДПУ НТ. Фактически это центр анализа действий привилегированных пользователей.  Не секрет, что отдельные действия администраторов не могут быть уверенно классифицированы и определены как опасные. Их необходимо анализировать в развитии, с пониманием условий и причин выполнения — администраторы по роду деятельности обязаны совершать потенциально опасные действия. Кроме того, подготовка и опыт офицеров безопасности могу быть недостаточными для уверенного распознавания потенциально опасных ситуаций при их переходе в нарушения.

Новый программный продукт открывает для заказчиков более широкие возможности: он формирует и поддерживает цифровой профиль пользователя на основании собранных данных, проводит их глубокий анализ, что позволяет выявлять аномалии в работе. Массив данных о типичном поведении каждого из администраторов позволяет выделить потенциально подозрительное поведение до наступления возможных серьезных последствий. 

Так кому же на самом деле может быть полезным это решение в банке?

Рис. 1. Цифровой профиль пользователя.

 

ПОДРАЗДЕЛЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКА

В первую очередь, конечно, ему. Особенно, если у банка множество филиалов в разных городах, а ИБ-подразделение одно на всех. Несомненно, «безопасники» примерно знают, чем занимается каждый из администраторов, какая у него сфера деятельности и ответственности. Но в случае инцидента выяснить, что конкретно делал тот или иной привилегированный пользователь в конкретный момент времени, как правило, — недостаточно. Необходимо выяснить порядок развития проблемы, отследить историю изменений, а также проанализировать действия исполнителей работ, которые могли привести к нарушению работы.

СКДПУ НТ позволит провести поиск сессий, в том числе полнотекстовый и параметрический, по настраиваемым параметрам, а также сформировать историю работы с определенными элементами инфраструктуры. Информация собирается сразу с нескольких источников (платформа СКДПУ/решение WallixBastion/ОС AstraLinux). Это позволяет быстро выяснить историю работы с данным целевым устройством – сервером, сетевым оборудованием или приложением. Как следствие, специалист по информационной безопасности сможет быстро сузить поиск возможного нарушителя, а также зафиксировать его действия документально.

 

ИТ-ДЕПАРТАМЕНТУ

СКДПУ НТ позволяет извлекать события, связанные с активностью конкретного привилегированного пользователя. Анализируя полученные данные, программа составляет как карту действий, характерных для отдельного администратора ИС во время работы с ИТ-инфраструктурой компании, так и позволяет проанализировать привычные режимы работы, рабочие места и порядок действий. Цифровой профиль сотрудника создается именно на основании истории его действий. Информация по каждому из администраторов становится прозрачной: от количества сессий за разные периоды времени до загруженных или полученных с системы файлов.

СКДПУ НТ анализирует различные параметры действий привилегированного пользователя и ищет в этих действиях критичные отклонения от его «стандартного поведения». Примером аномального поведения может стать тот факт, что администратор вошел в периметр ИТ-инфраструктуры после окончания рабочего дня, или ввёл нестандартные команды, или задавал команды с необычной для себя интенсивностью. Многочисленные признаки такого рода регистрируются в СКДПУ НТ в виде инцидентов, о них уведомляются администраторы безопасности.  Даже если такие ситуации не являются непосредственным нарушением, такие ситуации скорее всего свидетельствуют о наличии тех или иных проблем, заслуживающих внимания. 

Рис. 2. Сводный отчет по ситуации за сутки.

 

РУКОВОДСТВУ БАНКОВ

Система контроля действий привилегированных пользователей СКДПУ компании «АйТи БАСТИОН» позволяет банку выполнять требования ФСТЭК России в части защиты удаленного доступа, а также требования Центробанка РФ. В случае, если инцидент на банковской инфраструктуре все же произошел, СКДПУ НТ сохраняет в журнале все действия, совершенные администраторами и другими привилегированными пользователями. СКДПУ НТ позволяет выделить потенциальные проблемные ситуации и предоставлять регулярные отчеты о них. Система ведет анализ постоянно и автоматически выделяет потенциально проблемные ситуации. Нагрузка на специалистов по безопасности снижается, что позволяет им работать эффективнее. А это значит, что в случае возникновения инцидентов специалисты банка смогут выяснить необходимую историю вопроса, разберутся в ситуации и сохранят непрерывность бизнес-процессов. 

Автор: Дмитрий Михеев, технический директор ООО "АйТи БАСТИОН"

 

Смотрите также

Что? Где? Куда?

13 июня, 2019

Forensics forever!

8 мая, 2019
Подпишись на новости!
Подписаться