Моніторингові програмні продукти
Моніто́рингові програ́мні проду́кти — це програмні продукти (модулі), призначені для забезпечення спостережуваності обчислювальних систем, а також такі, що дозволяють фіксувати діяльність користувачів і процесів, використання пасивних об'єктів, а також однозначно встановлювати ідентифікатори причетних до певних подій користувачів і процесів — з метою запобігання порушення політики безпеки і/або забезпечення відповідальності за певні дії.
Синоніми
англ. tracking software — термін для позначення всіх видів моніторингових програмних продуктів
англ. employee monitoring software — моніторингові програмні продукти для контролю співробітників підприємств і організацій
англ. parental control software — моніторингові програмні продукти для батьківського контролю неповнолітніх дітей
англ. access control software — моніторингові програмні продукти контролю доступу
англ. personnel security programs — програмні продукти захисту від персоналу
рос. программные продукты для обеспечения наблюдаемости вычислительных систем
рос. мониторинговые программные продукты
Термінологія
Порушник (англ. user violator) — користувач, що здійснює несанкціонований доступ до інформації.
Санкціонований доступ до інформації (англ. authorized access to information) — доступ до інформації, що не порушує правила розмежування доступу.
Несанкціонований доступ до інформації (англ. unauthorized access to information) — доступ до інформації, що здійснюється з порушенням правил розмежування доступу.
Правила розмежування доступу (англ. access mediation rules) — частина політики безпеки, що регламентує правила доступу користувачів і процесів до пасивних об'єктів.
Політіка безпеки інформації (англ. information security policy) — сукупність законів, правил, обмежень, рекомендацій, інструкцій і так далі, що регламентують порядок обробки інформації.
Види інформації, які можуть контролюватися
Контроль подій
- натиснення клавіш на клавіатурі
- натиснення клавіш миші
- Logon та Logoff користувача
- ім'я поточного користувача
Скріншоти екрану
- десктоп (desktop capturing)
- активне вікно (active windows capturing)
- розрізання скріншоту і склеювання в пам'яті
- скріншот навколо місця кліків клавіш миші
- вихідна пошта
- вхідна пошта
- двосторонній контроль web пошти
Час і дата
- завантаження системи і ім'я поточного користувача
- прикладних програм, що запускаються
- перемикання між завданнями
Буфер обміну
- вміст
Інтернет
- URL
Тексти, що набирають
- графічні вікна
- консольні вікна
Активність
- файлова
- системного реєстру
Черга завдань
- принтер
Перехват певних файлів
- по назві
- по розширенню
- по ключовому слову
Месседжери
- двосторонній контроль ICQ, IRC, AIM і так далі
Видалене адміністрування
Відео інформація
Аудіо інформація
Класифікація
за місцем зберігання Log файлу
- твердий диск
- пам'ять
- реєстр
- розшарений, тобто загальнодоступний (shared) мережевий диск
- сервер в мережі Internet
за методом відправки Log файлу
- ftp
- http (https)
- будь-який варіант бездротового зв'язку (радіодіапазон, інфрачервоний діапазон, Bluetooth, Wifi і тому подібне)
за методом застосування
Тільки метод застосування моніторингових програмних продуктів дозволяє побачити грань між керування безпекою і порушенням безпеки.
Несанкціоноване застосування — встановлення моніторингових програмних продуктів відбувається без відома власника (адміністратора безпеки) автоматизованої системи або без відома власника конкретного персонального комп'ютера. Несанкціоновано вживані моніторингові програмні продукти називаються шпигунськими програмними продуктами. Несанкціоноване застосування, як правило, пов'язане з незаконною діяльністю (illegal activity). Як правило, несанкціоновано встановлені шпигунські програмні продукти мають можливість конфігурації і отримання «скомплектованого» виконуваного файлу, який при інсталяції не виводить ніяких повідомлень і не створює вікон на екрані; такі продукти також мають вбудовані засоби доставки і дистанційного встановлення зконфігурованого модуля на комп'ютер користувача, тобто процес інсталяції не потребує безпосереднього фізичного доступу до комп'ютера користувача і часто не вимагає наявності прав адміністратора системи;
Санкціоноване застосування — встановлення моніторингових програмних продуктів відбувається з відома власника (адміністратора безпеки) автоматизованої системи або з відома власника конкретного персонального комп'ютера. Моніторингові програмні продукти, що вживаються санкціоновано (англ. employee monitoring software, parental control software, access control software, personnel security programs) зазвичай вимагають або фізичного доступу до комп'ютера користувача, або обов'язкової наявності прав адміністратора системи для конфігурації і інсталяції цих програм;
за наявністю сигнатури в базах
Відомі моніторингові програмні продукти. До даної категорії відносяться моніторингові програмні продукти, сигнатура яких (на будь-якій підставі) включена до сигнатурних баз основних відомих фірм-виробників анти-шпигунських програмних продуктів і/або антивірусних програмних продуктів.
Невідомі моніторингові програмні продукти. До даної категорії відносяться моніторингові програмні продукти, сигнатура яких не включена до сигнатурних баз основних відомих фірм-виробників анти-шпигунських програмних продуктів і/або антивірусних програмних продуктів і, ймовірно, ніколи не буде в них включена з різних причин, а саме:
- моніторингові програмні продукти (модулі), що розробляються під егідою різних урядових організацій;
- шпигунські програмні продукти, які розроблені в обмеженій кількості (часто тільки в одній або декількох копіях) для вирішення конкретного завдання, пов'язаного з викраданням критичної інформації з комп'ютера користувача (наприклад, програмні продукти, що вживаються зловмисниками-професіоналами). Дані програмні продукти можуть бути трохи видозміненими відкритими початковими кодами моніторингових програмних продуктів, що взяті з мережі Інтернет та скомпільовані самим зловмисником, що дозволяє змінити сигнатуру моніторингового програмного продукту;
- комерційні моніторингові програмні продукти, які дуже рідко вносяться до сигнатурних баз відомих фірм-виробників анти-шпигунських програмних продуктів і/або антивірусних програмних продуктів. Це призводить до того, що публікація зловмисниками в мережі Інтернет повнофункціональної версії даного комерційного моніторингового програмного продукту може перетворити останній на шпигунський програмний продукт , який не виявляється анти-шпигунськими програмними продуктами і/або антивірусними програмними продуктами;
- шпигунські програмні продукти, що включаються до складу програм-вірусів. До моменту внесення сигнатурних даних до вірусної бази ці шпигунські програмні продукти є невідомими. Приклад — всесвітньо відомі віруси, що натворили багато бід в останні роки, мають в своєму складі модуль перехоплення натиснень клавіатури і відправки отриманої інформації в мережу Інтернет.
Цілі застосування
Санкціоноване застосування моніторингових програмних продуктів дозволяє власникові (адміністраторові безпеки) автоматизованої системи:
- визначити (локалізувати) всі випадки спроб несанкціонованого доступу до конфіденційної інформації з точним визначенням часу і мережевого робочого місця, з якого така спроба здійснювалася;
- локалізувати всі випадки спотворення (знищення) інформації;
- визначити факти несанкціонованого встановлення програмного забезпечення;
- проконтролювати можливість використання персональних комп'ютерів в неробочий час і виявити мету такого використання;
- визначити всі випадки несанкціонованого використання модемів в локальній мережі шляхом аналізу фактів запуску несанкціоновано встановлених спеціалізованих прикладних програм;
- визначити всі випадки набору на клавіатурі критичних слів і словосполучень, підготовки будь-яких критичних документів, передача яких третім особам призведе до матеріального збитку;
- визначити факти нецільового використання персональних комп'ютерів:
- отримати достовірну інформацію, на підставі якої розроблятиметься політика інформаційної безпеки підприємства;
- контролювати доступ до серверів та персональних комп'ютерів;
- проводити інформаційний аудит;
- проводити дослідження комп'ютерних інцидентів;
- проводити наукові дослідження, пов'язані з визначенням точності, оперативності і адекватності реагування персоналу на зовнішні дії;
- визначити завантаження комп'ютерних робочих місць;
- визначити завантаження персоналу підприємства;
- відновити критичну інформацію після збоїв комп'ютерних систем;
- забезпечити спостережуваність обчислювальної системи. Саме ця властивість, залежно від якості її реалізації, дозволяє в тій або іншій мірі контролювати дотримання співробітниками підприємства встановлених правил безпечної роботи на комп'ютерах і політики безпеки.
Санкціоноване застосування моніторингових програмних продуктів дозволяє батькам:
- контролювати контакти неповнолітніх дітей в мережі Інтернет;
- протидіяти негативній дії на неповнолітніх дітей спеціалізованих сайтів, які показують дитячу порнографію або інші незаконні сексуальні дії (збочення), пропагують насильство, пропагують дискримінацію за ознакою раси, статі, релігійних переконань, національності, інвалідності, сексуальної орієнтації, зросту; пропагують протизаконні дії, порушують права інтелектуальної власності, порушують закони країни розміщення сайту або будь-які інші закони.
Несанкціоноване застосування моніторингових програмних продуктів дозволяє зловмисникові:
- дістати практично повний доступ до комп'ютера і інформації, що зберігається на ньому.
Методи захисту від несанкціоновано встановлених моніторингових програмних продуктів
Захист від «відомих» несанкціоновано встановлених моніторингових програмних продуктів:
- використання анти-шпигунських програмних продуктів і/або антивірусних програмних продуктів відомих виробників, з автоматичним оновленням сигнатурних баз.
Захист від «невідомих» несанкціоновано встановлених моніторингових програмних продуктів:
- використання анти-шпигунських програмних продуктів і/або антивірусних програмних продуктів відомих виробників, які для протидії шпигунським програмним продуктам використовують так звані евристичні (поведінкові) аналізатори, тобто не вимагають сигнатурної бази.
Захист від «відомих» і «невідомих» несанкціоновано встановлених моніторингових програмних продуктів включає використання анти-шпигунських програмних продуктів і/або антивірусних програмних продуктів відомих виробників, які для протидії шпигунським програмним продуктам використовують:
- сигнатурні бази шпигунських програмних продуктів, що постійно оновлюються;
- евристичні (поведінкові) аналізатори, що не вимагають наявності сигнатурної бази.