Мониторинг пользователей в сети

Система контроля действий пользователя — программный или программно-аппаратный комплекс, позволяющий отслеживать действия пользователя. Данная система осуществляет мониторинг рабочих операций пользователя на предмет их соответствия корпоративным политикам.

Необходимость возникновения таких систем была обусловлена увеличением инсайдерских угроз. Подобные программные комплексы предотвращают или помогают расследовать утечки конфиденциальной информации, а также выявить нецелевое использование рабочего времени.

Содержание

Причины возникновения [ править | править код ]

Современные системы информационной безопасности реализуют принцип «многоэшелонированной» защиты. Правильно установленные и настроенные средства защиты информации позволяют достаточно надёжно защититься от атак злоумышленников или вирусных эпидемий. Но несмотря на все это проблема внутренних нарушителей очень популярна. Раньше, на фоне хакеров и множества компьютерных вирусов, собственные сотрудники выглядели не столь угрожающе. Но в наши времена их действия, совершенные из-за некомпетентности или же, что тоже довольно часто — преднамеренности, влекут за собой реальные угрозы для компании.

Проведённое в 2007 г. первое открытое глобальное исследование внутренних угроз информационной безопасности компанией Infowatch (по итогам 2006 г.) показало, что внутренние угрозы являются не менее распространёнными (56,5 %), чем внешние (вредоносные программы, спам, действия хакеров и т. д.).В подавляющем большинстве (77 %) причиной реализации внутренней угрозы является халатность самих пользователей (невыполнение должностных инструкций либо пренебрежение элементарными средствами защиты информации). [1] Так же большую опасность представляют злоумышленники с высокими полномочиями доступа — администраторы сетей, операционных систем, приложений, баз данных. Всем этим объясняется рост интереса в последние десятилетия к мониторингу действий пользователя. С помощью систем контроля пользователей рабочие операции проверяются на предмет их соответствия корпоративным политикам по соблюдению нормативных требований и автоматически выводятся предупреждения, когда нарушаются политики безопасности, либо информация и технологические активы подвергаются риску несанкционированного доступа и деструктивных действий

Основная функциональность и назначение [ править | править код ]

Мониторинг рабочего стола [ править | править код ]

Одним из основных способов контроля действий пользователя является мониторинг его рабочего стола. Это реализуется двумя способами — администратор видит всё то,что сейчас видит пользователь, или просматривает сохранённые снимки экрана или видеозапись действий пользователя. [2] [3] Они могут быть использованы как вещественные доказательства нарушения трудового договора. Технически снятие скриншотов очень простая операция.

Мониторинг процессов [ править | править код ]

Также система контроля действий пользователя отслеживает запущенные приложения, сохраняя различные параметры: время запуска, время работы, время активности на экране и т.д. Это позволяет оценить эффективность использования рабочего времени работником, отследить вирусную атаку, которая может повредить корпоративную информацию. [4] Кроме того, долгое время работы сотрудника с определённым приложением может означать, что сотрудник испытывает трудности при работе с ним [5] . Большинство систем позволяет блокировать запуск определённых процессов. Может существовать функция завершения уже запущенных процессов удалённо [4] .

Как и в случае со скриншотами, есть множество вариантов получения списка процессов. Например, библиотека tlhelp32.h позволяет получить список процессов в Windows. [6] В unix-подобных системах это делается, например, командой ps.

Мониторинг доступа к USB [ править | править код ]

Съёмные usb-носители представляют серьёзную угрозу конфиденциальной информации [7] , поэтому доступ к ним должен контролироваться системой. Большинство систем наблюдения предоставляют возможность блокировки доступа ко всем устройствам, фильтрации устройств и журналирование использования usb-устройств. Это предотвращает как утечку информации так и проникновение вирусов на рабочий компьютер.Часто,при разрешённом доступе,всё,что копируется на съёмный носитель,сохраняется в другом месте и может быть использовано для расследования нарушений политики компании.

B Windows технически это реализуется несколькими способами:

  • Полное блокирование через реестр [8]
  • Полное блокирование, через запрет записи в файлов %SystemRoot%InfUsbstor.pnf , %SystemRoot%InfUsbstor.inf [8]
  • Частичная блокировка и фильтрация возможна через написание USB-драйвера

В Linux и некоторых других Unix-подобных системах возможные следующие варианты блокировки:

  • Запрет загрузки драйвера usb-накопителя
  • При загрузке системы предать параметр nousb ядру
  • Запретить монтирование устройств всем пользователям, кроме администратора
Читайте также:  Лучший сетевой адаптер wifi

Мониторинг интернет активности [ править | править код ]

Интернет — серьёзный канал утечки конфиденциальных данных [9] , поэтому системы контроля за действиями пользователя отслеживают многие аспекты интернет активности работника:

  • Мониторинг посещаемых веб-сайтов позволяет выявить не целевое использование рабочего времени, отслеживать поисковые запросы сотрудника (из них можно отследить- ищет ли он другие вакансии или не относящуюся к работе информацию ). Сохраняются Url, заголовки посещённых страниц, время их посещения. Некоторыми системами реализуется возможность наблюдения в режиме реального времени за открытыми сайтами.
  • Социальные сети. Помимо не целевой траты рабочего времени на социальные сети,через них может утекать конфиденциальная информация. Поэтому система может сохранять набор данных: просматриваемые профили, переписки, а также отправляемые туда фотографии.
  • IM. Чтобы предотвратить или потом доказать утечку информации,перехватываются и сохраняются сообщения большинства популярных IM-протоколов и месседжеров (ICQ, Jabber,IRC, Skype). Это делается как программными средствами, так и через анализ трафика проходящего через шлюз.
  • Мониторинг электронной почты. По данным Infowatch в первой половине 2013 года почти 30% утечек происходили через Email [10] , поэтому важно контролировать что отсылается/принимается сотрудником компании. Для этого ведётся полное журналирование всех сообщений электронной почты. Чаще всего это делается путём перехвата сообщений локального почтового-клиента [11] , однако возможен и перехват сообщений отправляемых через web-клиент. [12]

Технически,такой вид мониторинга может быть реализован двумя способами:

  • Перехват непосредственно сетевого трафика программно или аппаратно. Это работает до тех пор пока не используется защищенное интернет соединение,например SSL.
  • Перехват содержания web-форм, полей ввода и прочего. При таком методе наблюдения,скрыть передаваемое сообщение практически не возможно.

Мониторинг локальных действий [ править | править код ]

Основные локальные действия пользователя тоже контролируются:

  • Мониторинг клавиатуры. Система записывает все нажимаемые клавиши, включая системные (CTRL, SHIFT, ALT, CAPS LOCK) [13] , кроме этого, могут быть записаны название окна, в которое производился ввод, язык раскладки и т. д. [14] Это позволяет контролировать использование конфиденциальной информации, восстанавливать забытые пароли, отслеживать объём проделанной работы (для стенографисток). Программа, занимающаяся только перехватом нажатий клавиш, называется кейлоггер. Для Windows кейлоггеры создаются с помощью т. н. хуков, когда между нажатием клавиши и отправкой сообщения окну о факте нажатия вклинивается сторонняя функция, которая отмечает факт нажатия клавиши. В unix-подобных системах, использующих Х-сервер, кейлогеры реализуются посредством функции XQueryKeymap из библиотеки Xlib.
  • Буфер обмена. Система сохраняет всё, что было скопировано в буфер обмена, и почти всегда сопутствующую информацию. Это позволяет предотвратить потерю информации, даёт возможность обнаружить разглашение конфиденциальной информации. Windows предоставляет стандартную функцию для этих целей SetClipboardViewer [15] , для Linux это делается через Xlib. Также есть платформонезависимые средства управления буфером обмена, например Qt.
  • Запоминаются все действия с файлами: копирование, удаление, редактирование и программа, через которую действие совершено. Это позволяет установить, какие файлы использовал сотрудник для своей работы и выявить вирусную атаку. Для Windows программно это реализуется подменой стандартных функций чтения/записи файла в соответствующих DLL [16] . В Linux этого можно достичь, перехватывая системные вызовы [17] .
  • Печать файлов. Через принтер может утечь конфиденциальная информация, достаточно распечатать важный документ и вынести с предприятия, поэтому сохраняются названия печатаемых файлов, время и дата печати. Также печатаемые файлы могут сохраняться как в виде исходного файла, так и в виде графического файла. В Windows для таких целей предусмотрен Print Spooler API, позволяющий управлять очередью печати [18] . Для Linux теневое копирование файлов печати реализуется с помощью CUPS.

Юридическое регулирование [ править | править код ]

  • Добавить информацию для других стран и регионов.

Пожалуйста, после исправления проблемы исключите её из списка параметров. После устранения всех недостатков этот шаблон может быть удалён любым участником.

Работодатель использующий программы для мониторинга прежде всего заинтересован в информационной безопасности своей компании и так же в возможности эффективно контролировать рациональное использование компьютерных средств и рабочего времени вашими сотрудниками. Тем не менее, подобная деятельность менеджеров в любой момент может вызвать возмущение подчиненных, т.к. Конституция РФ защищает частную собственность (ст. 8; 35), неприкосновенность частной жизни гражданина (ч. 1 ст. 23),охраняет тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, устанавливает, что ограничение этого права допускается только на основании судебного решения (ч. 2 ст. 23). Законодательством категорически запрещено установление работодателем каких-либо негласных способов наблюдения за персоналом. Негласное наблюдение является оперативно-розыскным мероприятием, которое вправе осуществлять только оперативные подразделения специально уполномоченных на это государственных органов, перечисленные в ст. 13 Федерального закона от 12.08.1995 No144-ФЗ «Об оперативно-розыскной деятельности». [19] Такие разногласия требуют установления баланса во имя избежание конфликтов между работником и работодателем. В случае возникновения конфликта,подчиненные могут попытаться представить деятельность руководителя незаконной. В таких ситуациях,чтобы избежать проблем, работодатель должен знать свои права и закон,например:гражданский кодекс статья 1470 (Служебный секрет производства)- исключительное право на секрет производства, созданный работником в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя (служебный секрет производства), принадлежит работодателю.

Читайте также:  Лучший сервис емейл рассылок

Трудовой кодекс РФ(статья 15) гласит: Трудовые отношения – это отношения, основанные на соглашении между работником и работодателем о личном выполнении работником за плату трудовой функции (работы по определенной специальности, квалификации или должности), подчинении работника правилам внутреннего трудового распорядка при обеспечении работодателем условий труда, предусмотренных трудовым законодательством, коллективным договором,соглашениями, трудовым договором.Поэтому во избежание юридических казусов работодателю нужно дополнить стандартный трудовой договор или трудовое соглашение (договор найма на работу) тремя пунктами:

  • разглашение сведений, представляющих коммерческую и иную тайну-это должностное преступление;
  • использование телефона, факса, электронной почты, доступа в Интернет допустимо только для выполнения служебных задач;
  • работник согласен с тем, что регулярный контроль за соблюдением пунктов,указанных выше будет осуществляться всеми доступными средствами.

С юридической точки зрения принятия перечисленных мер достаточно, чтобы использовать системы контроля действий пользователя, на законных основаниях, но вопрос о правомерности прослушивания разговоров и контроля за Интернет-перепиской более глубокий и сложный и даже дополнение договоров вышеперечисленными пунктами может не предотвратить юридических конфликтов. Согласно трудовому законодательству, работодатель вправе собирать о своих сотрудниках только те сведения, которые имеют отношение к его служебным обязанностям. Противоречие заключается в том, что в процессе общения на рабочем месте непременно затрагиваются личные темы. И если работник подписал согласие на сбор информации о себе, то его собеседники такого документа не предоставляли. Проблему с Интернет перепиской можно решить следующим образом: просматривать только исходящие сообщения сотрудников.

Все о локальных сетях и сетевом оборудовании

Сотрудник–халтурщик – это беда для любого предприятия или компании. Поэтому постоянно возникает вопрос, как контролировать сотрудника за его рабочим компьютером и следить за тем, чтобы недозволенных действий не было.

Сразу отметим, что сотрудника необходимо поставить в известность (письменно, с подписью) о том, что ведется скрытое наблюдение за компьютером в локальной сети. Возможно, только этот факт уже поможет избежать нарушений и поставить сотрудника на путь «работяги». Если нет, то вот решение для полного контроля над компьютерами в локальной сети.

Программа для контроля локальной сети

Итак, программное обеспечение называется «Mipko Employe Monitor» — версия именно для корпоративных сетей.

После установки и запуска, а запустить её можно с рабочего стола или нажав «ctrl+alt+shift+k», необходимо настроить пользовательский интерфейс — что конкретно требуется отслеживать и контролировать в локальной сети.

  1. 1. Слева сверху расположен раздел, где выбирается пользователь из вашей сети, чей лог отслеживается в данный момент: при раскрытии будет отображен список записанных действий (в зависимости от настроек).

  1. 2. Теперь непосредственно о функционале «Инструменты» — «Настройки». Для каждого пользователя параметры «слежки » можно настроить индивидуально.

Мониторинг позволяет отследить следующие действия:

  • — нажатие клавиш;
  • — снимки экрана;
  • — активность в социальных сетях;
  • — обмен сообщениями в «skype»;
  • — посещённые веб-сайты;
  • — сохранения буфера обмена;
  • — программная активность;
  • — снимки с веб-камеры;
  • — запись звонков;
  • — операции с файлами.

Достаточно обширный функционал. Главное, что обычно интересует работодателя при контроле пользователей в локальной сети — это снимки с экрана и посещённые веб-сайты.

Для того чтобы не столкнуться с претензиями на вмешательство в личную информацию (например, если вы установили просмотр за посещёнными веб-страницами и увидели личную переписку в социальных сетях), установите блокировку всех социальных сетей и чатов, а также запрет на установку сторонних ПО — только то, что требуется для работы.

Удаленное наблюдение за компьютером в локальной сети

Как правило, работодателя интересуют только два аспекта – это снимок экрана компьютера пользователя локальной сети и просмотр им веб-страниц (как было сказано выше, сотрудники ознакомлены с данной информацией).

  1. 3. В настройки снятия снимка экрана входят следующие составляющие:
Читайте также:  Мрт вредно ли для здоровья доктор мясников

  • — выбор временного интервала, указывается или в минутах или в секундах;
  • — делать снимок при открытии окна;
  • — делать снимок по щелчку мышки;
  • — не делать снимок при не активности;
  • — режим снимка (полный экран, окно);
  • — и качество снимка.
  1. 4. В разделе «посещённые веб-сайты» всё ещё проще: выбрать «тип перехвата» и сохранять ли при этом снимок экрана.

  1. 5. Теперь о том, куда всё это будет сохраняться или отправляться. В настройках раздел «Отправка»:

  • — для начала установите «Тип лога» и всплывающего списка;
  • — установите в каком формате будет сохраняться отчёт «HTML» или архив «ZIP»;
  • — выберите тип сортировки и временной интервал отправки отчёта;
  • — самое основное – куда будет отправляться отчёт: на почту/ftp/папка на компьютере.
  • — далее вводите логин и пароль, нажимаете «Применить».

Всё, теперь сотрудники, как говорится, «Под колпаком» — вы можете следить за пользователями локальной сети.

LanAgent покажет что происходило на компьютерах сотрудников: посещение развлекательных сайтов, переписку с конкурентами, выполнение «левых» работ в рабочее время, распространение негатива о своей компании.

Помимо информации о совершенных действиях, в вашем распоряжении будут снимки экранов мониторов пользователей, запись видео/звука с веб камеры компьютера, копия всех передаваемых с компьютера данных.

LanAgent обеспечивает контроль каналов передачи данных (внешние накопители, электронная почта, мессенджеры, соц. сети, печать документов на принтер, и другие).

Поможет обнаружить подозрительные действия пользователей: активную переписку с конкурентами или уволенными сотрудниками, отправку важных файлов, передачу персональных данных (номеров телефонов, паспортных данных, номеров банковских карт, …).

Функция «конфиденциального каталога» позволит ограничить доступ к важным данным. Например, запретить их копирование клиентской базы за пределы защищаемого каталога и вывод на печать, позволив при этом по прежнему с ней работать

LanAgent представит наглядные отчеты по опозданиям и ранним уходам сотрудников, произведет учет РЕАЛЬНОГО времени работы пользователей, покажет не просто, сколько времени компьютер был включен, а время активной работы, простаивание компьютеров, время начала и окончания работы на ПК.

Все нарушения трудовой дисциплины будут видны в специальном сводном отчете.

Кроме работы компьютера, учет можно произвести и исходя из времени активной работы пользователей в программах. По такому отчету можно легко увидеть, был ли сотрудник действительно занят работой или провел значительную часть дня общаясь в соц. сетях.

LanAgent Standard – программа для скрытого наблюдения за компьютерами в локальной сети. Предназначена для контроля действий пользователей и защиты конфиденциальной информации от утечек. Осуществляет контроль и мониторинг активности на любом компьютере, подключённом к сети вашей организации. Программа позволит выявить деятельность, не имеющую отношения к работе, покажет, насколько рационально ваши сотрудники используют рабочее время.

LanAgent – Ваш инструмент для выявления утечек важной информации, а также фактов ведения переговоров с конкурентами. Узнать больше

LanAgent Enterprise – легко масштабируемый инструмент для наблюдения за компьютерами служащих в локальной сети. Является эффективным средством для обеспечения информационной безопасности. LanAgent Enterprise также имеет все необходимые функции для контроля персонала организации.

Основное отличие Enterprise от версии Standard состоит в том, что Enterprise является полноценным инструментом для защиты конфиденциальной информации и лучше подойдет для организаций, в которых требуется не просто мониторинг, а именно планомерное обнаружение и предотвращение утечек информации. Узнать больше

Программа LanAgent EnterpriseDLP – по сравнению с Enterprise имеет расширенный поисковый модуль, для поиска ключевых слов и регулярных выражений (номер телефонов, паспортные данные, и т.д.) во всех собранных данных, в том числе в напечатанных документах и вложениях почты.

Также, EnterpriseDLP позволяет управлять доступом к конфиденциальным файлам на контролируемых компьютерах. Узнать больше

LanAgent Terminal – легко масштабируемый инструмент для слежения за действиями пользователей терминальных клиентов.

LanAgent Terminal имеет значительную часть возможностей версии LanAgent Enterprise, таких как: подключение нескольких рабочих мест специалиста безопасности, распределение прав на просмотр информации, отправка уведомлений о нарушениях политик безопасности на ICQ и E-mail, подписка на оповещения по данным событиям, встроенный планировщик отчетов, . И предназначен для использования на технологии терминал-сервер (на основе Win 2003/2008/2012 Server). Узнать больше

Читайте также:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock detector