רוצה לדעת מי נגע לך בשרתים? רוצה לדעת איפה עוד ביצעו את אותה פעולה?

לעיתים מדובר בשאלת מיליון הדולר – מי מחק את ה- OU  החשוב מה- Active Directory? מי שינה את מאפייני ה- Default Website וקלקל את הגדרות ה- Outlook Web Access? מתי היתה הפעם האחרונה שמישהו שינה את ה- Default Domain GPO? על איזה שרתים נוספים נגעו בערכי המערכת ושינו הגדרה קריטית? אם עוד לא הכרתם, תנו לי להציג בפניכם פתרון חינמי מעולה שיעזור לכם לענות על השאלות המורכבות הללו.

חברות וארגונים רבים מטמיעים פתרונות אבטחה, ומערכות גישה מרחוק מוצפנות ומוגנות. ארגונים רבים מפעילים גם מערכות ניטור, שליטה ובקרה, המתריעות בפני נפילה של שירותים קריטיים ומפני שינוי הגדרות מערכת. אבל מרגע שאותם משתמשים עברו את מערך האבטחה לגישה מרחוק וביצעו Logon לשרתים בארגון, קשה למנהל הרשת ולאנשי אבטחת המידע לדעת בדיוק מה בוצע על אותם שרתים. המשתמשים בארגון בכלל, ומנהלי הרשת והמשתמשים המורשים בפרט, כמו גם יועצים ואנשי תמיכה ושירות הניגשים למערכות מרחוק – כולם עשויים לבצע פעולות שלאחר מכן נצטרך לברר את מטרתן ואיפה עוד הן בוצעו.

נכון, מערכות רבות (וגם Windows) יודעות לספק קבצי Log ו- Audit שיכולים לעזור באיתור הפעולה, אבל לרוב מדובר בקבצים ארוכים, מסובכים להבנה, ושאינם מספקים את הלוגיקה הדרושה להבנה מקיפה של פעולות המשתמשים המורשים. בכל מקרה, איתור פעולה בודדת של משתמש יכולה להיות בעייתית, מסובכת, ארוכה ולעיתים גם בלתי אפשרית.

כדי לעזור במתן תשובה לשאלות הללו ואחרות אני רוצה להציג בפניכם פתרון פשוט וקל להטמעה הנקרא ObserveIT. התוכנה, פרי פיתוח של חברה ישראלית השוכנת ברמת החיל בת"א, מספקת יכולת צפייה מלאה ב- User Sessions המתבצעים על שרתי Windows, ללא תלות בצורת החיבור אל השרתים – בין אם דרך חיבור מקומי, Remote Desktop, Terminal Server, Citrix, או בכל תוכנת חיבור וניהול מרחוק כמו VNC, PC Anywhere, NetOP, DameWare ועוד. ההקלטה של ObserveIT נעשית ברמת מערכת ההפעלה, ולא ברמת פרוטוקול הגישה.

בנוסף להקלטה מלאה של כל הנעשה על המסך, מערכת ObserveIT אוספת מידע עשיר לגבי מצב מערכת ההפעלה ברגע הנתון, שם המשתמש המבצע את הפעולה, התחנה ממנה התחבר וכתובת ה- IP שלה, שם היישום הנמצא בשימוש באותו רגע, ה- Windows Title, וכן מידע לגבי URL או נתיבים ב- Registry, שם הקובץ הפתוח והנתיב שלו ועוד. מידע זה, יחד עם צילומי המסך, מאוחסנים בצורה מאובטחת ומוצפנת בתוך בסיס נתונים המבוסס על מערכת Microsoft SQL Server.

באמצעות ה- Viewer המובנה במערכת, ObserveIT מאפשר צפייה מאובטחת ומוגנת בכל הקלטה המאוחסנת במערכת ע"י שימוש במערכת של הרשאות מודולרית. בזכות העובדה שהמידע מאונדקס בצורה מרכזית, מאפשרת ObserveIT לבצע חיפושים נרחבים על-פי פרמטרים רבים כמו שם המשתמש, שם היישום, שם השרת, טווחי תאריכים, שמות קבצים או פעולות כמו מחיקת קבצים, שינויי הגדרות מערכת ועוד. מידע זה מאפשר לבצע זיהוי חד-משמעי של פעולות המשתמש או פעולות מערכתיות שבוצעו על השרתים והתחנות המנוטרים ע"י ObserveIT. בנוסף, ניתן בקלות לייצר Reports משוכללים המספקים מידע אודות פעולות המשתמשים בהתאם לחתכים המעניינים את מנהל התשתיות או מנהל אבטחת המידע בארגון.

מערכת ההקלטה של ObserveIT מייעלת את תהליך ה- Troubleshooting בארגון וחוסכת משאבים רבים בזכות יכולת החיפוש הנרחבת.

בניגוד למוצרי הקלטה אחרים המתפקדים כ"מצלמת אבטחה", מערכת ObserveIT מסוגלת לפרוס בפני מנהל המערכת את ההתרחשויות בכל הקלטה בצורה טקסטואלית פשוטה, בתהליך שמפשט עד מאוד את ההבנה של "מה התרחש" בזמן ההקלטה. בצורה זו, מנהל המערכת יכול תוך שניות להחליט האם יש צורך בצפייה בסרט ההקלטה, ואם כן, באיזו נקודת זמן עליו להתחיל את הצפייה.

מערכת ההקלטה של ObserveIT מספקת תשובות לשאלות הבאות:

1. מיהו האדם שאחראי לשינויים בהגדרות המערכת?

2. אילו פעולות בוצעו ע"י משתמש ספציפי על שרתים, יישומים או קבצים?

3. מתי ואיפה פעולות דומות בוצעו בעבר ע"י אותו משתמש או משתמשים אחרים?

4. כיצד ניתן למנוע התרחשויות דומות בעתיד?

5. האם כל פעולות המשתמשים עומדות בקנה אחד עם מדיניות החברה ו/או תקנות ורגולציות מחייבות?

בנוסף, המערכת מספקת:

• מתן הוכחה בלתי ניתנת לערעור על פעולות המשתמש.

• הבנה של ההקשר בו בוצעה הפעולה, בהתייחס למכלול הפעולות שביצע המשתמש.

• יצירת גורם הרתעה מפני ביצוע פעולות המנוגדות למדיניות החברה.

• מתן התרעה ויזואלית בפני משתמשים בטרם יבצעו פעולות.

התוכנה קיימת בשתי גירסאות – ObserveIT Xpress Edition – חינמית לגמרי, ו- ObserveIT Enterprise Edition המיועדת לארגונים המעוניינים להשתמש בפתרון בצורות מורכבות יותר. ההבדל בין שתי הגירסאות הוא במגבלות החלות על גירסת ה- Xpress Edition.

הגירסה החינמית מאפשרת הקלטה של עד 5 שרתים, ומאפשרת צפייה ויזואלית של מידע שהוקלט ב- 24 שעות האחרונות. בנוסף, בגירסה החינמית לא ניתן להגדיר תכונות מסויימות כמו שינוי התוכנות המוקלטות/לא מוקלטות, בחירת המשתמשים המוקלטים/לא מוקלטים, הפעלת Alerts ועוד. בגירסת ה- Enterprise Edition מגבלות אלה כמובן לא קיימות, וארגון שמוצא את התוכנה יעילה יכול לרכוש רישיונות ולהפוך את ה- Xpress Edition ל- Enterprise Edition בקלות וללא צורך בהתקנה מחדש. יש לציין שגירסת ה- Enterprise Edition נמצאת בשימוש מאות לקוחות גדולים בעולם, ובארץ עושים בה שימוש לקוחות פיננסיים גדולים כמו בנקים, חברות ביטוח, וכן לקוחות ממגזר הטלקום, היי-טק וגופים ממשלתיים.

התוכנה ניתנת להורדה אחרי רישום קצר באתר, ומרגע שהיא הותקנה היא מיד מתחילה בפעולות ההקלטה על כל השרתים בהם הותקן ה- Agent. חשוב לציין כי אותו Agent אינו לוקח משאבים רבים במערכות המוקלטות, ומתאים לכל סוגי Windows, החל מ- NT 4 וכלה ב- Windows 7/Windows Server 2008 R2, גם 32 וגם 64 ביט. בקרוב תסופק גם גירסה המתאימה ל- Unix/Linux.

להורדה: http://www.observeit-sys.com

התקנת התוכנה פשוטה מאוד, ובאתר קיימת דוקומנטציה מלאה הכוללת את דרישות המערכת, דרישות קדם ואת הסבר תהליך ההתקנה והשימוש במוצר: http://www.observeit-sys.com/Documentation/installation.htm

לסיכום - מערכת ObserveIT מספקת יכולות ללא תחרות לצפייה מיידיות ב- Windows User Sessions. בזכות החיבור המיידי בין שם המשתמש לבין הפעולה שהוא או היא ביצעו, ניתן לאתר נקודות תורפה אבטחתיות ולזהות את האדם המבצע את הפעולה או המשתמש ביישום בצורה לא ראוייה. העובדה שהתוכנה בגירסת Xpress Edition ניתנת בחינם לכל דורש תאפשר לכולנו חיים פשוטים יותר ונותנת לנו את היכולת לתת מענה מיידי לשאלות שעד כה היה קשה מאוד לענות עליהן בכלים הקיימים.

גילוי נאות: בין שלל תפקידיו, דניאל פטרי משמש כסמנכ"ל הטכנולוגיות בחברת ObserveIT ואחראי בין היתר על פיתוח המוצר והטמעתו בשוק הישראלי והבינלאומי.