Monitorování aktivit uživatelů
Konference Common ČR a SR 2008 Igor Dobřický, Volksbank CZ
[email protected]
René Jantošík, G&C Management Consulting s.r.o.
[email protected]
Obsah prezentace
2
Mnoho uživatelů, mnoho starostí Monitorovat, zaznamenávat, vyhodnocovat Bezpečnost, provozní riziko, možnost zneužití informací Intellinx • Popis systému • Přínosy systému • Koncepce systému • Architektura a technologie systému • Příklady využití systému • Ukázky systému • Reference
Mnoho uživatelů, mnoho starostí
Motto: Největším nebezpečím pro firmu jsou její vlastní zaměstnanci. Kevin Mitnick, Umění klamu
3
Mnoho uživatelů, mnoho problémů Komplexní bezpečnostní řešení nemusí znamenat komplexně vyřešenou bezpečnost Investice do bezpečnosti jsou dnes považovány za samozřejmé • Firewall, anitvirus, antimalware, antispam, webfiltering, self-defendant network, intruder detection/prevetion • Pfishing, spam, pharming,…
Velké firmy mají dnes bezpečnost mezi svými prioritami, u menších firem to může být stále problém, ale situace se obecně lepší
4
Pohled zvenčí X pohled zevnitř Jak vynutit dodržování vnitřních nařízení a směrnic? Co se zaměstnanci, power usery, administrátory? Někdo musí vždy mít ta nejvyšší oprávnění! Důvěřuj, ale prověřuj!
Monitorovat, zaznamenávat, vyhodnocovat Požadavek ČNB (citát z protokolu) „Banky neprovádí systematickou proaktivní kontrolu používání silných přístupových práv (např. přístupových práv administrátorů). Bezpečnostní auditní záznamy o činnosti těchto uživatelů nejsou vytvářeny buď vůbec nebo nejsou dostatečné. Např. v systému není vytvářen záznam o vytvoření / zrušení uživatele a chybí záznam o změnách prováděných privilegovaným uživatelem přímo v databázích. Dále tyto záznamy nejsou dostatečně zabezpečeny proti modifikaci, administrátor má možnost tyto záznamy změnit přímo v systému nebo je může modifikovat v záloze. Tím se banka vystavuje zvýšenému riziku neodhalení nebo pozdního odhalení nekalých aktivit běžných i privilegovaných uživatelů v jejich IS.“
5
Monitorovat, zaznamenávat, vyhodnocovat
Monitorovat uživatele a administrátory • Podrobný záznam o průběhu session • Nestačí pouze informace typu *JRNRCV
Zaznamenávat všechny aktivity • Klade velké nároky na místo a výkon serveru • Při dohledávání a analýze incidentů platí pravidlo – čím více, tím lépe
Oddělit databáze/logy od produkčních systémů • Informace musí být uchovány tak, aby k nim původní administrátor neměl přístup
Vyhodnocovat, předcházet incidentům • Sestavy, reporting, bussiness intelligence • Vyhodnocování musí probíhat v reálném čase (opět nároky na výkon) • Velké sestavy nikdo nečte – je třeba reportovat pouze důležité
Upozorňovat auditory, bezpečnostní manažery • Alerty, maily, notifikace
6
Monitorovat, zaznamenávat, vyhodnocovat - přínosy Odstrašení potenciálních zločinců skutečností, že všichni vědí, že existuje monitorování Redukování operačního rizika a ztrát pomocí detekování škodlivých aktivit v reálném čase Lepší uplatňování bezpečnostní politiky detekováním mezer a výjimek Zlepšení efektivity vnitřního auditu Zlepšení souladu firemních předpisů a jejich dodržování s požadavky regulátora/ majitele/akcionářů Zlepšení produktivity práce, spokojenosti zákazníka detekováním úzkých hrdel Detekování nových obchodních příležitostí
7
Trocha statistiky podle ACFE (Association of Certified Fraud Examiners) z roku 2006 • průměrné náklady na odstraňování následků podvodů – 5 % ročních výnosů organizací • na 66 % všech podvodů se podílejí zaměstnanci organizace • 65 % podvodů je odhaleno náhodou • odhaduje se, že 90 % nákladů na snížení provozního rizika je investováno do ochrany před „útoky“ zvenčí podle výzkumu US Secret Service ve finančním sektoru • 78 % podvodů uskutečnili autorizovaní uživatelé pomocí jednoduchých, oprávněných příkazů
8
Každý element je zabezpečený… … s výjimkou uživatelů
9
LAN
Bezpečnost, provozní riziko a odhalování podvodů
Cílem každé organizace je uchovávat detailní informace o přístupu uživatelů / administrátorů ke kritickým datům Většina stávajících aplikací organizací nesplňuje všechny legislativní požadavky a bezpečnostní standardy • Monitorování kritických obchodních aplikací je většinou řešeno jen na úrovni aplikačních logů, které však často nejsou dostatečné: • neobsahují kritické informace o aktivitách uživatele, např. s jakými záznamy a detailními informacemi uživatel pracoval, jaké operace vykonával s těmito daty • často jsou např. monitorovány pouze aktivity, které iniciují změny v databázi, nikoli dotazy • obtížný proces získávání a korelace informací z různých logů
• Identifikace vzorů chování uživatelů • Monitorování aktivit administrátorů • Sběr informací Aplikace jsou většinou navrženy tak, aby nelogovali velké množství údajů Úprava úrovně logování na úrovní jednotlivých aplikací s sebou přináší: • nutnost změn na úrovni aplikačního kódu (časově náročné, spojené s cyklem testování nové release a v případě, že organizace není vlastníkem zdrojového kódu i značně nákladné) • detailnější úroveň logování snižuje celkovou performance aplikace • vyšší nároky na údržbu
10
Příklady možného zneužití informací, provozní riziko Manipulace
Business Inteligence (EIS) Finanční řízení
Manipulace, podvod
Řízení lidských zdrojů
Porušení utajení
Strategie
Porušení utajení
Služby (cestování, IT, atd.)
Podvod, zneužití, uplácení
Finance
Neefektivnost, riziko ztráty kvality
(logistika, nákup, atd.)
Výroba (zásoby, řízení výroby, atd.)
Spionáž, sabotáž
Marketing & prodej (značka, životnost, dodávky)
Podvod, uplácení
Zákaznický servis (záruky, náhradní díly , atd.)
Spionáž, sabotáž Riziko ztráty image
Výzkum & vývoj
11
Investice
Nedodržení legislativních požadavků
Nedodržení hranice rizika
Dodavatelský management
Podvod, uplácení
Legislativa
Porušení utajení
Řešení – Intellinx
out-of-the-box systém – inovativní softwarový produkt společnosti Intellinx Ltd. • snadná a rychlá instalace record & replay • záznam veškeré interakci uživatele s hostem • vizualizované přehrávání kompletních uživatelských sessions analýza obsahu obrazovky • automatické rozpoznávání obrazovek a polí • „Google“ funkce vyhledávání obsahu obrazovky identifikace aktivit uživatele • kontinuální analýza aktivit uživatele • identifikace transakcí uživatele (příp. složených z několika obrazovek) analytický nástroj & case management • spouštění alertů na základě sledování chování uživatele v rámci nastavitelných pravidel – v reálném čase • možnost uplatnění nových pravidel na základě zjištěných skutečností • podpora vyhodnocování alertů a zkoumání případů v rámci case managementu
12
Architektura systému Intellinx
13
Technologický aspekt systému Intellinx instaluje se na samostatný server se systémem UNIX nebo Windows, který je napojený na standardní mirror port v síti nijak nezasahuje do existujícího software a hardware nemá vliv na výkonnost host systémů a sítí nevyžaduje žádné úpravy stávajících aplikací údaje jsou ukládány ve vysoce komprimovaném formátu, jsou kryptovány a opatřeny digitálním podpisem – je možné je využít v soudním procesu poskytuje úplný záznam a audit od prvního dne nasazení. implementace je rychlá a bez rizika.
14
Přínosy systému Intellinx monitorování a záznam aktivit uživatelů v aplikací bankovního systému jedinečný přehled o aktivitách uživatelů • sledování reálného chování uživatelů • sledování všech uživatelů • sledování dotazů sledování napříč všemi platformami / aplikacemi možnost rekonstrukce podezřelého případu • možnost zpětného přehrání celé session pro-aktivní detekce vnitřních podvodů a úniku informací na aplikační úrovni • poplachy, upozornění v reálném čase vyhledávání podezřelých událostí • detailní auditní záznam ex-post podrobná analýza dosažení souladu se zákonnými předpisy a regulačními opatřeními (Basel II, Direktiva EU 96 / 46, SOX apod.) jednoduchá implementace bez rizika ovlivnění produkčního systému podpora i5/OS, klient server i webových aplikací bez vlivu na výkon produkčního systému
15
Koncepce systému Intellinx 1/2
16
Záznam a zpětné zobrazení aktivit uživatelů
Zaznamená kompletní činnost uživatelů – každou obrazovku / web stránku, která byla uživatelem zobrazena, každé stisknutí klávesy – prováděné v různých aplikacích na různých platformách (Mainframe, Client/Server, Web, AS/400, atd.) Oprávněný auditor má možnost zpětně zobrazit libovolnou aktivitu každého uživatele
Zpětné vyhledávání aktivit uživatelů
Na základě zadaných kritérií je možné vyhledat všechny aktivity všech uživatelů vyhovující těmto kritériím Vyhledávací kritéria jsou vyhodnocována až na úrovni obsahu jednotlivých obrazovek / web stránek a stisknutí kláves (např. vyhledat všechny uživatele, kteří přistoupili v daném časovém intervalu ke specifikovanému číslu účtu) Vyhledávání může probíhat na záznamech aktivit ze specifické platformy nebo aktivit prováděných v různých aplikacích na různých platformách
Koncepce systému Intellinx 2/2 Sledování uživatelských procesů
Na základě archivovaných dat je možné provádět analýzu uživatelských aktivit a identifikovat obchodní procesy provedené uživatelem. Toto probíhá ve dvou krocích
17
Identifikace obrazovek / Web stránek – na základě specifikovaných kritérií (např. typu obrazovky / transakce, obsahu definovaných polí na obrazovce, atd.) systém identifikuje jejich výskyt v reálném čase Identifikace obchodních procesů – na základě definovaného scenáře (pořadí jednotlivých obrazovek specifikující provádění určité obchodní operace) systém identifikuje výskyt tohoto procesu (User Activity Event)
Vyhledávání definovaných vzorců chování
Na základě definovaných kritérií a vzorových procesů jsou vyhodnocovány výskyty jednotlivých procesů v reálném čase V případě splnění kritérií je vygenerováno upozornění (alert) Na archivovaná data je možno zpětně aplikovat i nově definovaná kritéria
Správa identifikovaných výjimečných situací
Na základě konfigurovatelných pravidel systém provádí správu identifikovaných případů výskytu Detekce situací, které vyžadují zapojení odpovědného auditora Okamžité upozornění na neobvyklé nebo podezřelé aktivity Možnost upravovat a zdokonalovat pravidla
Příklady využití 1/4 Intellinx je vysoce efektivní prostředek zvyšování bezpečnosti, snižování provozního rizika a odhalování podvodů pro různé oblasti: • snižování provozního rizika a harmonizace s Basel II • harmonizace s bezpečnostními opatřeními požadovanými regulacemi jako Direktiva EU 96/46 (Evropa) nebo GLBA a HIPPA (USA) • harmonizace s požadavky Sarbanes – Oxley (SOX) • harmonizace s požadavky pro zamezení praní špinavých peněz • harmonizace s požadavky na monitorování transakcí na finančních trzích • detekce a identifikace krádeží a podvodů při provozu on-line Internet banking systémů • sledování aktivit systémových administrátorů a ostatních privilegovaných uživatelů • monitorování dostupnosti a doby odezvy kritických procesů • dodatečné kontroly aplikací • analýza procesů uživatelů • help desk • a další
18
Příklady využití 2/4 snižování operačního rizika a harmonizace s Basel II • interní škody – způsobené porušením vnitřních pravidel zaměstnanci • • • • • •
nedovolená změna nákupních podmínek více než jedna změna nákupních podmínek za měsíc nová kreditní karta, která nebyla doručena klientovi změna limitu kreditní karty zaměstnance více než x plánů prohlížených uživatelem za danou časovou jednotku a další
• externí škody – způsobené třetí stranou • • • •
neúměrný počet transakcí provedených platební kartou v daném časovém období neúměrný počet zrušených objednávek transakce prováděné jednou kartou na různých od sebe vzdálených místech ve stejnou dobu a další
• zneužití citlivých informací • • • •
přístup k informacím zákazníka i když v daném čase nekontaktoval call centrum neúměrný počet vyhledávání prostřednictvím obecných kritérií (např. jméno zákazníka) neúměrně vysoký počet přístupů k citlivým informacím a další
• porušení procesní disciplíny • • • •
19
sdílení ID uživatele a hesla vícero uživateli, více uživatelských ID na jedné pracovní stanici současně neobvyklá změna hodnot, limitu, úrokové sazby, směnného kursu, poplatku, … rozdělení odpovědnosti a další
Příklady využití 3/4 harmonizace s bezpečnostními opatřeními požadovanými regulacemi jako Direktiva EU 96/46 • správa citlivých údajů • • • • •
vyžaduje podrobné sledování a dokumentování práce s citlivými údaji (čas, uživatel, …) práce s citlivými údaji je obvykle sledována z vytvářených logů současné systémy zaznamenávají do logu pouze transakce provádějící změny údajů zaznamenávat a vyhodnocovat je nutné i pasivní operace přístupu doplnění tohoto požadavku do současných systémů může být náročné a spojené s rizikem (může vyžadovat změny v mnohých on-line programech) • Intellinx poskytuje řešení umožňující velmi detailní zaznamenávaní a audit všech operací (včetně pasivních) bez změny jediného řádku ve stávajících aplikacích • navíc poskytuje možnosti vyhledávání a analýzy nejen na úrovní jednotlivých obrazovek, ale i na úrovni definované sekvence obrazovek a aktivit prováděných v různých systémech a na základě jejich výsledků generovat příslušná upozornění
20
Příklady využití 4/4 sledování aktivit systémových administrátorů a ostatních privilegovaných uživatelů • tito uživatelé představují riziko vyplývající z: • jejich vyšší úrovně autorizace spojené s jejich rolí v rámci organizace • používání nestandardních programových a administrátorských nástrojů, které obvykle nejsou monitorovány a evidovány standardními nástroji
• Intellinx umožňuje sledování a zaznamenávání aktivit prováděných privilegovanými uživateli včetně systémových a databázových administrátorů, programátorů a dalších • změny v databázi produkčního prostředí prostřednictvím DB nástrojů • změny programového kódu v produkčním prostředí • změny dat v produkčním prostředí prováděné prostřednictvím aplikací z pracovních stanic IT oddělení, resp. pod uživatelským ID z IT oddělení • nedodržení předepsaného postupu zařazení programového kódu do produkčního prostředí • a další
analýza procesů uživatelů • Intellinx umožňuje provádět dodatečné analýzy, jakým způsobem uživatelé s aplikacemi pracují, a identifikovat potenciální úpravy, zvýšení kvality, kvality uživatelských školení, atd. help desk • Intellinx umožňuje operátorům help desku zvýšit efektivitu řešení problémů, a tím zredukovat na minimum jejich dopad na obchodní procesy • poskytuje možnost zpětného exaktního přehrání postupu, který vedl ke vzniku řešené situace
21
On Line vyhledání aktivit z různých platforem 1/5
Odkud? Kdo?
Co?
Kdy?
Jaká data?
22
Jak?
On Line vyhledání aktivit z různých platforem 2/5
Příklad: Vyhledání aktivit z období od 16/4/2006 do 23/4/2006
týkajících se účtu číslo 5180774
Mainframe sreens AS/400 sreens Web sreens Clent/Server sreens
23
On Line vyhledání aktivit z různých platforem 3/5
Příklad: Vyhledaná obrazovka z AS/400 aktivity týkající se účtu číslo
5180774
24
On Line vyhledání aktivit z různých platforem 4/5
Příklad: Vyhledaná obrazovka z Web aktivity týkající se účtu číslo
5180774
25
On Line vyhledání aktivit z různých platforem 5/5
Příklad: Vyhledaná obrazovka z Client/Server aktivity týkající se účtu číslo
5180774
26
Co o systému Intellinx říkají vybraní analytici Ve zprávě prezentované firmou Gartner Inc. v březnu 2006 byla firma Intellinx Ltd. zařazena do seznamu deseti nejlepších světových dodavatelů řešení pro oblast bezpečnosti a ochrany důvěrnosti informací Ant Allan (Gartner) Selected Intellinx as a “Cool Vendor”, Security and Privacy, 2006 Joseph Feiman (Gartner) Selected Intellinx as a “Cool Vendor”, Application Development, 2006 –“Gartner defines cool vendors as companies that have caught Gartner's interest during the past year because they offer technologies or solutions that are innovative and intriguing. They offer products or services that allow users to do things they couldn't do before and that have, or will have, significant business impact.” Julie Rahal Marobella (IDC) IDC Product Flash, January 2005 –“IDC believes that IntellinX is a valuable addition to the marketplace… IDC believes the IntellinX solution offers a unique value in the way it tracks user behavior at a very granular level.”
27
Reference k systému Intellinx řešení Intellinx má reference v různých oblastech: • bankovnictví a finance • pojišťovnictví • Státní instituce • zdravotnictví • spotřební sektor Konkrétní reference jsou k dispozici na požádání.
28
Co o systému Intellinx říkají vybraní zákazníci Bank Leumi – Mr. Sasson Mordechay, Senior Vice President, Head of Operations Division “As a financial institution we need to comply with government regulation that requires a full audit trail of both update transactions and queries. Intellinx allowed Bank Leumi to comply with this regulation after a very short implementation process saving the bank many programmer-months that would have been, otherwise, invested in altering our online applications. Intellinx non invasive solution poses zero overhead on our infrastructure and requires very limited disk space.” State of Delaware – Ms. Peggy Bell, Executive Director, Delaware Criminal Justice Information System (DELJIS) “The Intellinx results have been bigger than even we expected: • Overwhelmingly jaw dropping successful • The logging system performed fantastically better than expected • Turn around time with Intellinx system was fabulous • Breach investigation time decreased by 90% • Potential threats to officer and public safety are reduced.” Large International Financial Organization, Risk Manager “…I want to share with you that Intellinx has been a useful tool during a case investigation. A case where a teller is involved and a mistake of XXXXXX dollars was made, has been solved thanks to Intellinx audit trail , in a very quick way, something that without Intellinx usually takes many hours. This is the comment from the investigation leader: THANKS A LOT ! ............A VERY COMPLETE TOOL AND USER´S ACTION CAN BE SEEN CLEARLY “.
29
Benefity systému Intellinx
detailní auditní záznam již od prvního dne významné snížení rizika interních podvodů ochrana osobních údajů zákazníků ochrana značky a informačního vlastnictví organizace podpora při soudním vyšetřování, přijatelný důkaz u soudu Dosažení souladu s vládními nařízeními a dalšími předpisy ► minimální náklady
30
► minimální riziko
Děkujeme za Vaši pozornost
Igor Dobřický
René Jantošík
Volksbank CZ
G&C Management Consulting s.r.o.
[email protected]
31
[email protected]
