Cuando el tiempo para la investigación es limitado, la integridad de los datos con los que se calificarán las acciones del empleado depende de la velocidad con la que se recopilen todas las circunstancias significativas del incidente de seguridad informática. Esto significa la precisión de los resultados de toda la investigación. Se pueden buscar respuestas en la cinta de eventos tabulada. O se puede aumentar la eficiencia utilizando una línea de tiempo visual de las acciones del empleado: ver la cronología de los eventos y el contexto del incidente en una escala de tiempo interactiva, con la posibilidad de profundizar en cualquier detalle. Hoy aprenderemos cómo restaurar rápidamente la secuencia de acciones de un empleado antes, durante y después de un incidente de seguridad informática. Cómo probar la participación, la mala intención o la inocencia, identificar los antecedentes de un incidente de seguridad informática y recopilar una base de pruebas. Capacidades ampliadas de observación en línea y monitoreo de las acciones de los empleados en tiempo real con la posibilidad de conectarse a la pantalla de la PC, analizar listas de procesos y bloquear la sesión del usuario.
El evento de hoy está dirigido por Serguéi Kuzmín, jefe de la dirección de InfoWatch Employee Monitoring.
Serguéi comenzó su presentación con la aparición de un nuevo conjunto de herramientas de seguridad informática que puede ayudar en la investigación de incidentes. Veamos cómo se ha desarrollado esta dirección utilizando los medios de comunicación como ejemplo.
En la década de los 90 del siglo pasado, los medios de comunicación como los buscapersonas o los primeros teléfonos móviles eran la cima del progreso, sin embargo, ahora la rutina absoluta del trabajo es el uso de Internet móvil y las videoconferencias. El mismo nivel de desarrollo tecnológico se está produciendo actualmente en el campo de la seguridad de la información. Las herramientas que antes parecían inquebrantables también se están transformando.
La línea de tiempo interactiva también debería dar un serio impulso al desarrollo de la seguridad informática e iniciar un progreso serio en la investigación de incidentes de seguridad informática. Pero, si lo comparamos con el paradigma de trabajo que ya se ha desarrollado en el mercado, veremos que se trata de trabajar con eventos, analizar el flujo de tablas y cintas de eventos para detallar la secuencia de acciones de una persona al analizar incidentes de seguridad informática. El patrón estándar de nuestro trabajo es que ocurre algún evento o suponemos que algo va a ocurrir, y necesitamos profundizar en esta cronología de acciones. Si hablamos tanto del sistema DLP como de la herramienta Play Monitoring, muestra no solo los eventos DLP, sino también toda la actividad laboral y la actividad en torno a la estación de trabajo en relación con la persona del posible infractor. En este caso, estamos considerando la herramienta Play Monitoring, concretamente Activity Monitor en Infowatch como una herramienta para detallar y profundizar en el contexto de un incidente de seguridad informática. Y decidimos analizar este problema a través de los ojos de nuestros usuarios. Entendemos que el análisis manual de un gran flujo de eventos es un trabajo muy laborioso, y el enfoque se pierde bastante rápido en un trabajo tan monótono y complejo, a menudo, desafortunadamente, incluso antes de que se obtengan los hechos y las pruebas necesarias del incidente. Creemos que el mismo camino que usted ha recorrido, y a veces el análisis de la cinta de eventos lleva horas, se puede recorrer en minutos o incluso segundos si se le proporciona un conjunto de herramientas moderno para la búsqueda rápida y el trabajo rápido con incidentes. Nos dimos cuenta de que tenemos una enorme cantidad de contenido útil que está relacionado con el trabajo de un empleado dentro del sistema. Y decidimos colocarlo en una escala de tiempo gráfica.
Nos impulsó a esta comprensión el hecho de que el tiempo para investigar los incidentes es limitado, los recursos son insuficientes y todo se reduce a la velocidad y la eficiencia. Nos fijamos el objetivo en esta herramienta de proporcionar velocidad y tiempo, los recursos que no se pueden reponer en ningún trabajo. Esto es lo que hay que ahorrar, y en general, todo el mundo tecnológico moderno nos inclina a ello.
Veamos cuáles fueron nuestras entradas iniciales. Todas las herramientas Play Monitoring tienen una estructura similar. Se trata del registro del tiempo de trabajo, la cinta de eventos y alguna visualización mínima, una escala de tiempo, cuando hay simplemente un marcado, un clasificador simple dependiendo de en qué aplicación se encuentre la persona. ¿Cómo clasificar esto, como actividad laboral o no laboral, o como algún otro tipo de actividad? Para las tareas de seguridad informática, esto era poco aplicable, más bien era una historia sobre informes o sobre una situación demasiado especial. Decidimos hacer de esto una herramienta completa, que junto con otras capacidades del sistema DLP, muchos de ustedes conocen y aman nuestro módulo Vision con su gráfico de conexión, y nos fijamos el ambicioso objetivo de proporcionarles otra herramienta similar para el trabajo diario.
Comenzamos determinando qué datos tenemos. Se trata de la entrada y salida a la estación de trabajo. Es necesario añadir a la escala de tiempo la comprensión de cuándo comenzó y cuándo terminó de trabajar la persona, y cómo inició sesión, si utilizó una conexión de terminal remota, o si entró localmente. Qué fue: entrada o salida, bloqueo o desbloqueo, es decir, ya en la primera etapa podemos entender y restaurar, visualizar los eventos utilizando iconos, símbolos. En cierto sentido, si hacemos una comparación, en lugar de una herramienta de texto o libro normal, les proporcionamos algo así como un audiolibro o un flujo de vídeo para la actividad que la persona realizó el día del incidente. Y la historia de las entradas y salidas de la persona será inmediatamente clara. Además de la historia de las entradas y salidas, probablemente el 80% de todo lo que nos interesará en esta línea de tiempo es el uso de aplicaciones y sitios web. Por lo tanto, la siguiente línea es qué aplicaciones y sitios web visitó la persona y en qué secuencia. Basta con echar un vistazo a la escala de tiempo, e inmediatamente entendemos en qué orden, a dónde entró la persona y qué herramientas utilizó.
¿Cómo puede ser útil esto en la investigación de incidentes? Por ejemplo, entendemos que el incidente tuvo lugar a las 17:02, y vale la pena comprobar qué estaba haciendo la persona 2 horas antes, y queda claro que la persona estaba utilizando tales aplicaciones, por ejemplo, gestores de archivos, tales sitios web. Por ejemplo, estaba subiendo información a algún lugar. Naturalmente, el correo, Outlook, las versiones web de los mensajeros, todo esto se reflejará aquí, esto dará una comprensión de la secuencia de comunicación, el trabajo con archivos o el uso de la conferencia web.
Los eventos con texto introducido se marcan con un marcador especial. Es decir, además de utilizar simplemente la actividad, cuando utilizamos aplicaciones de sitios web, tendremos eventos donde hay texto adjunto. El leitmotiv de toda esta herramienta es que puede centrarse solo en lo que es importante para su investigación del incidente y para la información detallada.
Si "iba" a Telegram 2-3 veces al día y miraba algo, pero al mismo tiempo solo uno de ellos está marcado con la letra K, entonces puede ver inmediatamente su correspondencia. Veo en el chat que Dmitri escribió "Mejor una captura de pantalla de inmediato". Buena observación. Vemos que tendremos otra capa con acciones con archivos, se verá la secuencia, cómo y qué se hizo.
Pero inmediatamente descubrimos el beneficio de que precisamente la correlación en la escala de tiempo de la aplicación de los sitios web con el texto introducido es especialmente valiosa precisamente cuando las capturas de pantalla se presentan en la misma escala de tiempo. Son grandes, si nuestra escala es lo suficientemente grande o capturas de pantalla individuales, si estamos analizando un pequeño segmento, donde necesitamos una secuencia de trabajo. Así, obtendremos no solo el texto introducido, sino también inmediatamente el contexto. Es decir, en la captura de pantalla anterior se verá en qué aplicación estaba trabajando antes de entrar, por ejemplo, en Telegram, vemos el texto en Telegram, y al mismo tiempo, como bono, vemos también el contexto.
Volveré para mostrar otras capas. La secuencia de acciones con archivos es lo mismo. Es muy importante que las aplicaciones y los sitios web utilizados puedan estar relacionados con las acciones con el archivo y cualquier guardado, movimiento o eliminación de archivos también se superpongan en su nivel de tiempo. Y la misma secuencia, si nos interesa algún incidente relacionado con archivos, también se verá.
Muy a menudo es necesario correlacionar la actividad laboral de una persona, su potencial intención del incidente con alguna de sus reuniones. Por ejemplo, una persona durante una videoconferencia puede compartir la pantalla, esto también puede estar relacionado con una fuga de información, a través de capturas de pantalla, el uso de aplicaciones. Y esa reunión del calendario de Outlook, a quién y cómo la persona demostró algo. Aquí podemos conectar varias cosas en una, y entender en todos los ángulos, cómo podemos ver el problema o el punto del incidente. Y, además, recopilar una base de pruebas interactiva. Porque una cosa es cuando, por ejemplo, la dirección presenta un informe en forma de una serie de eventos, una lista y comentarios sobre ella, aquí una captura de pantalla de un segmento correctamente formado incluso ayudará a la dirección a entender rápidamente cuál era la esencia del incidente, si se considera objetivamente.
Aquí está la continuación de la misma idea, que la comprensión de la simultaneidad y la presentación de la simultaneidad de la grabación de audio, por ejemplo, si fue alguna reunión, y se configuró la grabación de audio por disparador o en general, si los empleados que están bajo observación, lo escucharon, entonces vemos que si se adjunta una grabación de audio a la reunión, entonces se puede escuchar inmediatamente. También tenemos capturas de pantalla para entender qué sitios visitó la persona durante la grabación de audio y qué miró. Y también, posiblemente, introdujo algún texto que nos pueda interesar. Para las investigaciones "bajo el microscopio" tenemos todo el conjunto de herramientas.
Como resultado, obtenemos que todos los contenidos se colocan en la línea de tiempo y responden a las tareas de la investigación detallada del incidente de seguridad informática. Además, recientemente presentamos la primera versión, el prototipo de nuestra novedad. Vamos a marcar el contenido en las capturas de pantalla con ciertas etiquetas. Tomamos como ejemplo nuestra tecnología, que puede analizar las capturas de pantalla y marcar la presencia de contenido indecente. Tal como la visualización de temas pornográficos y eróticos. Y pusimos una etiqueta que indicaba que tal persona estaba viendo un sitio web relacionado con este tema. O tal vez en su correspondencia aparecen enlaces de este tipo a tales sitios o imágenes. Automáticamente resaltamos al oficial de seguridad informática un riesgo adicional, incluyendo el reputacional, para la organización para que investigue qué estaba sucediendo exactamente. Creo que en la próxima versión tiene posibilidades de aparecer en el mercado. Y la desarrollaremos no solo en un ángulo tan específico, sino también en el conjunto más amplio de marcado automático.
Resumiendo, en todos los niveles que hemos revisado secuencialmente, hay dos aspectos. Primero, se puede dejar solo lo más necesario. Si investigas una secuencia de acciones con un archivo, entonces las aplicaciones aún pueden ser útiles, por lo que las capturas de pantalla también son útiles. Pero las entradas y salidas no son necesarias. O las grabaciones de audio de la reunión no son necesarias. Puedes eliminar o agregar fácilmente los niveles necesarios para que continúe el enfoque que declaramos al principio. Consideramos que la configuración de visualización es una parte importante. Pero consideramos que la filtración no es menos importante. Dejar solo lo necesario, si, por ejemplo, ordenas por actividad laboral o no laboral. Si ordenas por una aplicación específica, un sitio web específico. Por lo tanto, esto puede ser no solo una investigación de un incidente, cuando observas un período de tiempo y reconstruyes la cronología, sino también la búsqueda de cuellos de botella. Por ejemplo, puedes ver, guardando el filtro por alguna aplicación. Cómo trabajó una persona con ella, en qué días y dejando solo lo que cayó bajo el filtro y solo lo que es necesario, esto te permitirá concentrarte. Y, por supuesto, cómo funciona esta herramienta interactiva en términos de escalado y desplazamiento. Un aspecto importante es la prevención.
Voy a mostrar la parte del conjunto de herramientas en el stand de demostración, cómo se ve, y luego volveremos a los problemas de la actividad preventiva. Y ahora visualizaremos el trabajo en el stand con el conjunto de herramientas de la línea de tiempo. Aquí vemos inmediatamente la línea de tiempo, ordenada por el uso de un sitio web específico.
En el encabezado vemos qué empleado es. Ahora estamos en la sección "expediente". Allí también hay acceso a la línea de tiempo. Y vemos un filtro único que se aplica a YouTube. Queremos dejar solo aquellos días y aquellos eventos que se caracterizan por ver YouTube. Por lo tanto, vemos que el empleado vio este sitio web y en la escala se puede ampliar a eventos atómicos. Aquí vemos que hay 2 eventos en el grupo. Lo mismo ocurre con las capturas de pantalla.
Se puede profundizar hasta el momento en que cada elemento se convierte en un evento separado. Aquí vemos que a las 15 horas 41-44 minutos la persona pasó tiempo en YouTube. Y veamos, se eliminan las capas innecesarias, solo lo que responde a mi tarea. Horario de trabajo encendido/apagado. Aquí está encendido. El color verde indica que esto ocurrió en horario laboral. Los eventos de autorización no cayeron bajo el filtro, por lo que no son visibles. No me interesan las aplicaciones. Me interesa la actividad. Como puedes ver, es roja, no laboral. Me interesan las capturas de pantalla confirmatorias para poder ver qué estaba viendo el empleado en YouTube. Y también veo que se ingresó algún texto. Detallemos esto en una captura de pantalla. Hice clic en el grupo de capturas de pantalla, se dividieron en dos. Y vemos que el empleado realmente estaba ingresando algo en YouTube en la búsqueda. Puedo suponer que esta es la palabra "Infowatch" en la disposición en inglés. Y el navegador inmediatamente lo tradujo al nombre en ruso. La persona estaba buscando nuestro evento. Y veamos más. Tuvo más eventos. El sistema registró 6 segundos, luego pasó 4 minutos en el sitio web de YouTube. Aquí estaba navegando por nuestros webinars. La persona estaba buscando, aparentemente, algún webinar específico. Y, por lo tanto, vemos que no necesité gastar decenas de minutos para ver cada evento. Simplemente vemos inmediatamente la secuencia y estudiamos el trabajo de la persona en YouTube. Como puedes ver, yo veo capturas de pantalla después de cada evento que llama mi atención.
Yo escalo. Y en una escala grande, los eventos se agrupan y, para llegar al punto de enfoque de estos eventos, simplemente necesitas usar el conjunto de herramientas simplemente haciendo clic en la agrupación. Y se descompone.
La línea de tiempo interactiva se encuentra en la sección "Observaciones". Y al hacer clic en cualquier empleado, podemos abrir y pasar a la línea de tiempo. Aquí vemos que para el día actual hay dos eventos de autorización y tres eventos de uso del sitio web. Agreguemos también aplicaciones. Supongamos que nuestra tarea actual incluye la investigación de un incidente, la restauración de una imagen completa.
Entendemos que el sistema DLP resaltó algo en rojo, algún evento importante. Vemos que la persona desbloqueó la estación de trabajo, usó la aplicación Chrome. Allí se ingresó algún texto, aparentemente en la barra de direcciones. Y luego también podemos ver las capturas de pantalla si nos interesa la información detallada de este texto. Vemos que hubo algo de actividad durante un tiempo, y luego hay actividad del sitio web. Dominio, una página vacía estándar. Luego estaba el dominio abr del sitio web, un recurso de TI conocido y vemos que esta persona, y aparentemente ya fue tomada bajo control, hubo incidentes, también hay grabaciones de audio, se puede acceder fácilmente a ellas, se abrirán en una nueva ventana del reproductor.
Aquí la persona en Wikipedia ya terminó su trabajo y bloqueó la página. Aparentemente, tal secuencia restaurada nos permitirá detallar la esencia del incidente. Es importante tener en cuenta que en un momento dado en la línea de tiempo hay información detallada de un día laboral. Hay una navegación conveniente para moverse entre los días.