사용자 액티비티 감시

정보보안 분야에서 User Activity Monitoring(UAM; 사용자 액티비티 모니터링)은 사용자 액션의 감시 및 기록입니다.UAM은 애플리케이션 사용, 창 열기, 시스템 명령 실행, 체크박스 클릭, 텍스트 입력/편집, 방문 URL 및 기타 거의 모든 화면 이벤트를 캡처하여 직원과 계약업체가 할당된 작업 내에 머무르고 조직에 위험을 초래하지 않도록 함으로써 데이터를 보호합니다.

유저 액티비티 감시 소프트웨어는, 유저 액티비티의 비디오와 같은 재생을 가능하게 해, 유저 액티비티 로그에 비디오를 처리해, 범위외의 액티비티를 ^[1]조사하기 위해서 검색 및 분석할 수 있는 유저 액티비티의 순서를 기록할 수 있습니다.

문제들

사용자 자격 증명이 직간접적으로 관련되어 회사 정보나 기밀 파일이 노출되는 보안 사고가 증가함에 따라 UAM의 필요성이 높아졌습니다.2014년에는 미국에서 761건의 데이터 침해가 발생하여 8,300만 건 이상의 고객 ^[2]및 직원 기록이 유출되었습니다.이러한 침해의 76%가 취약하거나 악용된 사용자 자격 정보로 인해 발생하므로 UAM은 IT ^[3]인프라의 중요한 구성요소가 되었습니다.UAM이 위험을 완화하는 것을 목적으로 하는 주요 사용자 집단은 다음과 같습니다.

청부업자

청부업자는 조직에서 정보기술 운영 태스크를 완료하기 위해 사용됩니다.기업의 데이터에 액세스 할 수 있는 리모트 벤더는 리스크입니다.악의적인 의도가 없는 경우에도 계약자와 같은 외부 사용자는 보안상의 큰 문제가 됩니다.

사용자

일반 비즈니스 사용자의 70%가 필요 이상으로 많은 데이터에 액세스할 수 있음을 인정했습니다.일반 계정을 통해 일반 비즈니스 사용자는 회사 기밀 데이터에 ^[4]액세스할 수 있습니다.이를 통해 일반 계정을 사용하는 모든 비즈니스에서 내부자 위협이 현실화됩니다.

IT 사용자

관리자 계정은 접근성이 높기 때문에 감시를 많이 받습니다.그러나 현재 로그 도구는 이러한 관리자 계정에서 "로그 피로"를 유발할 수 있습니다.로그 피로는 너무 많은 사용자 작업으로 인해 계정에서 방대한 양의 로그를 처리하려고 할 때 느끼는 압도적인 감각입니다.매일 수천 건의 사용자 액션이 컴파일되므로 유해한 사용자 액션은 쉽게 간과될 수 있습니다.

전체적인 리스크

Verizon Data Breach Incident Report에 따르면 "데이터를 보호하기 위한 첫 번째 단계는 데이터의 위치와 액세스 ^[2]권한을 파악하는 것입니다."오늘날의 IT 환경에서는 "직원들 중 누가 기밀 기밀 정보에 액세스할 수 있는지에 대한 감독 및 제어가 부족합니다."^[5] 이러한 명백한 격차는 기업의 보안 문제를 야기하는 많은 요인 중 하나입니다.

구성 요소들

UAM을 사용하는 대부분의 기업은 일반적으로 UAM의 필요한 부분을 3개의 주요 컴포넌트로 나눕니다.

비주얼 포렌식

비주얼 포렌식에서는 잠재적으로 위험한 사용자 활동에 대한 시각적 요약을 작성합니다.각 사용자 작업이 기록되고 기록됩니다.사용자 세션이 완료되면 UAM은 사용자가 수행한 작업을 캡처한 화면이든 비디오이든 상관없이 기록된 레코드와 시각적 레코드를 모두 생성합니다.이 레코드는 시스템레벨이 아닌 사용자 레벨에서 데이터를 캡처하기 때문에 SIEM 또는 로깅툴과는 다릅니다.이 레코드는 원래 디버깅을 목적으로 작성된 것이 아니라 평이한 영문 로그를 제공하기 때문입니다.이러한 텍스트 로그는 해당 화면 캡처 또는 비디오 요약과 쌍을 이룹니다.이러한 대응 로그와 이미지를 사용하여 UAM의 비주얼 포렌식 컴포넌트를 통해 조직은 보안 사고 시 정확한 사용자 액션을 검색할 수 있습니다.보안 위협(데이터 침해 등)의 경우 Visual Forensic을 사용하여 사용자가 정확히 무엇을 했는지와 사고의 원인이 되는 모든 것을 보여줍니다.또한 시각적 포렌식을 사용하여 침입을 수사하는 모든 법 집행 기관에 증거를 제공할 수 있습니다.

사용자 액티비티 경고

사용자 액티비티 경고는 UAM 솔루션을 운용하는 모든 사용자에게 회사 정보에 관한 사고 또는 잘못된 절차를 통지하는 것을 목적으로 합니다.실시간 경보를 사용하면 오류 또는 침입 발생 시 콘솔 관리자에게 알릴 수 있습니다.경고는 각 사용자에 대해 집계되어 사용자 리스크 프로파일과 위협 순위를 제공합니다.경고는 사용자, 작업, 시간, 위치 및 액세스 방법의 조합에 따라 사용자 정의할 수 있습니다.경고는 응용 프로그램을 열거나 특정 키워드 또는 웹 주소를 입력하는 것만으로 트리거할 수 있습니다.또한 사용자 삭제 또는 생성, 특정 명령 실행 등 응용 프로그램 내의 사용자 작업에 따라 경보를 사용자 정의할 수도 있습니다.

사용자 행동 분석

사용자 동작 분석은 보안 전문가가 체인에서 가장 취약한 고리를 감시하는 데 도움이 되는 추가적인 보호 계층을 추가합니다.사용자의 동작을 감시함으로써 보안 전문가는 세션 중에 사용자가 수행하는 작업을 정확하게 분석하는 전용 소프트웨어를 사용하여 특정 사용자 및/또는 그룹에 위험 요소를 부가할 수 있으며, 고위험 사용자가 고위험 액션으로 해석될 수 있는 작업을 했을 때 즉시 경고 메시지를 표시할 수 있습니다.고객 기밀 정보 내보내기, 역할 범위 밖의 대규모 데이터베이스 쿼리 실행, 접근해서는 안 되는 리소스 액세스 등입니다.

특징들

액티비티 캡처

UAM은 애플리케이션, 웹 페이지, 내부 시스템 및 데이터베이스에 모든 사용자의 활동을 기록함으로써 사용자 데이터를 수집합니다.UAM은 모든 접근레벨과 접근전략(RDP, SSH, Telnet, ICA, 직접 콘솔로그인 등)에 걸쳐 있습니다.일부 UAM 솔루션은 Citrix 및 VMware 환경과 조합됩니다.

사용자 액티비티 로그

UAM 솔루션은 문서화된 모든 액티비티를 사용자 액티비티 로그에 기록합니다.UAM 로그는 동시 액션의 비디오 재생과 일치합니다.기록된 항목의 예로는 실행 중인 응용 프로그램 이름, 열린 페이지 제목, URL, 텍스트(입력, 편집, 복사/붙여넣기), 명령어 및 스크립트 등이 있습니다.

비디오와 같은 재생

UAM은 개개의 사용자 액션을 캡처하는 화면 기록 기술을 사용합니다.비디오와 같은 각 재생이 저장되고 사용자 작업 로그가 첨부됩니다.재생은 기존의 비디오 재생과 화면 스크랩(순차적인 스크린샷을 비디오와 같은 재생으로 컴파일하는 방식)으로 다릅니다.유저 액티비티 로그를 비디오와 같은 재생과 조합하면, 모든 유저의 액션을 검색 가능하게 요약할 수 있습니다.이를 통해 기업은 특정 사용자가 회사 시스템에서 수행한 작업을 읽을 수 있을 뿐만 아니라 정확하게 볼 수 있습니다.

사생활

일부 기업과 직원들은 UAM의 ^[which?]사용자 개인 정보 보호 측면에 문제를 제기했습니다.이들은 직원들이 보안 목적으로 수행되더라도 자신의 행동을 감시하는 것에 대해 거부감을 가질 것으로 믿고 있습니다.실제로 대부분의 UAM 전략은 이러한 우려에 대응하고 있습니다.

모든 사용자 액션을 감시할 수 있지만 UAM 시스템의 목적은 직원의 브라우징 이력을 감시하는 것이 아닙니다.UAM 솔루션은 정책 기반 액티비티 기록을 사용합니다.이것에 의해, 콘솔 관리자는 감시 대상과 감시 대상이 아닌 것을 정확하게 프로그램 할 수 있습니다.

감사 및 컴플라이언스

많은 규제는 일정 수준의 UAM을 요구하는 반면 다른 규제는 감사 목적으로만 작업 로그를 요구합니다.UAM은 다양한 법령 준수 요건(HIPAA, ISO 27001, SOX, PCI 등)을 충족합니다.UAM은 일반적으로 감사와 컴플라이언스를 목적으로 구현되어 기업이 감사를 보다 쉽고 효율적으로 수행할 수 있도록 합니다.사용자 액티비티에 대한 정보에 대한 감사 정보 요구는 UAM에 의해 충족될 수 있습니다.통상의 로그나 SIEM 툴과는 달리, UAM은, 한층 더 복잡한 규제 환경을 조작하기 위해서 필요한 제어를 구축해, 감사 프로세스를 고속화할 수 있습니다.사용자 액션을 재생하는 기능은 보안 사고 대응 중에 규제된 정보에 대한 영향을 판단하기 위한 지원을 제공합니다.

어플라이언스와 소프트웨어

UAM에는 2개의 배치 모델이 있습니다.전용 하드웨어를 사용하여 네트워크 트래픽을 조사하여 모니터링을 수행하는 어플라이언스 기반 모니터링 접근법.사용자가 액세스하는 노드에 설치된 소프트웨어 에이전트를 사용하는 소프트웨어 기반 모니터링 접근 방식입니다.

일반적으로 소프트웨어는 사용자가 감시하는 시스템(서버, 데스크톱, VDI 서버, 터미널 서버)에 에이전트를 설치해야 합니다.이러한 에이전트는 사용자 작업을 캡처하고 저장 및 분석을 위해 정보를 중앙 콘솔에 보고합니다.이러한 솔루션은, 리스크가 높은 유저와 기밀 정보를 가지는 시스템을 우선 타겟으로 하는 것으로써, 신속히 도입해, 비즈니스의 요구에 따라서 새로운 유저층까지 확장할 수 있습니다.

레퍼런스

^ "What is User Activity Monitoring Software?". ActivTrak. 17 February 2019. Retrieved 5 March 2019.
^ ^a ^b "Data Breach Reports" (PDF). Identity Theft Resource Center. 31 December 2014. Retrieved 19 January 2015.
^ "2014 Data Breach Investigation Report". Verizon. 14 April 2014. Retrieved 19 January 2015.
^ "Virtualisation: Exposing the Intangible Enterprise". Enterprise Management Associates. 14 August 2014. Retrieved 19 January 2015.
^ "Corporate Data: A Protected Asset or a Ticking Time Bomb?" (PDF). Ponemon Institute. December 2014. Retrieved 19 January 2015.

[Example_of_Activity_Monitoring_Software-1] "What is User Activity Monitoring Software?". ActivTrak. 17 February 2019. Retrieved 5 March 2019.

[Verizon_DBIR_2014-2] "Data Breach Reports" (PDF). Identity Theft Resource Center. 31 December 2014. Retrieved 19 January 2015.

[3] "2014 Data Breach Investigation Report". Verizon. 14 April 2014. Retrieved 19 January 2015.

[4] "Virtualisation: Exposing the Intangible Enterprise". Enterprise Management Associates. 14 August 2014. Retrieved 19 January 2015.

[5] "Corporate Data: A Protected Asset or a Ticking Time Bomb?" (PDF). Ponemon Institute. December 2014. Retrieved 19 January 2015.

[1]

[2]

[3]

[4]

[5]

Search