Русский
Русский
English
Статистика
Реклама

Контроль

Контролируем подрядчиков на ответственном проде внедрение DLP UAM (промшпионаж, логи действий)

29.12.2020 10:06:55 | Автор: admin
Кадр из художественного фильма TWARDOWSKY 2.0

У заказчика есть главная система, через которую он делает продажи всего-всего. К ней имеют доступ подрядчики, которые разрабатывают и дополняют эту систему, а также персонал изнутри. Когда речь про железо, всё достаточно просто: подрядчик приходит в ЦОД, а безопасник из офиса контролирует его по видео. А вот когда речь про разработку, проконтролировать закладки или вынос информации так не выйдет.

Чтобы подрядчики с доступом к боевой системе и тестовому стенду не устроили что-то злонамеренное, нужен контроль либо на стороне подрядчика, либо на стороне заказчика. Про людей подрядчика заказчик ничего не знает: они не сидят у него в офисе, им нельзя дышать в затылок. Тяжело разобраться, кто и с какой задачей подключается.

Собственно, дальше мы начали внедрять систему защиты.

Первое и важное выдали персонифицированные сертификаты для идентификации каждого сотрудника. Потом развернули терминальный сервер, через который все подключаются. На терминальном сервере стояли агенты решения ObserveIT, которые позволяли записывать и анализировать действия подрядчика. То есть, по сути, собиралась форензика, доказательная база. Подрядчики были предупреждены заранее, что их действия записываются.

Вторая часть задачи была в том, чтобы проконтролировать утечки. Первого же злонамеренного сливальщика мы поймали через неделю после внедрения.

Что сделали


У заказчика внедрена система DLP (Data Leak Prevention), которая позволяет находить инсайдеров, ну или людей, которые потенциально по незнанию сливают какие-то данные. Она работает примерно по тому же принципу, как работают эвристики антивируса: сравнивают нормальное поведение исполняемых модулей с ненормальным. В данном случае поведение конкретных людей сравнивалось с нормальным, то есть средним по больнице. Это не подходило для нормальной защиты, потому что выявляло только самые простые случаи, плюс давало много ложных тревог: роли-то у людей очень разные.

Заказчик захотел более детального контроля и лучшей защиты. Была введена система на базе решений StaffCop, которая позволяет, собственно, контролировать непосредственно определённых людей, которые подозревались в недобросовестном поведении, и уже для них выделять конкретные случаи мошенничества.

Собственно, уже на тестах стало видно странное поведение одного из специалистов. Безопасники взяли его в расследование, кейс был подтверждён. Человек был пойман с поличным. Так случается довольно редко, обычно на тестах всё же кто-то из безопасников инсценирует атаки, а остальные смотрят, как это видно в системе. Тут получился неожиданный бонус.

Зачем нужна защита такого класса в принципе


Система заказчика, скажем так, too big to fail. Остановка рабочего процесса означает многомиллиардные убытки. Я не шучу, на прод завязаны вещи, которые прямо влияют на несколько сотен тысяч людей в день. Конечно, система задублирована, есть возможность деградации до критичных функций в случае совсем сильных повреждений и так далее. В проде есть работа с банковскими данными, персональными данными и довольно лакомая база для злоумышленников. Соответственно, инсайдер, предположительно, выделял определённый сегмент клиентов и пытался его унести.

Инфраструктура часто становилась целью атак. Точнее, мы не можем сейчас судить, были это атаки или действия по глупости. Часто встречалось такое, что сотрудники работали на выходных или в отпуске и выносили часть данных за периметр просто, чтобы иметь к ним доступ. Пересылали данные в мессенджерах, что-то отправляли на личную почту: когда было важно что-то сделать быстро, это было экономически оправдано, но всё равно за это хотелось бить по рукам. Почти в любой компании есть общение вне официальных каналов (облака, мессенджеры), и, пока дело не доходит до отправки конкретных файлов, оно относительно безопасно. А вот файлы должны отправляться только внутри периметра безопасности.

Окупаются системы такого класса обычно за год. Речь про снижение рисков, а каждый риск имеет некую вероятность реализации за какой-то период (обычно год) и стоимость. Я бы сказал, что эти системы, скорее, гигиеническая вещь, без которых нельзя работать ни на одном проде, где есть что-то важное. Но часто требуется финансовое обоснование, и вот там фигурирует обычно срок в один год. Используется расчёт репутационного ущерба за счёт остановки бизнеса, публикаций в СМИ после этого, штрафов за раскрытие ПДн или банковских данных и так далее.

Откровенно говоря, в банковской сфере мы несколько раз ловили на подобных внедрениях людей, которые выносили данные об остатках клиентов для последующей перепродажи в даркнете для пробива конкретных людей. Это репутационные потери для банка.

Во многих случаях слив также означает потерю конкурентного преимущества.

Как шло внедрение?


image

DLP была со старта работы системы. После подозрений на инциденты была внедрена система UAM (User Activity Monitoring). По плану она должна была внедряться чуть-чуть позже, когда система достигла бы определённого размера, но из-за ряда активностей безопасники решили ускорить этот процесс. Как оказалось, не зря.

Системы довольно простые в своей архитектуре. Они представляют собой агентов, которые устанавливаются на конечные рабочие станции пользователей либо на терминальные серверы.

Одна часть обычно ставится для всех (речь про подрядчиков и своих сотрудников), а вторая (чуть более сложная) для сотрудников ИБ, имеющих доступ к первой части. То есть чтобы они могли контролировать ещё и друг друга, потому что разработка, внедрение и поддержка такой системы тоже должны быть безопасными.

В общем, есть набор агентов, которые могут быть практически невидимыми. Это скрытые или видоизменённые процессы, которые нельзя убить. Пользователь не знает, что у него стоит такой агент. Данные складываются в централизованную базу. В централизованной базе можно, соответственно, просмотреть и проанализировать собранные данные.

Поверх данных ПО пишет метаинформацию. Это выполненные команды, открытые окна, нажатые клавиши и так далее это чтобы упростить поиск. Представьте, что вам нужно отсмотреть действия десяти разработчиков. Размечаются возможные инциденты, например, перезагрузка сервера почти всегда отметка для возможного ретроспективного анализа, что этому предшествовало.

Работа идёт со всеми потоками данных. Это почта, веб, USB-носители и так далее.

Решение мы выбрали ObserveIT. Но это решение ушло сейчас из России, поэтому сейчас производится поиск аналогов. А второе решение это StaffCop. DLP InfoWatch.

ObserveIT, как и StaffCop, создаёт лог действий, что помогает воспроизводить картину дня сотрудника. В обычных случаях логи просто хранятся на сервере, а в случае инцидентов поднимается вся активность инсайдера. В нашем случае с инсайдером мы подняли активность за месяц и заметили несколько аномалий.

InfoWatch, как и любая DLP, работает с контентом. Скачивается Excel-файл на флешку? Система смотрит по ключевым словам содержание файла. В нашей практике был случай, когда недобросовестный сотрудник одной крупной промышленной компании хотел вынести важные финансовые данные просто переименовав файл и изменив расширение. Его, разумеется, поймали.

На что срабатывает DLP?


DLP контролирует случаи, когда среди покоящихся на дисках данных или в трафике появляется что-то критичное. Например, в потоке данных на USB-носитель появляется слово договор (так работает словарный поиск) или фрагмент конкретного документа (так функционируют цифровые отпечатки, цитирование). Как только произошло подобное событие, создаётся отчёт, отправляется оповещение, и безопасник это видит. Иногда требуется его решение, но чаще инцидент просто размечается тегами и сохраняется для дальнейшего расследования. Часто это происходит, потому что руководитель или кто-то из топ-менеджеров приняли этот риск для ускорения какой-то задачи в обход требований ИБ.

Ещё мы фиксировали, например, следующий инцидент: пользователь заносит с USB-потока на рабочую станцию договор аренды квартиры, потом редактирует его и отправляет с рабочей станции через мессенджер другому человеку. Это оказался частный договор, просто один другому квартиру сдавал но шаблон был характерен для злонамеренных действий.

На что срабатывает UAM?


UAM фиксирует и анализирует действия пользователя, сравнивает их с обычными для него же или для группы сотрудников. В качестве оценки используются разные маркеры, например, отправка команд на сервер, время работы с корпоративными приложениями, работа в сети интернет всё это помогает оценивать продуктивность и подсвечивать риски для безопасников и менеджмента.

В банковской сфере UAM часто используют для того, чтобы построить картину рабочего дня, проанализировать действия, которые произошли в момент важного инцидента, либо для того, чтобы сисадмин или подрядчик при уходе не хлопнул дверью, оставив крон-задачу на проде со сроком в три-четыре месяца. UAM следит за тем, насколько критичные действия совершает пользователь, и помогает восстановить всю цепочку действий.

То есть безопасники видят все данные рабочей станции, даже личные?


Да. Например, если вы покупаете билет в командировку и вводите номер личной кредитки, то вы показываете его ИБ.

Обычно на уровне предприятия при принятии на работу дополнительным соглашением к трудовым закрепляется, что на рабочих станциях обрабатываются лишь только рабочие данные, то есть личных данных там не должно быть.

Скрины из StaffCop.

image
Лог активностей пользователя на своём рабочем месте, где мы можем понять, с какими приложениями пользователь работал, что именно было в этот момент на экране.

image
Скрин экрана пользователя в момент определённого действия.

Для примера скрины из другой UAM-системы Teramind.

image
Скрин поведенческого анализа, где видна прогнозная и ситуационная аналитика, основанная на машинном обучении, регрессионном анализе и алгоритме оценки рисков.

Создание поведенческого профиля с учётом активности пользователя, шаблона данных и других атрибутов (время суток, расписание, назначенный проект и пр.) помогает обнаруживать аномальную активность в приложениях, веб-трафике, файловых операциях.

image
Скрин отчётности системы, где можно отслеживать потенциальных инсайдеров, департаменты, где они работают, а также приложения, через которые может произойти утечка.

Как отреагировали люди?


Сотрудники никак особо. Подрядчики легко приняли новые правила игры. Но для них ничего не изменилось, то есть так они были связаны только NDA с заказчиком, так появился ещё и дополнительный способ контроля.
Подробнее..

8 последствий переработок руководителя

09.06.2021 12:21:23 | Автор: admin
image

Как вы охарактеризуете руководителя, который работает не 8-9 часов, а 11-12? Это хорошо и можно его назвать вовлеченным, или есть нюансы?

Надеюсь перед ответом на эти вопросы вы немного задумались и не спешили отвечать. На самом деле, действительно есть нюансы и нет единого правильного ответа.

Основным аргументом в причине переработок является желание сделать больше. Если это получается, это несомненный плюс. Но, предлагаю также рассмотреть и минуса, на которые редко обращают внимание

________________________________________________

Возможные последствия переработок руководителя:



1. Усталость и выгорание



Логичным следствием регулярных переработок является усталость. И, не столько физическая, сколько моральная и умственная. Когда руководитель работает по 12-14 часов, его мозг устает, и на следующий день долго запускается и в течении дня сильно тормозит. От чего руководитель может: упускать важные детали, принимать не оптимальные решения, допускать ошибки, говорить глупости, резко реагировать на ошибки сотрудников, .

При этом, есть исключение. Переработка не вызывает негативной усталости, когда руководитель любит свою работу и она для него как хобби. Соответственно, все вышеперечисленные последствия могут не проявляться, либо проявляются в меньшей степени.

2. Лишние расходы компании



Я говорю не только про сверхурочные, которые компания должна заплатить. Давайте посмотрим еще с другой стороны. Переработки руководителя часто связаны с выполнением им непрофильной работы, которая имеет меньшие квалификационные требования. Попросту говоря, руководитель делает то, что легко может выполнить кто-то менее квалифицированный и важный. Соответственно, такая работа стоит дешевле. И, так как, в большинстве компаний нет градации и тарификации в зависимости от работ, и компании приходится платить за часы выполнения этой работы по прайсу часов руководителя.

Чтобы было проще понять, разберем на примере:

Вводные

Задание: посчитать, сколько осталось в наличии винтовых гвоздей.
Ориентировочная продолжительность выполнения: 4 часа
Тариф руководителя: 10$/час
Тариф сотрудника: 5$/час

Моделируем ситуацию

Руководителю приходит такое задание. Он, глянув на своих сотрудников и на их серьезный вид, делает вывод, что все заняты, и решает взять это задание на себя. Плюс ко всему, он уверен, что никто лучше него с этим не справится и он сможет сделать его быстрее и качественнее. На выходе так и получается: руководитель выполняет задание за 3 часа (на час быстрее). Но, действительно ли это победа для компании? Подобьем итоги:

  • задание выполнено быстрее и обошлось в 30$. При этом, даже, если бы оно было выполнено за 4 часа, оно было-бы дешевле 20$. Даже, если бы за 5 часов это было бы 25$, что, также, дешевле;
  • компания сэкономила 3 часа работы штатного сотрудника, при этом потеряла 3 часа работы руководителя (более квалифицированного и более важного).


Не утверждаю, что подобная математика это всегда правильно. Иногда выгоднее потратить время руководителя, чем время сотрудника. Особенно, если сотрудник работает над уникальным проектом, его нельзя отрывать и его никто заменить не может. Но, всегда ли это так?

3. Не успевает выполнять свои обязанности, которые более сложны



Продолжение и следствие предыдущего минуса. Из-за того, что руководитель загружает свой график непрофильной работой, у него не остается времени на работу, которая положена ему должностью, и которую кроме него точно никто не выполнит.

Часто такой работой становится именно управленческая функция: планирование, делегирование, контроль,. Руководитель не успевает проводить анализ достижения целей подразделения, руководитель не успевает вырабатывать решения по нейтрализации отклонений, руководитель не успевает проводить профилактические мероприятия для недопущения отклонений. Сотрудники такого руководителя недосмотрены, недохвалены, недообучены. Ему некогда!

Как понимаете это замкнутый круг: чем больше руководитель работает руками -> тем меньше у него времени на то, чтобы обучить этой работе кого-то -> тем больше ему приходится выполнять работ самостоятельно

Поэтому, руководителю приходится растягивать свой рабочий день еще на несколько часов, так как он просто не успеет все сделать.

4. Разрешение быть непрофессиональным



Переработки позволяют руководителю избегать развития и практики управления. Ему не нужно учится делегировать, не нужно учиться контролировать. Зачем ему кого-то принуждать и становится плохим человеком? Можно поработать больше и сделать все самому.

Кроме того, есть же правило: хочешь сделать хорошо сделай это сам. Это еще один аргумент, почему не стоит кому-то поручать.

5. Разрешение быть неэффективным



Переработки позволяют руководителю не думать об эффективности и планирование своего рабочего дня. Когда твой рабочий график не нормированный, можно не париться над тем, чтобы оптимально тратить время в течении дня: можно не готовится к совещаниям (подготовка бы сократила длительность), можно посмотреть видосики в течении дня, можно пойти долго попить кофе, можно принимать всех приходящих к тебе и всем говорить да. К чему себя ужимать и куда-то спешить, если можно растянуть рабочий день до 10-12 часов и спокойно все сделать?

6. Балованная структура



Как правило, у руководителя, который регулярно перерабатывает, сотрудники живут легко и хорошо. И проблема тут не в том, что им хорошо, а в том, что он их балует. Вместо того, чтобы проанализировать свою работу, работу своих сотрудников, нагрузку в течении дня, найти возможности для оптимизации времени и усилий, что-то автоматизировать, что-то упростить руководитель выбирает путь переработки. Мол, у нас нет времени, все загружены, поэтому мне приходится работать больше.

Сотрудники привыкают к полурасслабленному режиму, и потом, когда поменяется власть, либо в голове у руководителя произойдут изменения, такую структуру будет сложно расшевелить (без последствий).

7. Демотивация



Среднестатистический руководитель более квалифицированный, чем среднестатистический сотрудник. Он это понимает, и для него это один из важных фильтров. И, когда такому руководителю приходится выполнять работу, которая не требует всех его знаний, навыков и опыта (менее квалифицированную), она его, мягко говоря, не радует.

Когда это временная акция это терпимо. Если же это постоянная необходимость это может быть сильным фактором демотивации.

8. Игнорирование человеческого потенциала



Когда руководитель имеет в своем арсенале инструмент возможность переработать, он становится менее проактивным и меньше обращает внимание на потенциал сотрудников.

Так, если руководитель не может задерживаться, он всячески будет стараться находить внутри структуры возможности. Он изучит своих сотрудников, он их будет развивать, он будет использовать их потенциал на 100%. Все для того, чтобы успеть вовремя. Его это мотивирует, чтобы находить возможности!
________________________________________________

Выводы:



1) Если ваш подчиненный руководитель и он перерабатывает разберитесь, с чем это связано.

Я выделяю три популярные причины:

  • личное желание руководителя;
  • производственная необходимость;
  • так принято.


Самая страшная причина так принято. Она означает, что в компании существует негласное правило: кто много работает тот молодец. Угадайте кто виноват в существовании такого правила?:)

Остальные две причины более адекватные и требуют глубокого анализа. Если это личное желание это похвально, но стоит побеспокоится о том, чтобы это не влияло на структуру (проблемы 6 и 8). Если это производственная необходимость стоит ее проанализировать и понять, действительно ли переработка это единственный и правильный вариант.

Но, даже, если ваш подчиненный руководитель не перерабатывает, все равно обратите внимание на работы, которые он выполняет в течении рабочего дня и насколько они соответствуют его квалификации и функционалу. Если окажется, что он выполняет работы, которые легко можно перепоручить и есть кому и этот кто-то имеет время, сделайте это. Даже, если руководителю вместо этой работы нечего будет дать (что очень сомнительно), пусть лучше он останется с пустым от работы окном, чем будет забирать хлеб подчиненных.

2) Если вы руководитель и вы перерабатываете подумайте над описанными последствиями. Ведь, если вы перерабатываете, значит вы хотите сделать благо компании. А раз вы преследуете благие намерения, вы должны думать комплексно, чтобы не получилось, что, с одной стороны, вы приносите пользу, а с другой, вредите. И, в итоге, окажется, что лучше бы вы вовсе бы не делали эту пользу

Общий вывод:


Переработки это не плохо и не хорошо. Факт переработок просто показывает время, которое сотрудник тратит на выполнение своих функций и никак не может являться показателем его эффективности. Мы не должны ориентироваться на стереотипы перерабатывает значит молодец и вовлеченный или в 18:00 его уже нет значит ему пофиг на компанию. Нет! Увы, все намного сложнее и в каждом отдельном случае стоит покопаться в деталях. Что вам и советую регулярно делать!

Другие кейсы находите в telegram-канале: t.me/OS_management
Подписывайтесь! Далее будет
Подробнее..

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru