ТЕХНОЛОГІЇ МОНІТОРИНГУ Й АНАЛІЗУ ДІЯЛЬНОСТІ КОРИСТУВАЧІВ У ЗАПОБІГАННІ ВНУТРІШНІМ ЗАГРОЗАМ ІНФОРМАЦІЙНІЙ БЕЗПЕЦІ ОРГАНІЗАЦІЇ

Abstract

Read online

Зростання кількості інцидентів інформаційної безпеки, пов’язаних з діяльністю персоналу, частота яких за останні два роки збільшилася майже вдвічі, обумовила організації використовувати ефективні технології запобігання і протидії внутрішнім загрозам інформаційній безпеці. Важлива роль у цьому контексті належить інструментам моніторингу й аналізу діяльності користувачів. За оцінкою експертів, у найближчі роки такі технології будуть впроваджені у 80% рішень щодо виявлення загроз і встановлення пріоритетності інцидентів інформаційної безпеки. У статті розкрито сутність і проаналізовано функціонал декількох систем, які здійснюють моніторинг і аналіз поведінки працівників, зокрема систем запобігання втраті даних (DLP), контролю доступу, аналізу поведінки користувачів та ІТ-об’єктів (UBA/UEBA). Встановлено, що система DLP відстежує і звітує про спроби користувача передати конфіденційну інформацію шляхом здійснення контролю поштового і веб-трафіку, засобів бездротового доступу, зовнішніх накопичувачів, пристроїв введення і виведення, роботи ПЗ робочого місця користувача, аудіо- та відео нагляду за його діяльністю тощо. Засоби контролю доступу виконують, зокрема, функції моніторингу доступу і пересування особи у захищених зонах об’єкта, збору інформації з камер спостереження, ведення обліку робочого часу. В умовах пандемії розроблені рішення, які дозволяють ідентифікувати особу в масці на обличчі, виконувати функції відстеження стану здоров’я. Аналіз функціональних характеристик систем поведінкової аналітики UBA/UEBA показав, що вони вирішують не тільки завдання щодо збору даних з усіх можливих доступних джерел (програмного й апаратного забезпечення, реєстраційних записів, листування користувачів тощо), але й аналізують зібрані дані і звітують про нетипову поведінку користувачів у разі її виявлення. Відзначено, що засоби поведінкової аналітики застосовують у цілому ряді технологій безпеки, таких як системи управління інформацією і подіями безпеки, виявлення і запобігання вторгненням та інших, доповнюючи і розширюючи їхні можливості, сприяючи створенню комплексних практично всеохоплюючих рішень з інформаційної безпеки. Рекомендовано застосування засобів контролю й аналізу діяльності користувачів у різних варіантах поєднання або у складі комплексних рішень з управління інформаційною безпекою для досягнення належного рівня інформаційної безпеки в умовах зростання рівня загроз з боку персоналу.

Keywords

• інформаційна безпека організації; внутрішні загрози інформаційній безпеці організації; запобігання втраті даних (dlp); контроль доступу; аналітика поведінки користувачів та іт-об’єктів (uba/ ueba).