Monitorowanie użytkowników uprzywilejowanych
Podstawowym wyzwaniem bezpieczeństwa jest zapewnienie odpowiedniej kontroli użytkowników uprzywilejowanych w systemie i aplikacjach. Użytkownicy tacy, korzystają z kont mających nierzadko nieograniczone uprawnienia, w tym uprawnienie dostępy do informacji poufnych i możliwość pełnego zamazania śladów swojej działalności. Równocześnie często nie są oni pracownikami właściciela systemu, a jedynie związani umowami outsourcingowymi.
Tectia Guardian dostarcza narzędzi służących kontrolowaniu i skutecznemu rozliczaniu użytkowników uprzywilejowanych. Realizuje to poprzez pełny nadzór i kontrolę sesji administracyjnych, zarówno z sieci LAN jak i sesji zdalnych.
Tectia Guardian może monitorować wszystkie kanały, włączając to również kanały szyfrowane. Cały ruch (w szczególności zmiany konfiguracyjne, wykonywane komendy, uruchamiane aplikacje itp.) są rejestrowane i archiwizowane w sposób uniemożliwiający ich usunięcie lub modyfikacje.
Podstawowe cechy produktu:
  • pełny zapis sesji w formie „nagrania wideo”,
  • wsparcie dla szeregu protokołów (telnet, ssh, RDP, Citrix ICA, VNC, VMware View, X11)
  • możliwość wyszukiwania słów kluczowych wykonywanych komend itp., również w sesjach graficznych,
  • polityki wykorzystania funkcjonalności poszczególnych protokołów (np. transfer plików, drukowanie itp.),
  • autoryzowanie każdego dostępu do serwera tzw. „4-eyes only”
Tectia Guardian może zostać wdrożony w różnych trybach, wspierających różnorodną architekturę sieci klientów:
  • Bastion mode – administratorzy łączą się bezpośrednie wyłącznie z serwerem Guardian, a nie z docelowymi hostami, które identyfikowane są na podstawie parametrów połączenia.
  • Bridge mode – Guardian funkcjonuje jak przełącznik sieciowy w warstwie L2 i pozostaje całkowicie niewidoczny dla użytkownika,
  • Router mode – Guardian zachowuje się jak router warstwy L3 modelu ISO/OSI.
Tectia Guardian może indeksować wszystkie wykorzystane komendy oraz wyszukiwać automatycznie lub na życzenie operatora słowa kluczowe w nagranych sesjach, również w sesjach graficznych np. RDP lub X11, ułatwiając w ten sposób identyfikowanie ew. nadużyć i incydentów.
Równocześnie ruch i dane szyfrowanych protokołów, po rozszyfrowaniu mogą być przekazywane do zewnętrznych systemów DLP lub IDS dodatkowo wzmacniając ochronę i bezpieczeństwo sesji użytkowników uprzywilejowanych.
 
Security Informationt & Event Management

Wiedza o zdarzeniach i procesach zachodzących w systemach informacyjnych jest podstawą ich skutecznej ochrony. Podstawowym źródłem te wiedzy są logi generowane przez systemy, urządzenia i aplikacje. Ich zbieranie i analiza stają się również coraz częściej wymogiem licznych standardów i regulacji związanych z bezpieczeństwem takich jak PCI DSS lub SOX.

By sprostać tym wymogom powstały produkty klasy SIEM. Systemy takie umożliwiają między innymi:

  • zbieranie, zapisywanie i zabezpieczenie przed modyfikacją logów w postaci jednego repozytorium danych,
  • raportowanie na podstawie zebranych logów i informacji pochodzących z innych systemów,
  • alarmowanie o wszystkich zdarzeniach niosących potencjalne zagrożenia, również na podstawie symptomów pochodzących z różnych źródeł informacji poprzez narzędzia korelacyjne.

Poprawnie wdrożony SIEM pozwoli administratorom m.in.:

  • identyfikować i analizować incydenty związane z atakami oraz nadużyciami popełnianymi przez użytkowników,
  • wykrywać infekcje złośliwego oprogramowania,
  • identyfikować awarie i problemy występujące w infrastrukturze,
  • monitorować zmiany w konfiguracji i wymuszać stosowanie procedur związanych z zarządzaniem zmianą,
  • ocenić efektywność wdrożonych technologii zabezpieczeń.
Monitorowanie baz danych

W prawie każdej aplikacji wykorzystowane są relacyjne bazy danych. Systemy bankowe, aplikacje ERP, billing i inne: wszystkie one wykorzystują jako swoją podstawę relacyjne bazy danych. W związku z tym zawierają one wszsytkie najcenniejsze dane większości firmy i organizacji.

Równocześnie większość dostępnych na rynku rozwiązań bazodanowych nie pozwala na efektywne zarządzanie ich bezpieczeństwem czy monitorowanie użytkowników korzystajacych z danych. Dodatkowo rozwiązania stosowane przez różnych producentów są zupełnie niekompatybilne.

Rozwiązaniem są systemy klasy DAM (ang. Database Activity Monitoring) pozwalające na zarządzanie całym cyklem zarządzania bezpieczeństwem i zgodnością dla wszystkich typów baz danych stosowanych w firmie. Proces ten obejmuje się najważniejsze elementy:

  • Odkrywanie i klasyfikowanie informacji – identyfikacja obiektów zawierających dane wrażliwe takich jak tabele, widoki czy procedury wbudowane,
  • Ocena bezpieczeństwa i zabezpieczenie baz danych – skanowanie baz danych pod kątem błędów w konfiguracji i luk pozwalających na skuteczne przełamania zabezpieczeń,
  • Monitorowanie i wymuszanie zasad korzystania z baz danych – rejestrowania działań użytkowników i reagowanie w przypadku nadużyć,
  • Zarządzanie raportowaniem i audytem – raportowanie na podstawie zebranych danych dla celów zarządzania bezpieczeństwem i zgodnością z wymaganiami prawa.

Wpływ działania DAM na bazę danych jest minimalny, bowiem monitorowanie odbywa się poprzez nasłuch sieciowy lub poprzez specjalnego agenta dla systemu operacyjnego. Zapewnia to również odpowiedni poziom obowiązków: administrator bazy danych nie zarządza jej monitoringiem.

Nasi partnerzy w zakresie DAM: Imperva

Serdecznie zapraszamy do współpracy!
Jeżeli mają Państwo pytania, prosimy o kontakt na adres: sales@apius.pl
Wszelkie prawa zastrzeżone © APIUS technologies 2011       Projekt i wykonanie: Projekt strony WWW - Artcards / NetSoftware