Контроль и отслеживание

В РАЗРАБОТКЕНЕ ДЛЯ НОВИЧКОВНЕ ОБЯЗАТЕЛЬНО

Разработчику Инженеру

Контроль и отслеживание

Основы отслеживания

Отслеживание действий представляет собой систематический процесс записи, сбора и анализа операций, выполняемых пользователями, приложениями и инфраструктурными компонентами в информационной системе. Этот процесс фиксирует последовательность событий во времени, создавая полную картину активности для последующего анализа и контроля.

Отслеживание действий строится на нескольких взаимосвязанных слоях:

• Сбор событий. Система регистрирует входы пользователей, операции с данными (создание, чтение, изменение, удаление), изменения прав доступа, вызовы API, сетевую активность и системные события. Каждое событие содержит временну́ю метку, идентификатор субъекта действия, тип операции, целевой объект и контекст выполнения.

• Хранение логов. События сохраняются в структурированных журналах с возможностью централизованного хранения. Логи организуются по уровням важности (debug, info, warning, error, critical), поддерживают ротацию файлов и архивацию для долгосрочного хранения.

• Корреляция и анализ. Специализированные системы объединяют события из разных источников, выявляя взаимосвязи и паттерны поведения. Анализ позволяет обнаруживать аномалии, строить временные цепочки действий и формировать полную историю взаимодействия с системой.

• Визуализация и оповещение. Результаты анализа представляются через дашборды, графики временных рядов и интерактивные отчёты. Система генерирует алерты при обнаружении подозрительных паттернов или превышении заданных пороговых значений.

Перехват — это технология вмешательства в поток данных или выполнение программного кода с целью анализа, модификации или блокировки передаваемой информации. Перехват применяется для обеспечения безопасности, контроля трафика и реализации политик доступа.

Перехват реализуется на разных уровнях стека технологий:

• Сетевой уровень. Сетевые устройства анализируют пакеты данных в реальном времени. Промежуточные узлы проверяют заголовки, полезную нагрузку и метаданные трафика, применяя правила фильтрации до передачи пакетов получателю.

• Прикладной уровень. Веб-серверы и прокси-сервисы перехватывают HTTP/HTTPS-запросы и ответы. Технологии вроде WAF анализируют структуру запросов, выявляя попытки внедрения кода или аномальные паттерны использования API.

• Уровень приложения. Фреймворки используют перехватчики (interceptors) и декораторы для вмешательства в выполнение методов. Перехват позволяет добавлять логику аутентификации, валидации входных данных или шифрования без изменения основного кода бизнес-логики.

• Реализация через агенты. Специальные агенты внедряются в исполняемую среду приложения, перехватывая системные вызовы, обращения к памяти или сетевым сокетам. Такой подход применяется в решениях для защиты конечных точек (EDR) и runtime application self-protection (RASP).

Инцидент — это событие или серия событий, нарушающих нормальное функционирование информационной системы и создающих угрозу конфиденциальности, целостности или доступности данных и сервисов. Инцидент требует немедленного реагирования и документирования.

Защита конфиденциальности — это комплекс мер, направленных на предотвращение несанкционированного раскрытия персональных и чувствительных данных. Эта практика обеспечивает соблюдение прав субъектов данных и выполнение требований нормативных актов.

Комплекс отслеживания действий, перехвата и защиты конфиденциальности создаёт сквозную видимость активности в информационной системе. Этот подход обеспечивает обнаружение несанкционированного доступа, поддержку соответствия требованиям регуляторов (GDPR, CCPA, 152-ФЗ), возможность расследования инцидентов и проведение аудита изменений в критически важных данных.

---

Реализация отслеживания

Как реализовать?

1. Логирование всех действий. Все операции с данными, входы, изменения прав.
2. Мониторинг в реальном времени. Используется при помощи SIEM, Datadog, ELK.
3. Шифрование трафика. Используется с HTTPS, TLS, end-to-end encryption.
4. Анонимизация логов подразумевает отказ от хранения персональных данных напрямую.
5. RBAC / ABAC для разграничения прав.
6. Audit trail - журнал изменений.

Система фиксирует полный спектр операций:

• Аутентификация и авторизация пользователей
• Операции CRUD с персональными данными
• Изменения прав доступа и ролей
• Вызовы административных функций
• Доступ к критически важным ресурсам

Каждая запись содержит временну́ю метку в формате ISO 8601, уникальный идентификатор события, идентификатор пользователя или сервисного аккаунта, тип операции, целевой объект, исходный IP-адрес и результат выполнения.

Потоковые аналитические платформы обрабатывают события с минимальной задержкой:

• Корреляция событий из разных источников для выявления многоэтапных атак
• Сравнение текущей активности с baseline поведения пользователей
• Автоматическая генерация инцидентов при превышении пороговых значений
• Интеграция с системами оповещения (Slack, PagerDuty, SMS-шлюзы)

Все каналы передачи данных защищаются криптографическими протоколами:

• TLS 1.3 для внешних и внутренних соединений
• Perfect Forward Secrecy для защиты сессий при компрометации долгосрочных ключей
• End-to-end шифрование для особо чувствительных данных между клиентом и сервером
• Валидация сертификатов через OCSP stapling и CRL проверки

Персональные данные исключаются из операционных логов:

• Замена email-адресов и имён на хэшированные идентификаторы
• Обобщение географических координат до уровня города или региона
• Удаление полных номеров карт, сохранение только последних четырёх цифр
• Хранение связей между анонимизированными идентификаторами и исходными данными в отдельном защищённом хранилище с ограниченным доступом

Модели контроля доступа применяются на всех уровнях:

• RBAC определяет права через роли (администратор, аналитик, аудитор)
• ABAC добавляет динамические условия (время суток, геолокация, уровень риска сессии)
• Принцип минимальных привилегий ограничивает доступ до необходимого минимума
• Четырёхглазый принцип требует подтверждения критических операций вторым авторизованным лицом

Audit trail - это аудиторский след, хронологический журнал записей, фиксирующий, кто, что, когда и почему сделал с данными, системой или процессом. Он сохраняет полную историю трансформации данных:

• Версионирование записей в базах данных
• Фиксация состояния до и после изменения
• Привязка изменений к конкретному пользователю и сессии
• Невозможность модификации или удаления записей в журнале без создания новой записи об этом действии

---

Инструменты

Платформы управления событиями безопасности

• Splunk Enterprise Security обрабатывает терабайты логов с возможностью машинного обучения для обнаружения аномалий
• IBM QRadar коррелирует события через правила и построение графов угроз
• Graylog предоставляет опенсорсную альтернативу с гибкими конвейерами обработки

Анализ поведения пользователей и сущностей

• UEBA-системы создают профили нормального поведения для каждого пользователя
• Машинное обучение выявляет отклонения: необычное время доступа, объём скачанных данных, последовательность операций
• Рейтинги риска автоматически присваиваются сессиям на основе множества факторов

Стеки логирования и визуализации

• ELK Stack (Elasticsearch, Logstash, Kibana) обеспечивает полный цикл: приём, индексацию, поиск и визуализацию
• Logstash обрабатывает логи через конвейеры с фильтрами для парсинга и обогащения
• Kibana строит интерактивные дашборды с возможностью создания алертов на основе условий

Облачные платформы мониторинга

• Datadog Security Monitoring объединяет метрики инфраструктуры, трейсы приложений и логи в единой временной шкале
• AWS CloudTrail фиксирует все вызовы API в аккаунте с возможностью доставки в S3 и CloudWatch
• Azure Monitor собирает телеметрию из ресурсов Azure с интеграцией в Sentinel для анализа угроз

---

Контроль

Контроль включает в себя изучение, мониторинг, своевременное реагирование.

Здесь важно выделить аварийное восстановление (Disaster Recovery Plan, DRP) - план действий, позволяющий восстановить работу сервиса после катастрофы, такой как сбой оборудования, утечка данных, DDoS, взлом, природная катастрофа.

Основные этапы плана по аварийному восстановлению:

• Подготовка – обучение команды, документация, резервные копии;
• Обнаружение – обнаружение проблемы через мониторинг;
• Ограничение ущерба – изоляция систем, откат до безопасного состояния;
• Восстановление – загрузка бэкапов, патчи, переключение на standby-серверы;
• Уроки – анализ инцидента, обновление процедур.

Подготовка

Команда проходит регулярные учения с отработкой сценариев. Документация включает контактные списки, схемы сетей, инвентаризацию критичных систем. Резервные копии создаются по расписанию с проверкой возможности восстановления.

Обнаружение

Мониторинговые системы фиксируют отклонения от нормы: рост задержек, падение доступности сервисов, аномальный сетевой трафик. Автоматические триггеры инициируют процедуру объявления инцидента.

Ограничение ущерба

Инженеры изолируют затронутые компоненты: отключают серверы от сети, блокируют учётные записи, перенаправляют трафик на резервные системы. Цель — предотвратить распространение проблемы.

Восстановление

Команда загружает данные из последней проверенной резервной копии. Применяются накопленные транзакции для минимизации потери данных. Системы переключаются на резервные мощности с последующей верификацией работоспособности.

Извлечённые уроки

После стабилизации проводится ретроспектива: анализ первопричин, оценка времени реагирования, обновление процедур и автоматизация ручных шагов.

DRP включает в себя список ответственных лиц, процедуру восстановления (ручную и автоматическую), точки восстановления, время восстановления, бэкапы (локальные+облачные) и проверку плана. Контроль как раз подразумевает, что этот план должен быть работоспособным.

Ключевые метрики восстановления - RPO и RTO:

• Точки восстановления (RPO, Recovery Point Objective): данные могут быть потеряны максимум за 1 час;
• Время восстановления (RTO, Recovery Time Objective): система должна восстановиться за 2 часа.

RPO определяет максимально допустимый период потери данных. При RPO в один час система теряет не более 60 минут транзакций. Достижение целевого RPO требует частых резервных копий или репликации в реальном времени.

RTO устанавливает предельный срок возврата системы в рабочее состояние. При RTO в два часа все критичные сервисы должны функционировать в течение 120 минут с момента объявления инцидента. Сокращение RTO достигается через автоматизацию и наличие горячих резервных систем.

План включает реестр ответственных лиц с контактами и ролями, пошаговые процедуры восстановления с разделением на ручные и автоматизированные действия, каталог точек восстановления с указанием содержимого каждой копии, стратегию хранения бэкапов (локальные хранилища плюс географически распределённые облака), график регулярных проверок работоспособности плана через учения и тестовые восстановления.

---

Контроль угроз и уязвимостей

Контроль угроз и уязвимостей же включает в себя регулярный поиск, оценка и устранение уязвимостей в коде, зависимостях и инфраструктуре.

Инструменты:

Статическое тестирование приложений (SAST)

Инструменты анализируют исходный код без выполнения программы:

• SonarQube проверяет качество кода и выявляет уязвимости по стандартам OWASP Top 10
• Bandit специализируется на анализе Python-кода на наличие проблем безопасности
• Checkmarx строит полную карту потоков данных для обнаружения уязвимостей в сложных приложениях

Динамическое тестирование приложений (DAST)

Сканирование работающего приложения через интерфейсы:

• OWASP ZAP автоматически обнаруживает уязвимости путём отправки специально сконструированных запросов
• Burp Suite предоставляет ручные и автоматические инструменты для тестирования веб-безопасности
• Nuclei использует шаблоны для быстрого сканирования известных уязвимостей

Анализ компонентов (SCA)

Инструменты проверяют зависимости на наличие известных уязвимостей:

• Snyk интегрируется в CI/CD и автоматически создаёт пулл-реквесты с обновлениями
• Dependabot отслеживает обновления пакетов и предлагает миграции на безопасные версии
• OWASP Dependency-Check сканирует проекты на наличие компонентов с уязвимостями из базы NVD

Интерактивное тестирование (IAST)

Агенты внутри приложения анализируют выполнение в реальном времени:

• Contrast Security внедряет датчики в рантайм для отслеживания потоков данных
• Seeker комбинирует динамическое сканирование с инструментацией приложения для повышения точности

Сканирование инфраструктуры

• Nessus выполняет комплексное сканирование сетей и хостов на наличие уязвимостей
• OpenVAS предоставляет опенсорсную платформу для аудита безопасности
• Qualys сканирует облачные и локальные среды с централизованным управлением

Интеллект угроз

• VirusTotal агрегирует данные от множества антивирусных движков для анализа файлов и URL
• AlienVault OTX предоставляет сообщество-ориентированные индикаторы компрометации
• Mandiant Threat Intelligence доставляет аналитические отчёты об активных кампаниях атакующих

---

Контроль трафика

Контроль трафика включает использование WAF для блокировки XSS, SQLi, фильтрацию запросов через CORS, CSP, rate limiting и DDoS-защиту (Cloudflare, AWS Shield, Radware).

Веб-брандмауэры приложений (WAF)

WAF анализирует HTTP/HTTPS-трафик на прикладном уровне:

• Правила обнаруживают и блокируют попытки SQL-инъекций через анализ синтаксиса запросов
• Фильтрация межсайтового скриптинга (XSS) проверяет содержимое параметров и заголовков
• Защита от брутфорса ограничивает количество попыток аутентификации с одного IP-адреса

Политики безопасности контента

• CORS определяет допустимые источники для кросс-доменных запросов
• CSP ограничивает источники выполнения скриптов, стилей и других ресурсов
• Rate limiting контролирует частоту запросов для предотвращения перегрузки сервисов

Защита от распределённых атак

• Cloudflare фильтрует трафик на границе сети, поглощая объёмы атак до достижения инфраструктуры клиента
• AWS Shield защищает ресурсы в облаке Amazon с автоматическим обнаружением и смягчением DDoS
• Radware предоставляет аппаратные и программные решения для защиты критически важных сервисов

---

Аудит и мониторинг

Аудит и мониторинг включает логирование всех событий, анализ, алерты на подозрительную активность, регулярные отчёты.

Все события направляются в единое хранилище с унифицированным форматом. Система поддерживает поиск по произвольным полям, агрегацию по временным интервалам и экспорт для внешнего анализа.

Правила корреляции связывают события из разных источников:

• Последовательность неудачных входов с последующим успешным доступом из новой геолокации
• Массовое скачивание данных после изменения прав доступа пользователя
• Активность в нерабочее время с повышенными привилегиями

Алерты настраиваются на основе пороговых значений и паттернов:

• Мгновенные уведомления для критических событий через несколько каналов
• Суточные и недельные отчёты для анализа трендов
• Автоматическое создание инцидентов в системах управления ИТ-услугами

---

Системы обнаружения и предотвращения вторжений

Важно также отметить IDPS (Intrusion Detection & Prevention System). IDS обнаруживает подозрительную активность, а IPS автоматически блокирует угрозы.

Системы обнаружения вторжений (IDS)

IDS анализирует сетевой и хостовый трафик на соответствие сигнатурам атак и аномалиям поведения. Система генерирует предупреждения при обнаружении подозрительной активности без автоматического вмешательства в поток данных.

Системы предотвращения вторжений (IPS)

IPS размещаются на пути следования трафика и могут автоматически блокировать вредоносные пакеты, сбрасывать соединения или перенаправлять трафик. Система применяет политики в реальном времени для немедленной нейтрализации угроз.

Гибридные подходы

Современные решения комбинируют функции IDS и IPS с возможностью динамического переключения режимов работы в зависимости от уровня уверенности в обнаружении угрозы и критичности защищаемых ресурсов.

---

Отслеживание

Как организовать безопасный удалённый доступ?

Особенно актуально когда выполняется контроль и мониторинг в корпоративной сети, к примеру, когда осуществляется удалённый доступ через VPN.

Как устроена типичная схема:

Удалённый пользователь → Подключается к VPN → становится частью внутренней сети → Получает доступ к:
	- Файловому серверу
	- Домену (Active Directory)
	- Внутренним сервисам (например, ERP, CRM)

Здесь основными компонентами будут:

• VPN-сервер (например, OpenVPN, WireGuard, Microsoft RRAS)
• Файловый сервер (например, Windows Server + SMB или NAS)
• Active Directory / LDAP
• Групповая политика (GPO)
• Мониторинг активности
• Антивирус / EDR

---

Что можно отслеживать?

Всё, что делает пользователь внутри домена, можно логировать и анализировать, если настроить правильно.

Тип активности	Что можно отследить	Инструменты
Посещаемые сайты	Все HTTP/HTTPS-запросы через прокси или transparent proxy	Squid, Zscaler, Cisco Talos Intelligence
Загрузка файлов	Кто, что скачал, скопировал, удалил	File Server Resource Manager (FSRM), EDR
Использование USB-устройств	Что подключалось, какие файлы копировались	GPO, DLP, Endpoint Security
Программы, которые запускает пользователь	Имя процесса, путь, PID	Sysmon, EDR, SIEM
Созданные процессы, команды в CMD/PowerShell	Полный список запущенных процессов и команд	Sysmon, PowerShell logging, EDR
Входы и выходы из системы	Когда вошёл, с какого IP, длительность сессии	Event Viewer, SIEM, Active Directory Logs
Изменения в системе	Изменение политик, прав доступа, записей реестра	Auditpol, Sysmon, GPO
DNS-запросы	Какие домены запрашивал пользователь	DNS Logging, Windows Event Logs
Сетевой трафик	С кем общается клиент, порт, протокол	Wireshark, Zeek (Bro), Suricata
Email-активность	Отправка/чтение писем (при использовании Exchange)	Exchange logs, mail tracking

Что может видеть администратор при полном контроле?

Пользователь сделал	Что может знать администратор
Заходит через VPN	Логин, IP-адрес, время входа, тип устройства
Перешёл на сайт	Факт запроса зафиксирован в логах прокси или WAF
Скопировал файл с сервера	Данные о пользователе, файле, целевом расположении и времени операции — доступны в FSRM или DLP
Запустил powershell.exe с вредоносным скриптом	Подробная запись выполнения команд в логах Sysmon или PowerShell
Подключил флешку и скопировал данные	Устройство распознано системой; действия залогированы через GPO или DLP
Открыл документ Word и сохранил его	Возможность отслеживания изменений при использовании DLP или совместного хранения (SharePoint)
Попытался получить доступ к запрещённой папке	Запись события в Event Viewer, автоматическое оповещение в SIEM
Вызвал cmd.exe и попытался выполнить команду	Логирование через Sysmon и политики групповой безопасности (GPO)
Отправил email с конфиденциальной информацией	Обнаруживается и блокируется с помощью решений DLP

---

Что реально можно реализовать в компании?

Возможности отслеживания:

Уровень	Что можно отследить	Как это сделать
Сеть	Посещаемые сайты, DNS-запросы, сетевые соединения	Transparent Proxy, DPI (глубокий анализ пакетов), межсетевые экраны, снифферы
Файлы	Кто, что, куда копирует	DLP, FSRM, File Integrity Monitoring
Процессы	Что запускается, какие команды выполняются	Sysmon, PowerShell Transcription, EDR-решения
Пользовательская активность	Входы в систему, действия, запросы к ресурсам	Журналы Active Directory, SIEM, EDR
USB-устройства	Подключение устройств, копирование данных	Групповые политики (GPO), контроль устройств в EDR
Почта	Объём, содержимое, получатели	DLP, Exchange Journaling
Клиентские устройства	Наличие антивируса, статус обновлений, наличие root-доступа	EDR, MDM (Intune), SCCM

---

Что нельзя или сложно отследить?

Активность	Почему сложно	Как частично решить
Чаты в Telegram/WhatsApp	Шифрованный end-to-end трафик, отсутствие доступа к содержимому	Блокировка доменов, фильтрация на уровне сети, политики использования
Локальные копии документов	Не проходят через централизованные системы мониторинга	Шифрование дисков (BitLocker), ограничение копирования, использование DLP
Скрытая работа через VNC/TeamViewer	Возможность обхода корпоративных политик	Запрет программ через AppLocker, мониторинг активности с помощью EDR
Обёртки (containers)	Docker-контейнеры могут запускать вредоносный код в изолированной среде	Мониторинг контейнеров, применение CIS Benchmarks для платформ виртуализации
Шифрованный трафик (TLS)	Содержимое не доступно без расшифровки	Прозрачный прокси с MITM (man-in-the-middle), требует установки доверенного корневого сертификата
Работа вне домена	Пользователь находится вне контроля доменных политик	Использование автономных EDR-агентов, MDM для управления устройствами
Локальное хранение данных	Использование флешек, облачных дисков вне учётной записи	DLP, запрет внешних носителей через GPO, мониторинг облачных загрузок
Root-доступ / jailbreak	Может обходить механизмы защиты, включая EDR	Использование EDR с детектированием руткитов и признаков компрометации ОС

Какие технологии используются для контроля?

• Sysmon (System Monitor). Логирует события ядра Windows.
• EDR (Endpoint Detection and Response). Мониторинг и защита рабочих станций.
• SIEM (Security Information and Event Management). Централизованное логирование и алерты.
• DLP (Data Loss Prevention). Предотвращение утечки данных.
• File Server Auditing. Логирование действий с файлами.
• GPO (Group Policy Objects). Централизованное управление политиками.
• AppLocker / Device Guard. Блокировка запуска неподписанных программ.
• PowerShell Transcription / Module Logging. Логирование всех команд PowerShell.
• Transparent Proxy / DPI. Расшифровка и анализ трафика.
• MDM / MAM (Mobile Device Management). Управление устройствами вне офиса.

Но при настройке такого отслеживания нужно уведомить сотрудников о том, что их активность отслеживается. Сбор данных должен быть ограничен и обоснован.

К примеру, можно узнать посещение сайта, запросы к API, факты использования программ, время, которое пользователь провёл на сайте, скачивание файлов, использование сервисов, потому что весь трафик проходит через доменную сеть. Нельзя разве что узнать текст, который отправляется на сайт или в мессенджер - такое не узнать без MITM.

Компания может установить корневой сертификат на устройство, и браузер станет доверять - после чего прокси-сервер сделает «переподпись» SSL-соединения, и всё - администратор видит полностью расшифрованный трафик. Некоторые компани устанавливают EDR с мониторингом экрана - вот он даёт полный доступ к тому, что пишут и читают.

---

Как узнать, не следят ли за вами?

А вот теперь давайте поговорим о другом, более страшном. Как узнать, не следят ли за вами?

1. Если вы используете рабочее устройство, подключены к VPN, входите в домен Active Directory, то скорее всего, за вами следят по умолчанию.

Более строгие признаки:

• установлен EDR агент - CrowdStrike, SentinelOne, Microsoft Defender ATP;
• имеется антивирус с мониторингом экрана - Symantec, Kaspersky Endpoint Security;
• присутствует DLP-решение - Forcepoint, McAfee DLP, Digital Guardian;
• имеются файлы в системе от имени компании;
• имеются расширения в браузере от IT-отдела, например от Kaspersky, Cisco;
• используется прозрачный прокси / MITM (HTTPS-сайты показывают сертификат компании);
• мониторинг через MDM - Intune, Jamf (для Mac);
• системные логи показывают аудит - Event Viewer → Windows Logs → Security.

2. Проверьте установленное ПО - изучите всё подозрительное.
3. Проверьте процессы, к примеру, подозрительными будут:
   • sentinelagent.exe (CrowdStrike)
   • Cytool.exe (Carbon Black)
   • wdavdaemon (Microsoft Defender)
   • TaniumClient, BigFix, SCCM, JamfAgent
4. Проверьте сетевой трафик, используйте Wireshark, Fiddler или tcpdump. Если все запросы идут через определённый IP (допустим, корпоративный), и есть высокая активность в фоне, даже когда вы ничего не делаете - значит есть слежка.
5. Проверьте сертификаты - если сайт открывается без ошибок, но в адресной строке видно, что сертификат принадлежит вашей компании — это MITM-прокси.
6. Политики безопасности - если в Windows применить gpresult /H report.html, то откроется файл с применёнными групповыми политиками. Там нужны будут политики типа Audit Policy, AppLocker, PowerShell Logging,Device Guard.
7. Как узнать, что вас прослушивают или шпионят?
   • неожиданная активность камеры или микрофона - значит установлен вредоносный софт;
   • незнакомые службы запускаются при старте - слежка, EDR, DLP;
   • браузер показывает, что SSL-соединение не безопасно - MITM-сертификаты;
   • внезапные скриншоты экрана, перезагрузки - мониторинг через EDR;
   • USB-устройства блокируются - политика Device Control;
   • файлы нельзя сохранить на флешку - DLP-политики ограничивают копирование;
   • кто-то знает что вы делали в Chrome - прокси-логирование, EDR с мониторингом браузера.