Wykrywanie i reagowanie
na zagrożenia wewnętrzne

Skuteczna kontrola dostępu polega nie tylko na stawianiu barier utrudniających włamanie do systemu. Powinna ona również pozwalać na większą przejrzystość aktywności konkretnych użytkowników w konkretnym systemie.

Wiele przedsiębiorstw nie posiada możliwości ciągłego monitorowania i kontrolowania dostępu, podczas gdy umożliwiłoby im to upewienie się, że jedynie uwierzytelnione w odpowiedni sposób osoby mają możliwość uzyskania dostępu do sieci wewnętrznej.

Aby utrzymywać bezpieczną i zgodną usługę Active Directory w środowisku Windows przedsiębiorstwa muszą rejestrować przypadki nieuwierzytelnionego lub podejrzanego dostępu do plików/systemów, które wiążą się z podwyższonym ryzykiem wobec danych/systemów przedsiębiorstwa.

Kluczem do bezpieczeństwa jest wiedza o tym, co dzieje się w twoim środowisku sieciowym, a przede wszystkim reakcja na podejrzane działania.

Ten rodzaj monitorowania w czasie rzeczywistym i natychmiastowej reakcji nie jest udostępniony w trybie natywnym usługi Active Directory, chociaż powinien stanowić integralną część polityki bezpieczeństwa przedsiębiorstw i strategii zmniejszania ryzyka.

Śledzenie logowania użytkownika na przestrzeni całej sieci Windows Active Directory polega na monitorowaniu logowania kontrolnego na każdym komputerze z osobna. Stanowi to ogromną objętość ciężkich do zrozumienia danych i nie pozwala na ustawienie w prosty sposób scentralizowanego widoku, który umożliwiałby ciągłą kontrolę.

Śledzenie dostępu do danych również jest niezbędne, ale praktycznie niemożliwe do wykonania w sposób ręczny.

Ponadto należy podkreślić, że chociaż monitorowanie aktywności użytkownika jest wymagane według wielu rozporządzeń dotyczących zgodności, ma ono ograniczone zastosowanie, jeśli nie ma możliwości filtrowania w jej ramach zagrożeń i wysyłania do administratora bezpieczeństwa informacji ostrzeżeń o potencjalnie podejrzanych incydentach.

Nawet jeśli zagrożenie okaże się fałszywym alarmem, dzięki szybkiej reakcji i podjęciu działania, użytkownicy zyskują wiedzę na temat zagrożeń wewnętrznych, a ryzyko zmniejsza się.

Dzięki opcji stałego monitorowania i ostrzegania, GUI (interfejs graficzny) oprogramowania FileAudit oraz UserLock pozwala kontrolować, co dzieje się z dostępem do sieci i znajdujących w niej danych. Oprogramowanie podaje krótkie, czytelne dane, co sprawia, że zarządzanie systemami staje się o wiele łatwiejsze. To znacząco zmniejsza nakład pracy związany z monitorowaniem dostępu, pozwala na natychmiastową reakcję w sytuacji awaryjnej i oferuje zrozumiałą, scentralizowaną oraz łatwą do znalezienia ścieżkę audytu.

UPEWNIJ SIĘ, ŻE DOSTĘP ZOSTAŁ PRZYZNANY JEDNEMU PRACOWNIKOWI

Żaden zestaw środków nie jest w stu procentach bezpieczny, a co za tym idzie, zawsze może zdarzyć się pewien nieprzewidziany incydent.

Precyzyjna kontrola dostępu połączona z odpowiednim zarządzaniem kontem jest jednak w stanie ograniczyć dostęp do danych/informacji krytycznych przedsiębiorstwa jedynie do poszczególnych pracowników. Odpowiedzialność z tym związana zmusi podmioty mające dostęp do informacji poufnych do zastanowienia się dwa razy przed podjęciem szkodliwych działań, a pozostałych użytkowników skłoni do zachowania większej ostrożności.

Jeżeli przedsiębiorstwo nie reaguje w otwarty i konsekwentny sposób na niedopuszczalną działania, inni pracownicy otrzymują komunikat, że można ujść z tym na sucho.

W wyniku braku kontroli nad jednoczesnym logowaniem się z dwóch komputerów pojawia się problem z odpowiedzialnością. Zapobiegając, tak jak w przypadku UserLock, jednoczesnemu logowaniu się z dwóch komputerów przedsiębiorstwo może skutecznie rozpoznawać, szukać, raportować i archiwizować dostęp użytkownika oraz udowodnić mu odpowiedzialność za przeprowadzanie szkodliwych działań.