Для малого бизнеса
+7 (499) 673-37-62

18.07.2025

Запись действий пользователей

Запись действий пользователей

Получить консультацию по Solar SafeInspect

Для защиты чувствительной информации компании выбирают разные стратегии, одним из важных элементов которых является контроль действий как штатных и удаленных сотрудников, так и аутсорсеров. В частности, речь идет о мониторинге в режиме реального времени и записи рабочих сеансов пользователей. Рассказываем, как этот подход позволяет предотвращать инциденты ИБ и облегчает проведение расследований.

Что такое запись действий пользователей

Под записью действий пользователя понимают фиксацию всех сессий в рамках рабочего сеанса. Эти данные сохраняют, чтобы при необходимости проверить качество выполнения работы или провести расследование инцидента ИБ.

Существуют специальные программы для записи действий пользователя и аналитики собранных сведений. Также для этого могут использоваться системы Privilege Access Management (PAM), предоставляющие инструменты для контроля работы привилегированных пользователей, с которыми связаны повышенные риски ИБ.

запись сеанса пользователя

Зачем делать записи действий пользователей

Сотрудники и специалисты на аутсорсе могут допускать ошибки в работе либо совершать намеренные нарушения, которые становятся причиной инцидентов ИБ. Также не исключается несанкционированное использование скомпрометированных привилегированных учетных данных — в таких случаях в инфраструктуру могут проникнуть посторонние лица с целью нанести вред или видоизменить/украсть чувствительную информацию. Риски инцидентов ИБ возрастают, если не контролировать действия пользователей.

Как запись сеансов пользователей позволит повысить уровень безопасности ИТ-инфраструктуры:

  • Отвечающие за информационную безопасность лица смогут контролировать соблюдение политик доступа и оперативно предотвращать нарушения.
  • Благодаря записям действий пользователей будет понятно, кто и с какими чувствительными данными работал, какие операции совершал.
  • Расследования инцидентов ИБ будут проходить более эффективно за счет того, что у специалистов появится достоверная информация о действиях в инфраструктуре.
  • Благодаря записям сессий пользователей проще проводить аудит действий сотрудников с расширенными правами доступа.

Чтобы использовать собранную информацию в перечисленных целях, необходимо, чтобы она была доступна в удобном формате. Именно поэтому некоторые компании используют не специальные программы для записи действий пользователя, а PAM-систему. Она не просто делает запись экрана, а собирает метаданные сессий и индексирует эти записи. Это позволяет накапливать качественную статистику по всем подключениям пользователей и анализировать как параметры этих подключений, так и события в рамках сессий.

Применение PAM-системы Solar SafeInspect для записи сессий пользователей

Solar SafeInspect — надежное и удобное в эксплуатации решение класса PAM, предназначенное для управления привилегированным доступом. Оно позволяет контролировать действия сотрудников, у которых есть доступ к объектам ИТ-инфраструктуры, базам данных, средствам защиты информации.

Перечислим ключевые задачи, решаемые Solar SafeInspect:

  • Проксирование сеансов пользователей с расширенными правами доступа.
  • Мониторинг работы привилегированных пользователей в режиме реального времени.
  • Запись сессий привилегированных пользователей, хранение этих данных и предоставление инструментов для их детального анализа.
  • Предоставление привилегированного доступа к объектам ИТ-инфраструктуры на базе корпоративных политик безопасности.
  • Обеспечение безопасности учетных данных пользователей с расширенными правами доступа: сокрытие и подстановка паролей в рамках сессий, смена паролей по заранее настроенному расписанию.

С помощью Solar SafeInspect обеспечивается всесторонний контроль за работой привилегированных пользователей, что позволяет повышать уровень ИБ в организации и соблюдать отраслевые требования, которые касаются порядка обращения с критически важной информацией.

Основные функции PAM-системы для записи действий пользователей и аналитики собранных данных

Система Solar SafeInspect может обрабатывать видео- и текстовые данные о действиях пользователей. Эта функция выполняется независимо от того, в каком режиме работает РАМ-решение (всего возможны три сценария: сетевой мост, маршрутизатор, «Бастион»). Система не только делает записи сеансов пользователей, но и при соответствующих настройках отправляет ответственным лицам уведомления о подозрительных действиях либо разрывает соединение.

Также Solar SafeInspect предоставляет гибкие возможности для хранения и анализа записанных сеансов. Эта функция полезна сотрудникам службы ИБ и аудиторам. В нужный момент специалисты смогут получить доступ ко всем собранным данным.

С целью более эффективного контроля за действиями штатных и внештатных работников Solar SafeInspect может интегрироваться с продуктами Identity and Access Management (IdM) Solar inRights для управления доступом, Data Leak Prevention (DLP) Solar Dozor для предотвращения внутренних инцидентов ИБ, а также с системой Security Information and Event Management (SIEM) для управления событиями безопасности. Все эти решения не делают записи действий пользователей, но собирают данные из системных журналов.

запись сеансов пользователей

Как запись сеансов пользователей с помощью Solar SafeInspect помогает в расследовании инцидентов ИБ

Покажем на реальном примере, как запись действий пользователей позволила установить лиц, причастных к атаке на государственную организацию. Атакующие пытались взломать Exchange, закрепиться в ИТ-инфраструктуре, получить доступ к электронному документообороту через терминальные серверы и завладеть важными засекреченными документами.

Эксперты Solar 4RAYS обнаружили следы начала атаки в событиях, собранных SIEM-системой. Были зафиксированы запросы с IP-адреса, уже ставшего индикатором компрометации. Запросы под сертификатом одного пользователя поступали к данным учетной записи другого пользователя. Выяснилось, что сертификат и учетная запись принадлежали подрядчику компании и были скомпрометированы злоумышленниками.

Как удалось установить факт несанкционированного доступа к чувствительным данным с учетом того, что злоумышленная деятельность разворачивалась в ночное время? Только благодаря тому, что система Solar SafeInspect круглосуточно осуществляла запись сеанса пользователей.

ЗАКЛЮЧЕНИЕ

Запись сессий пользователей (особенно сотрудников с расширенными правами доступа) — важный инструмент для контроля безопасности ИТ-инфраструктуры. Такая практика позволяет обнаруживать нарушения политик ИБ по факту совершения, эффективно проводить расследования, оценивать качество выполнения служебных обязанностей работниками и др. Для записи действий пользователей можно применять РАМ-систему Solar SafeInspect, которая предоставляет и другие инструменты для контроля привилегированного доступа.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Система контроля действий привилегированных пользователей

Система контроля действий привилегированных пользователей

Узнать больше
SSH и RDP: распространенные протоколы подключения

SSH и RDP: распространенные протоколы подключения

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.