Мониторинговые программные продукты

Мониторинговый программный продукт — это программное обеспечение (модуль), предназначенное для наблюдения за вычислительными системами, а также позволяющее фиксировать деятельность пользователей и процессов, использование пассивных объектов, и однозначно устанавливать идентификаторы причастных к определенным событиям пользователей и процессов с целью предотвращения нарушения политики безопасности и/или обеспечения ответственности за определенные действия.

Синонимы

англ. tracking software — термин для обозначения всех видов мониторинговых программных продуктов

англ. employee monitoring software — мониторинговые программные продукты для контроля сотрудников предприятий и организаций

англ. parental control software — мониторинговые программные продукты для родительского контроля несовершеннолетних детей

англ. access control software — мониторинговые программные продукты контроля доступа

англ. personnel security programs — программные продукты защиты от персонала

русск. программные продукты для обеспечения наблюдаемости вычислительных систем

Терминология

Нарушитель (англ. user violator) — пользователь, осуществляющий несанкционированный доступ к информации.

Санкционированный доступ к информации (англ. authorized access to information) — доступ к информации, не нарушающий правила разграничения доступа.

Несанкционированный доступ к информации (англ. unauthorized access to information) — доступ к информации, осуществляемый с нарушением правил разграничения доступа.

Правила разграничения доступа (англ. access mediation rules) — часть политики безопасности, регламентирующая правила доступа пользователей и процессов к пассивным объектам.

Политика безопасности информации (англ. information security policy) — совокупность законов, правил, ограничений, рекомендаций, инструкций и т. д., регламентирующих порядок обработки информации.

Виды информации, которая может контролироваться

Контроль событий

• нажатия клавиш на клавиатуре
• нажатия клавиш мыши
• LogOn и LogOff пользователя
• имя текущего пользователя

Скриншоты экрана

• десктоп (desktop capturing)
• активное окно (active windows capturing)
• разрезание скриншота и склеивание в памяти
• скриншот области заданного размера вокруг указателя мыши при нажатии на клавишу мыши

Email

• исходящая почта (SMTP)
• входящая почта (POP3)
• двусторонний контроль web почты

Время и дата

• загрузки системы и имя текущего пользователя
• запускаемых приложений
• переключения между задачами

Буфер обмена

• содержимое

Интернет

• URL

Набираемые тексты

• графические окна
• консольные окна

Активность

• файловая
• системного реестра

Очередь заданий

• принтер

Перехват файлов

• по названию
• по расширению
• по ключевому слову

Месседжеры

• двусторонний контроль ICQ, IRC, AIM и т. д.

Удаленное администрирование

Видео информация

Аудио информация

Классификация

по месту хранения Log файла

• жесткий диск
• память
• реестр
• расшаренный, то есть общедоступный (shared) сетевой диск
• удаленный сервер

по методу отправки Log файла

• e-mail
• ftp
• http (https)
• любой вариант беспроводной связи (радиодиапазон, инфракрасный диапазон, Bluetooth, WiFi и т. п.)

по методу применения

Только метод применения мониторинговых программных продуктов позволяет увидеть грань между управлением безопасностью и нарушением безопасности.

Несанкционированное применение — установка мониторинговых программных продуктов происходит без ведома владельца (администратора безопасности) автоматизированной системы или без ведома владельца конкретного персонального компьютера. Несанкционированно применяемые мониторинговые программные продукты именуется как шпионские программные продукты. Несанкционированное применение, как правило, связано с незаконной деятельностью (illegal activity). Как правило, несанкционированно устанавливаемые шпионские программные продукты имеют возможность конфигурирования и получения «скомплектованного» исполнимого файла, который при инсталляции не выводит никаких сообщений и не создает окон на экране, а также имеют встроенные средства доставки и дистанционной установки сконфигурированного модуля на компьютер пользователя, то есть процесс инсталлирования происходит без непосредственного физического доступа к компьютеру пользователя и зачастую не требует наличия прав администратора системы;

Санкционированное применение — установка мониторинговых программных продуктов происходит с ведома владельца (администратора безопасности) автоматизированной системы или с ведома владельца конкретного персонального компьютера. Санкционированно применяемые мониторинговые программные продукты (англ. employee monitoring software, parental control software, access control software, personnel security programs), как правило, требуют либо физического доступа к компьютеру пользователя либо обязательного наличия прав администратора системы для конфигурирования и инсталляции;

по включению в сигнатурные базы

Известные мониторинговые программные продукты. К данной категории относятся мониторинговые программные продукты, сигнатура которых (по различным причинам) уже включена в сигнатурные базы основных известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов.

Неизвестные мониторинговые программные продукты. К данной категории относятся мониторинговые программные продукты, сигнатура которых не включена в сигнатурные базы основных известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов и, зачастую, никогда не будет в них включена по различным причинам. Как пример, к таким продуктам относятся:

• мониторинговые программные продукты (модули), разрабатываемые под эгидой различных правительственных организаций;
• шпионские программные продукты, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные шпионские программные продукты могут представлять собой немного видоизмененные открытые исходные коды мониторинговых программных продуктов, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру мониторингового программного продукта;
• коммерческие корпоративные мониторинговые программные продукты, которые очень редко вносятся в сигнатурные базы известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного коммерческого мониторингового программного продукта, может превратить последний в шпионский программный продукт, который не обнаруживается анти-шпионскими программными продуктами и/или анти-вирусными программными продуктами;
• шпионские программные продукты, включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу, данные шпионские программные продукты являются неизвестными. Пример — всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.

Цели применения

Санкционированное применение мониторинговых программных продуктов позволяет владельцу (администратору безопасности) автоматизированной системы :

• определить (локализовать) все случаи попыток несанкционированного доступа к конфиденциальной информации с точным указанием времени и сетевого рабочего места, с которого такая попытка осуществлялась;
• локализовать все случаи искажения (уничтожения) информации;
• определить факты несанкционированной установки программного обеспечения;
• проконтролировать возможность использования персональных компьютеров в нерабочее время и выявить цель такого использования;
• определить все случаи несанкционированного использования модемов в локальной сети путем анализа фактов запуска несанкционированно установленных специализированных приложений;
• определить все случаи набора на клавиатуре критичных слов и словосочетаний, подготовки каких-либо критичных документов, передача которых третьим лицам приведет к материальному ущербу;
• определить факты нецелевого использования персональных компьютеров:
• получить достоверную информацию, на основании которой будет разрабатываться политика информационной безопасности предприятия;
• контролировать доступ к серверам и персональным компютерам;
• проводить информационный аудит;
• проводить исследование компьютерных инцидентов;
• проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;
• определить загрузку компьютерных рабочих мест;
• определить загрузку персонала предприятия;
• восстановить критическую информацию после сбоев компьютерных систем;
• обеспечить наблюдаемость вычислительной системы. Именно это свойство, в зависимости от качества его реализации, позволяет в той или иной мере контролировать соблюдение сотрудниками предприятия установленных правил безопасной работы на компьютерах и политики безопасности.

Санкционированное применение мониторинговых программных продуктов позволяет родителям:

• контролировать контакты несовершеннолетних детей в сети Интернет;
• противодействовать негативному воздействию на несовершеннолетних детей специализированных сайтов, которые показывают детскую порнографию или другие незаконные сексуальные действия (извращения), пропагандируют насилие, пропагандируют дискриминацию по признаку расы, пола, религиозных убеждений, национальности, инвалидности, сексуальной ориентации, возрасту, пропагандируют противозаконные действия, нарушают права интеллектуальной собственности, нарушают законы страны размещения сайта или любые иные законы.

Несанкционированное применение мониторинговых программных продуктов позволяет злоумышленнику:

• получить практически полный доступ к компьютеру и информации на нем хранящейся.

Методы защиты от несанкционированно установленных мониторинговых программных продуктов

Защита от «известных» несанкционированно установленных мониторинговых программных продуктов:

• использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, с автоматическим обновлением сигнатурных баз.

Защита от «неизвестных» несанкционированно установленных мониторинговых программных продуктов:

• использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют, так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы.

Защита от «известных» и «неизвестных» несанкционированно установленных мониторинговых программных продуктов включает в себя использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:

• постоянно обновляемые сигнатурные базы шпионских программных продуктов;
• эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.

Ссылки

• Наблюдаемость вычислительных систем как неотъемлемая часть комплекса средств защиты в автоматизированной системе
• The Extent of Systematic Monitoring of Employee E-mail and Internet Use Обзор мониторинговых программных продуктов, применяемых для контоля за действиями сотрудников в корпорациях США. Andrew Schulman
• Computer And Internet Surveillance in the Workplace: Rough Notes Компьютерное и интернет наблюдение за рабочими местами. Andrew Schulman

Официальные программные продукты для мониторинга

• NeoSpy Программный продукт, предназначенный для сбора информации
• Spytech SpyAgent Популярный англоязычный программный продукт, предназначенный для сбора информации

Программные продукты для защиты от несанкционированно установленных мониторинговых программных продуктов

• Anti-Keylogger.Org Независимое сравнение популярных анти-мониторинговых продуктов
• Anti-Keylogger Программный продукт предназначенный для борьбы с несанкционированно установленными мониторинговыми программными продуктами без использования сигнатурного анализа
• PrivacyKeyboard Программный продукт предназначенный для борьбы с несанкционированно установленными мониторинговыми программными продуктами и аппаратными устройствами без использования сигнатурного анализа