7.07. Контроль и отслеживание

В РАЗРАБОТКЕНЕ ДЛЯ НОВИЧКОВНЕ ОБЯЗАТЕЛЬНО

Разработчику Инженеру

Контроль и отслеживание

Отслеживание действий, перехват и защита конфиденциальности подразумевает процесс логирования, мониторинга и анализа активности внутри системы для выявления подозрительных действий и обеспечения конфиденциальности данных.

Это нужно для обнаружения несанкционированного доступа, требуется для соблюдения GDPR/CCPA/152-ФЗ, используется для расследования инцидентов и аудита изменений.

Как реализовать?

1. Логирование всех действий. Все операции с данными, входы, изменения прав.
2. Мониторинг в реальном времени. Используется при помощи SIEM, Datadog, ELK.
3. Шифрование трафика. Используется с HTTPS, TLS, end-to-end encryption.
4. Анонимизация логов подразумевает отказ от хранения персональных данных напрямую.
5. RBAC / ABAC для разграничения прав.
6. Audit trail - журнал изменений.

Какие инструменты используются?

• SIEM (Security Information and Event Management) : Splunk, QRadar, Graylog;
• User and Entity Behavior Analytics (UEBA) : анализ поведения;
• ELK Stack : Elasticsearch + Logstash + Kibana;
• Datadog Security Monitoring;
• AWS CloudTrail / Azure Monitor.

Контроль включает в себя не только изучение и мониторинг, но и своевременное реагирование. Здесь важно выделить аварийное восстановление (Disaster Recovery Plan, DRP) - план действий, позволяющий восстановить работу сервиса после катастрофы, такой как сбой оборудования, утечка данных, DDoS, взлом, природная катастрофа.

Основные этапы плана по аварийному восстановлению:

• Подготовка – обучение команды, документация, резервные копии;
• Обнаружение – обнаружение проблемы через мониторинг;
• Ограничение ущерба – изоляция систем, откат до безопасного состояния;
• Восстановление – загрузка бэкапов, патчи, переключение на standby-серверы;
• Уроки – анализ инцидента, обновление процедур.

DRP включает в себя список ответственных лиц, процедуру восстановления (ручную и автоматическую), точки восстановления, время восстановления, бэкапы (локальные+облачные) и проверку плана. Контроль как раз подразумевает, что этот план должен быть работоспособным.

• Точки восстановления (RPO, Recovery Point Objective): данные могут быть потеряны максимум за 1 час;
• Время восстановления (RTO, Recovery Time Objective): система должна восстановиться за 2 часа.

Контроль угроз и уязвимостей же включает в себя регулярный поиск, оценка и устранение уязвимостей в коде, зависимостях и инфраструктуре.

Инструменты:

Тип	Инструменты
SAST (Static Application Security Testing)	SonarQube, Bandit, Checkmarx
DAST (Dynamic Application Security Testing)	OWASP ZAP, Burp Suite, Nuclei
SCA (Software Composition Analysis)	Snyk, Dependabot, OWASP Dependency-Check
IAST (Interactive Application Security Testing)	Contrast Security, Seeker
Vulnerability Scanning	Nessus, OpenVAS, Qualys
Threat Intelligence	VirusTotal, AlienVault OTX, Mandiant

Контроль трафика включает использование WAF для блокировки XSS, SQLi, фильтрацию запросов через CORS, CSP, rate limiting и DDoS-защиту (Cloudflare, AWS Shield, Radware). Аудит и мониторинг включает логирование всех событий, анализ, алерты на подозрительную активность, регулярные отчёты. Важно также отметить IDPS (Intrusion Detection & Prevention System). IDS обнаруживает подозрительную активность, а IPS автоматически блокирует угрозы.

Отслеживание действий

Особенно актуально когда выполняется контроль и мониторинг в корпоративной сети, к примеру, когда осуществляется удалённый доступ через VPN.

Как организовать безопасный удалённый доступ и что можно отслеживать?

1. Как устроена типичная схема.

Удалённый пользователь → Подключается к VPN → становится частью внутренней сети → Получает доступ к:
	- Файловому серверу
	- Домену (Active Directory)
	- Внутренним сервисам (например, ERP, CRM)

Здесь основными компонентами будут:

• VPN-сервер (например, OpenVPN, WireGuard, Microsoft RRAS)
• Файловый сервер (например, Windows Server + SMB или NAS)
• Active Directory / LDAP
• Групповая политика (GPO)
• Мониторинг активности
• Антивирус / EDR

Что можно отслеживать?

Всё, что делает пользователь внутри домена, можно логировать и анализировать, если настроить правильно.

Тип активности	Что можно отследить	Инструменты
Посещаемые сайты	Все HTTP/HTTPS-запросы через прокси или transparent proxy	Squid, Zscaler, Cisco Talos Intelligence
Загрузка файлов	Кто, что скачал, скопировал, удалил	File Server Resource Manager (FSRM), EDR
Использование USB-устройств	Что подключалось, какие файлы копировались	GPO, DLP, Endpoint Security
Программы, которые запускает пользователь	Имя процесса, путь, PID	Sysmon, EDR, SIEM
Созданные процессы, команды в CMD/PowerShell	Полный список запущенных процессов и команд	Sysmon, PowerShell logging, EDR
Входы и выходы из системы	Когда вошёл, с какого IP, длительность сессии	Event Viewer, SIEM, Active Directory Logs
Изменения в системе	Изменение политик, прав доступа, записей реестра	Auditpol, Sysmon, GPO
DNS-запросы	Какие домены запрашивал пользователь	DNS Logging, Windows Event Logs
Сетевой трафик	С кем общается клиент, порт, протокол	Wireshark, Zeek (Bro), Suricata
Email-активность	Отправка/чтение писем (при использовании Exchange)	Exchange logs, mail tracking

Что может видеть администратор при полном контроле?

Пользователь сделал	Что может знать администратор
Заходит через VPN	Логин, IP-адрес, время входа, тип устройства
Перешёл на сайт	Факт запроса зафиксирован в логах прокси или WAF
Скопировал файл с сервера	Данные о пользователе, файле, целевом расположении и времени операции — доступны в FSRM или DLP
Запустил powershell.exe с вредоносным скриптом	Подробная запись выполнения команд в логах Sysmon или PowerShell
Подключил флешку и скопировал данные	Устройство распознано системой; действия залогированы через GPO или DLP
Открыл документ Word и сохранил его	Возможность отслеживания изменений при использовании DLP или совместного хранения (SharePoint)
Попытался получить доступ к запрещённой папке	Запись события в Event Viewer, автоматическое оповещение в SIEM
Вызвал cmd.exe и попытался выполнить команду	Логирование через Sysmon и политики групповой безопасности (GPO)
Отправил email с конфиденциальной информацией	Обнаруживается и блокируется с помощью решений DLP

Что реально можно реализовать в компании?

Возможности отслеживания:

Уровень	Что можно отследить	Как это сделать
Сеть	Посещаемые сайты, DNS-запросы, сетевые соединения	Transparent Proxy, DPI (глубокий анализ пакетов), межсетевые экраны, снифферы
Файлы	Кто, что, куда копирует	DLP, FSRM, File Integrity Monitoring
Процессы	Что запускается, какие команды выполняются	Sysmon, PowerShell Transcription, EDR-решения
Пользовательская активность	Входы в систему, действия, запросы к ресурсам	Журналы Active Directory, SIEM, EDR
USB-устройства	Подключение устройств, копирование данных	Групповые политики (GPO), контроль устройств в EDR
Почта	Объём, содержимое, получатели	DLP, Exchange Journaling
Клиентские устройства	Наличие антивируса, статус обновлений, наличие root-доступа	EDR, MDM (Intune), SCCM

Что нельзя или сложно отследить?

Активность	Почему сложно	Как частично решить
Чаты в Telegram/WhatsApp	Шифрованный end-to-end трафик, отсутствие доступа к содержимому	Блокировка доменов, фильтрация на уровне сети, политики использования
Локальные копии документов	Не проходят через централизованные системы мониторинга	Шифрование дисков (BitLocker), ограничение копирования, использование DLP
Скрытая работа через VNC/TeamViewer	Возможность обхода корпоративных политик	Запрет программ через AppLocker, мониторинг активности с помощью EDR
Обёртки (containers)	Docker-контейнеры могут запускать вредоносный код в изолированной среде	Мониторинг контейнеров, применение CIS Benchmarks для платформ виртуализации
Шифрованный трафик (TLS)	Содержимое не доступно без расшифровки	Прозрачный прокси с MITM (man-in-the-middle), требует установки доверенного корневого сертификата
Работа вне домена	Пользователь находится вне контроля доменных политик	Использование автономных EDR-агентов, MDM для управления устройствами
Локальное хранение данных	Использование флешек, облачных дисков вне учётной записи	DLP, запрет внешних носителей через GPO, мониторинг облачных загрузок
Root-доступ / jailbreak	Может обходить механизмы защиты, включая EDR	Использование EDR с детектированием руткитов и признаков компрометации ОС

Какие технологии используются для контроля?

• Sysmon (System Monitor). Логирует события ядра Windows.
• EDR (Endpoint Detection and Response). Мониторинг и защита рабочих станций.
• SIEM (Security Information and Event Management). Централизованное логирование и алерты.
• DLP (Data Loss Prevention). Предотвращение утечки данных.
• File Server Auditing. Логирование действий с файлами.
• GPO (Group Policy Objects). Централизованное управление политиками.
• AppLocker / Device Guard. Блокировка запуска неподписанных программ.
• PowerShell Transcription / Module Logging. Логирование всех команд PowerShell.
• Transparent Proxy / DPI. Расшифровка и анализ трафика.
• MDM / MAM (Mobile Device Management). Управление устройствами вне офиса.

Но при настройке такого отслеживания нужно уведомить сотрудников о том, что их активность отслеживается. Сбор данных должен быть ограничен и обоснован.

К примеру, можно узнать посещение сайта, запросы к API, факты использования программ, время, которое пользователь провёл на сайте, скачивание файлов, использование сервисов, потому что весь трафик проходит через доменную сеть. Нельзя разве что узнать текст, который отправляется на сайт или в мессенджер - такое не узнать без MITM.

Компания может установить корневой сертификат на устройство, и браузер станет доверять - после чего прокси-сервер сделает «переподпись» SSL-соединения, и всё - администратор видит полностью расшифрованный трафик. Некоторые компани устанавливают EDR с мониторингом экрана - вот он даёт полный доступ к тому, что пишут и читают.

А вот теперь давайте поговорим о другом, более страшном.

Как узнать, не следят ли за вами?

1. Если вы используете рабочее устройство, подключены к VPN, входите в домен Active Directory, то скорее всего, за вами следят по умолчанию.

Более строгие признаки:

• установлен EDR агент - CrowdStrike, SentinelOne, Microsoft Defender ATP;
• имеется антивирус с мониторингом экрана - Symantec, Kaspersky Endpoint Security;
• присутствует DLP-решение - Forcepoint, McAfee DLP, Digital Guardian;
• имеются файлы в системе от имени компании;
• имеются расширения в браузере от IT-отдела, например от Kaspersky, Cisco;
• используется прозрачный прокси / MITM (HTTPS-сайты показывают сертификат компании);
• мониторинг через MDM - Intune, Jamf (для Mac);
• системные логи показывают аудит - Event Viewer → Windows Logs → Security.

2. Проверьте установленное ПО - изучите всё подозрительное.
3. Проверьте процессы, к примеру, подозрительными будут:
   • sentinelagent.exe (CrowdStrike)
   • Cytool.exe (Carbon Black)
   • wdavdaemon (Microsoft Defender)
   • TaniumClient, BigFix, SCCM, JamfAgent
4. Проверьте сетевой трафик, используйте Wireshark, Fiddler или tcpdump. Если все запросы идут через определённый IP (допустим, корпоративный), и есть высокая активность в фоне, даже когда вы ничего не делаете - значит есть слежка.
5. Проверьте сертификаты - если сайт открывается без ошибок, но в адресной строке видно, что сертификат принадлежит вашей компании — это MITM-прокси.
6. Политики безопасности - если в Windows применить gpresult /H report.html, то откроется файл с применёнными групповыми политиками. Там нужны будут политики типа Audit Policy, AppLocker, PowerShell Logging,Device Guard.
7. Как узнать, что вас прослушивают или шпионят?
   • неожиданная активность камеры или микрофона - значит установлен вредоносный софт;
   • незнакомые службы запускаются при старте - слежка, EDR, DLP;
   • браузер показывает, что SSL-соединение не безопасно - MITM-сертификаты;
   • внезапные скриншоты экрана, перезагрузки - мониторинг через EDR;
   • USB-устройства блокируются - политика Device Control;
   • файлы нельзя сохранить на флешку - DLP-политики ограничивают копирование;
   • кто-то знает что вы делали в Chrome - прокси-логирование, EDR с мониторингом браузера.