Среда! И снова наша рубрика с полезными ответами!
Как работает СКДПУ НТ?
СКДПУ НТ – комплексный продукт.
СКДПУ НТ Шлюз доступа непосредственно предоставляет доступ для пользователей. Чаще всего в инфраструктуре он располагается в логическом разрыве между пользователями и целевыми серверами, которые необходимо защищать – это так называемый режим «Бастион».
Пользователь подключается к Шлюзу доступа по целевому протоколу, к примеру, SSH или RDP, проходит авторизацию и аутентификацию в системе, и только после этого ему может быть предоставлен доступ к целевому устройству в соответствии с заданными политиками ИБ.
После установления сессии Шлюз доступа записывает максимально возможное количество событий (клавиатурный ввод, заголовки окон, запуск/остановку процессов, буфер обмена и многое другое).
Офицер ИБ или сотрудник ИТ, отвечающий за аудит сессий, в этот момент начинает получать информацию о событиях в пользовательских сессиях и может прерывать нелегитимные сессии, если это необходимо. Это описание лишь части процесса доступа, который можно реализовать.
СКДПУ НТ Мониторинг и аналитика как часть комплексного решения собирает и анализирует всю поступающую от Шлюза доступа информацию и проводит первичную обработку данных по алгоритмам сравнения паттернов, математической статистике и машинному обучению. Задача системы – уменьшить объем информации для ручного анализа пользователем. На основе алгоритмов обработки система способна определять отклонения от нормального поведения пользователей. Любое такое отклонение фиксируется в системе как Инцидент безопасности удаленного доступа. Инциденты в свою очередь и обрабатываются человеком.
Такой подход снижает количество событий для анализа на несколько порядков. А удобная система мастера отчетов с функцией планировщика позволяет получать готовые преднастроенные отчеты за выбранные периоды на постоянной основе.
