Felhasználói műveleteket vezérlő rendszer

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt hozzászólók, és jelentősen eltérhet a 2015. december 25-én felülvizsgált verziótól ; az ellenőrzéshez 21 szerkesztés szükséges .

A felhasználói műveleteket figyelő rendszer  egy szoftver vagy hardver-szoftver komplexum , amely lehetővé teszi a felhasználói műveletek nyomon követését. Ez a rendszer figyeli a felhasználó munkatevékenységeit a vállalati szabályzatoknak való megfelelés érdekében.

Az ilyen rendszerek szükségességét a bennfentes fenyegetések növekedése okozta . Az ilyen szoftverrendszerek megakadályozzák vagy segítik kivizsgálni a bizalmas információk kiszivárgását, valamint azonosítják a munkaidővel való visszaélést.

Okok

A modern információbiztonsági rendszerek a „többrétegű” védelem elvét valósítják meg. A megfelelően telepített és konfigurált információvédelmi eszközök lehetővé teszik, hogy megbízhatóan megvédje magát a behatolók támadásaitól vagy a víruskitörésektől. De mindezek ellenére a bennfentesek problémája nagyon népszerű. Korábban a hackerek és a sok számítógépes vírus hátterében saját alkalmazottaik nem tűntek olyan fenyegetőnek. Ám napjainkban az alkalmatlanságból elkövetett, vagy gyakran szándékos tetteik valós veszélyt jelentenek a cégre nézve.

Az Infowatch által 2007-ben végzett első nyílt globális tanulmány az információbiztonságot fenyegető belső fenyegetésekről (2006-os eredmények alapján) kimutatta, hogy a belső fenyegetések nem kevésbé gyakoriak (56,5%), mint a külsőek (rosszindulatú programok, spamek, hackerek stb.). A belső fenyegetés megvalósításának oka túlnyomó többségben (77%) maguknak a felhasználóknak a hanyagsága (a munkaköri utasítások be nem tartása, vagy az alapvető információvédelmi eszközök figyelmen kívül hagyása). [1] A magas hozzáférési jogokkal rendelkező támadók – hálózatok, operációs rendszerek, alkalmazások, adatbázisok adminisztrátorai – szintén nagy veszélyt jelentenek. Mindez magyarázza, hogy az elmúlt évtizedekben megnőtt az érdeklődés a felhasználói cselekvések monitorozása iránt. A felhasználói vezérlőrendszerek ellenőrzik a munkatevékenységeket a vállalati megfelelőségi irányelvekkel szemben, és automatikusan figyelmeztetnek, ha a biztonsági irányelveket megsértik, vagy ha az információs és technológiai eszközök jogosulatlan hozzáférés vagy megzavarás veszélyének vannak kitéve.

Fő funkció és cél

Asztali monitorozás

A felhasználói műveletek szabályozásának egyik fő módja az asztal felügyelete. Ez kétféleképpen valósítható meg: a rendszergazda mindent lát, amit a felhasználó jelenleg lát, vagy megtekinti a mentett képernyőképeket vagy videót a felhasználó műveleteiről. [2] [3] A munkaszerződés megszegésének tárgyi bizonyítékaként használhatók fel. Technikailag a képernyőképek készítése nagyon egyszerű művelet.

Folyamatfigyelés

A felhasználói aktivitást figyelő rendszer a futó alkalmazásokat is figyeli, elmentve különféle paramétereket: indítási idő, munkaidő, képernyőaktivitás, stb. Ez lehetővé teszi, hogy értékelje az alkalmazottak munkaidő-felhasználásának hatékonyságát, nyomon kövesse a vállalatot károsító vírustámadást információ. [4] Ezen túlmenően, ha egy alkalmazott hosszú időt tölt egy adott alkalmazáson, az azt jelentheti, hogy a munkavállaló nehezen tudja használni azt [5] . A legtöbb rendszer lehetővé teszi bizonyos folyamatok elindításának blokkolását. Lehetséges egy funkció a már futó folyamatok távoli leállítására [4] .

A képernyőképekhez hasonlóan számos lehetőség van a folyamatok listájának lekérésére. Például a tlhelp32.h könyvtár lehetővé teszi a folyamatok listájának lekérését a Windows rendszerben. [6] Unix-szerű rendszereken ez például a ps paranccsal történik .

USB hozzáférés figyelése

A cserélhető USB-meghajtók komoly veszélyt jelentenek a bizalmas információkra [7] , ezért az ezekhez való hozzáférést a rendszernek kell ellenőriznie. A legtöbb felügyeleti rendszer lehetővé teszi az összes eszközhöz való hozzáférés blokkolását, az eszközök szűrését és az USB-eszköz használatának naplózását. Ez megakadályozza az információszivárgást és a vírusok behatolását egy működő számítógépen. Amikor a hozzáférés engedélyezett, a cserélhető adathordozóra másolt tartalmat gyakran máshol tárolják, és felhasználhatók a vállalati irányelvek megsértésének kivizsgálására.

Windows rendszeren ez technikailag többféleképpen valósítható meg:

• Teljes letiltás a rendszerleíró adatbázison keresztül [8]
• Teljes blokkolás a %SystemRoot%\Inf\Usbstor.pnf, %SystemRoot%\Inf\Usbstor.inf [8] fájlba való írás tiltásával
• A részleges blokkolás és szűrés USB-illesztőprogram írásával lehetséges

Linuxon és néhány más Unix-szerű rendszeren a következő blokkolási lehetőségek lehetségesek:

• Az USB meghajtó illesztőprogram letöltésének letiltása
• A rendszer indításakor állítsa be a nousb paramétert a kernelre
• Az eszköz csatlakoztatásának megtagadása minden felhasználó számára, kivéve a rendszergazdát

Internetes tevékenység figyelése

Az internet a bizalmas adatok kiszivárogtatásának komoly csatornája [9] , ezért a felhasználói aktivitást figyelő rendszerek számos aspektust nyomon követnek a munkavállaló internetes tevékenységének:

• A meglátogatott weboldalak figyelésével azonosítható a nem célzott munkaidő-felhasználás, nyomon követhető az alkalmazottak keresési lekérdezései (amelyekből nyomon követhető, hogy keres-e más állásokat vagy nem munkával kapcsolatos információkat). Mentett URL, a meglátogatott oldalak címei, látogatásuk időpontja. Egyes rendszerek megvalósítják a nyitott webhelyek valós idejű megfigyelését.
• Közösségi hálózatok . A közösségi oldalakon a munkaidő céltalan pazarlása mellett bizalmas információk is kiszivároghatnak rajtuk. Ezért a rendszer képes menteni egy sor adatot: megtekintett profilokat, levelezést, valamint az oda küldött fényképeket.
• I.M._ _ Az információszivárgás megelőzése vagy későbbi bizonyítása érdekében a legnépszerűbb IM protokollok és üzenetküldők ( ICQ , Jabber , IRC , Skype ) üzeneteit elfogják és tárolják. Ez mind szoftveresen, mind az átjárón áthaladó forgalom elemzésén keresztül történik.
• E-mail figyelés. Az Infowatch szerint 2013 első felében a kiszivárogtatások közel 30%-a E-mailen keresztül történt [10] , ezért fontos ellenőrizni, hogy a cég alkalmazottja mit küld/kap. Ehhez az összes e-mail üzenet teljes naplózása megtörténik. Ez leggyakrabban a helyi levelezőkliens üzeneteinek elfogásával történik [11] , de lehetőség van a webkliensen keresztül küldött üzenetek elfogására is. [12]

Technikailag ez a fajta monitorozás kétféleképpen valósítható meg:

• A hálózati forgalom elfogása közvetlenül szoftverben vagy hardverben. Ez mindaddig működik, amíg nem használ biztonságos internetkapcsolatot, például SSL-t.
• Webes űrlapok, beviteli mezők és egyéb dolgok tartalmának lehallgatása. Ezzel a megfigyelési módszerrel gyakorlatilag lehetetlen elrejteni a továbbított üzenetet.

Helyi tevékenységek nyomon követése

A felhasználó fő helyi műveletei is vezérlésre kerülnek:

• Billentyűzet figyelés . A rendszer rögzíti az összes lenyomott billentyűt, beleértve a rendszerbillentyűket (CTRL, SHIFT, ALT, CAPS LOCK) [13] , ezen kívül annak az ablaknak a nevét, amelyben a bevitel történt, az elrendezés nyelvét stb. [14] Ez lehetővé teszi ellenőrizheti a bizalmas információk felhasználását, visszaszerezheti az elfelejtett jelszavakat, nyomon követheti az elvégzett munka mennyiségét (stenográfusok számára). Az olyan programot, amely csak a billentyűleütéseket elfogja, keyloggernek nevezzük . Windows esetén a keyloggerek az ún. hooks , amikor a billentyű lenyomása és az ablakba küldött üzenet közé egy harmadik fél funkciója van beillesztve a gomb megnyomásáról, ami a billentyű lenyomásának tényét jelzi. Az X szervert használó unix-szerű rendszereken a keyloggerek az Xlib könyvtár XQueryKeymap függvényével valósulnak meg .
• Vágólap. A rendszer mindent a vágólapra másol, és szinte mindig a kapcsolódó információkat. Ez lehetővé teszi az információvesztés megelőzését, lehetővé teszi a bizalmas információk felfedésének észlelését. A Windows szabványos funkciót biztosít erre a célra a SetClipboardViewer [15] , Linux esetén ez Xlib-en keresztül történik. Vannak platformfüggetlen vágólapvezérlők is, mint például a Qt .
• A fájlokkal végzett összes művelet megjegyezhető : másolás, törlés, szerkesztés és a program, amelyen keresztül a műveletet végrehajtották. Ez lehetővé teszi annak megállapítását, hogy az alkalmazott mely fájlokat használta a munkájához, és azonosíthatja a vírustámadást. Windows esetén ez programozottan valósul meg, a megfelelő DLL-ekben a fájl olvasásához/írásához szükséges szabványos funkciók lecserélésével [16] . Linuxon ez a rendszerhívások elfogásával érhető el [17] .
• Fájlok nyomtatása. Bizalmas információ szivároghat át a nyomtatón, elég egy fontos dokumentumot kinyomtatni és kivenni a vállalkozásból, így a kinyomtatott fájlok neve, a nyomtatás időpontja és dátuma mentésre kerül. Ezenkívül a nyomtatott fájlok forrásfájlként és képfájlként is menthetők. Ilyen célokra a Windows biztosítja a Print Spooler API-t, amely lehetővé teszi a nyomtatási sor kezelését [18] . Linux esetén a nyomtatási fájlok árnyékmásolása a CUPS segítségével valósul meg .

Jogi szabályozás

A monitoring programokat használó munkáltató elsősorban cége információbiztonságában érdekelt, valamint abban, hogy hatékonyan tudja ellenőrizni a dolgozók számítástechnikai eszközeinek és munkaidejének ésszerű használatát. Mindazonáltal a vezetők ilyen tevékenysége bármikor felháborodást válthat ki a beosztottakban, mivel az Orosz Föderáció Alkotmánya védi a magántulajdont (8; 35. cikk), az állampolgárok magánéletét (1. rész, 23. cikk), védi a titoktartást. levelezés, telefonbeszélgetés, postai, távirati és egyéb üzenetek, megállapítja, hogy e jog korlátozása csak bírósági határozat alapján megengedett (23. cikk 2. rész). A jogszabály kategorikusan tiltja, hogy a munkáltató bármilyen titkos módszert alkalmazzon a személyzet megfigyelésére. A fedett megfigyelés operatív-kutatási intézkedés, amelyet csak az 1. sz. 13. szövetségi törvény 08/12/1995 No144-FZ „Az operatív keresési tevékenységekről”. [19] Az ilyen nézeteltérésekhez egyensúlyt kell találni a munkavállaló és a munkáltató közötti konfliktusok elkerülése érdekében. Konfliktus esetén a beosztottak megpróbálhatják a vezető tevékenységét törvénytelenként bemutatni. Ilyen helyzetekben a problémák elkerülése érdekében a munkáltatónak ismernie kell a jogait és a törvényt, például: Polgári Törvénykönyv 1470. cikke (Hivatalos előállítási titok) - a munkavállaló által a munkavégzés során létrehozott termelési titok kizárólagos joga. munkaköri feladatainak ellátása vagy a munkáltató meghatározott feladatának ellátása (hivatalos titok előállítása) a munkáltatót illeti meg.

Az Orosz Föderáció Munka Törvénykönyve (15. cikk) kimondja: A munkaügyi kapcsolatok a munkavállaló és a munkáltató közötti megállapodáson alapulnak, amelyben a munkavállaló személyesen teljesít egy munkakört (bizonyos szakterületen, végzettségben vagy beosztásban végzett munka). fizetés, a munkavállaló alárendeltsége a belső munkaügyi szabályzat szabályainak, miközben a munkáltató által a munkajog, a kollektív szerződés, a megállapodások, a munkaszerződés által előírt munkafeltételeket biztosítja. Ezért a jogi incidensek elkerülése érdekében a munkáltatónak az általános munkaszerződést vagy munkaszerződést (munkaszerződést) három ponttal kell kiegészítenie:

• a kereskedelmi és egyéb titkot megtestesítő információk nyilvánosságra hozatala hatósági bűncselekmény;
• telefon, fax, e-mail, internet-hozzáférés használata csak hatósági feladatok ellátására engedélyezett;
• a munkavállaló beleegyezik abba, hogy a fent megjelölt pontok betartásának rendszeres ellenőrzését minden rendelkezésre álló eszközzel elvégezzék.

Jogi szempontból a fenti intézkedések meghozatala elegendő a felhasználó cselekményellenőrző rendszereinek jogszerű használatához, de mélyebb és összetettebb a lehallgatás és az internetes levelezés ellenőrzésének jogszerűségének kérdése, sőt a szerződések kiegészítése a fenti pontokkal. nem akadályozhatja meg a jogi konfliktusokat. A munkajog szerint a munkáltatónak csak olyan információkat gyűjthet a munkavállalóiról, amelyek a hivatali feladatai szempontjából relevánsak. Az ellentmondás abban rejlik, hogy a munkahelyi kommunikáció során elkerülhetetlenül érintik a személyes témákat. És ha a munkavállaló aláírta a beleegyezést, hogy információkat gyűjtsön magáról, akkor beszélgetőpartnerei nem adtak ilyen dokumentumot. Az internetes levelezés problémája a következőképpen oldható meg: csak az alkalmazottak kimenő üzeneteit tekintse meg.

Lásd még

• Információszivárgás megelőzése

Jegyzetek

1. ↑ Globális tanulmány a belső információbiztonsági eseményekről . Letöltve: 2013. december 10. Az eredetiből archiválva : 2013. december 12.. (határozatlan)
2. ↑ Videó rögzítése számítógép-monitorokról, Kickidler Archiválva : 2018. október 31. a Wayback Machine -nél  (orosz)
3. ↑ Lan Agent archiválva : 2013. december 11. a Wayback Machine -nél  (orosz)
4. ↑ 1 2 A StaffCop leírása archiválva 2013. december 12-én a Wayback Machine -nél  (orosz)
5. ↑ A biztonsági kurátor leírása archiválva 2013. szeptember 26-án a Wayback Machine -nél  (orosz)
6. ↑ MSDN . Hozzáférés dátuma: 2013. december 10. Az eredetiből archiválva : 2014. február 27. (határozatlan)
7. ↑ SecurityLab . Letöltve: 2013. december 8. Az eredetiből archiválva : 2013. december 12.. (határozatlan)
8. ↑ 1 2 USB-tárolóeszközök használatának megakadályozása . Hozzáférés időpontja: 2013. december 10. Az eredetiből archiválva : 2013. december 13. (határozatlan)
9. ↑ Csatornák a bizalmas információk kiszivárgásához - Fenyegetéselemzés - Anti-Malware.ru . Hozzáférés dátuma: 2013. december 7. Az eredetiből archiválva : 2013. december 12.  (határozatlan)  (Orosz)
10. ↑ InfoWatch riport . Letöltve: 2013. december 8. Az eredetiből archiválva : 2013. december 12.. (határozatlan)
11. ↑ A biztonsági kurátor leírása archiválva 2013. szeptember 26-án a Wayback Machine -nél  (orosz)
12. ↑ A Lan Agent leírása . Letöltve: 2013. december 7. Az eredetiből archiválva : 2013. december 11.. (határozatlan)
13. ↑ StaffCop leírása archiválva 2020. november 26-án a Wayback Machine -nél (orosz) 
14. ↑ A Lan Agent leírása archiválva 2013. december 11-én a Wayback Machine -nél  (orosz)
15. ↑ MSDN . Hozzáférés dátuma: 2013. december 10. Az eredetiből archiválva : 2014. február 27. (határozatlan)
16. ↑ Hacker #070, 070-082-1. oldal, Elfogási művelet . Hozzáférés dátuma: 2013. december 10. Az eredetiből archiválva : 2013. december 14. (határozatlan)
17. ↑ Kiberbiztonsági hírek | Számítógépbiztonsági hírek | csn.net4me.net . Letöltve: 2013. december 11. Az eredetiből archiválva : 2013. december 14.. (határozatlan)
18. ↑ MSDN . Hozzáférés dátuma: 2013. december 10. Az eredetiből archiválva : 2014. február 10. (határozatlan)
19. ↑ Az operatív keresési tevékenységekről . Letöltve: 2013. december 10. Az eredetiből archiválva : 2011. február 21.. (határozatlan)

Linkek

• Az alkalmazottak felügyelete