Em essência, o monitoramento de sessão (session monitoring) permite que administradores ou agentes de segurança monitorem ambientes críticos dentro de uma organização.
Os usuários administrativos devem ficar de olho em sistemas sensíveis e críticos em suas organizações para garantir a segurança e a supervisão de seus recursos.
O monitoramento de sessão permite a supervisão de recursos, usuários e seu acesso, aumentar a responsabilidade e diminuir o uso indevido intencional ou não intencional de contas privilegiadas.
As áreas comuns de monitoramento de sessão são dentro dos sistemas de Gerenciamento de Acesso Privilegiado (Privileged Access Management – PAM). O uso mais comum vem de conexões de acesso remoto seguro para sistemas valiosos ou privilegiados, geralmente iniciados por protocolos RDP, SSH, VNC ou HTTP/S.
Os sistemas PAM que possuem Monitoramento de Sessão permitem o registro de sessões de acesso de usuários e supervisão de conexão em tempo real. Um player de sessão baseado na Web permite que usuários administrativos entrem em uma sessão e pausem ou encerrem a conexão. Além disso, um fluxo de sessão pode ser compartilhado, permitindo que outros administradores, supervisores ou funcionários vejam a sessão gravada e permitam a colaboração entre os usuários.
O monitoramento de sessão permite o monitoramento proativo por meio de políticas configuráveis. A detecção de certas expressões pode enviar automaticamente notificações por e-mail para pausar ou encerrar a conexão e até bloquear o usuário, desconectando-o da sessão ativa para as infraestruturas de TI.
O monitoramento de sessão pode ser descrito como um proxy entre os usuários e os servidores monitorados enquanto registra as ações e atividades do usuário, incluindo movimentos do ponteiro do mouse, pressionamentos de tecla e arquivos transferidos.
O módulo de monitoramento de sessão registra todo o tráfego de rede com os metadados, permitindo a reprodução precisa da sessão com pesquisa de conteúdo de texto. Variando de uma interface de linha de comando comum e protocolos gráficos, incluindo padrões de comunicação de banco de dados, protocolos da web e protocolos de infraestrutura de produção. Com essa configuração, a qualquer momento, um administrador pode se conectar e intervir em uma sessão ativa e agir de acordo com qualquer uso indevido ou potencial abuso de direitos de acesso.
Benefícios de ter um módulo de Monitoramento de Sessão em seus sistemas PAM.
Transparência e segurança
Os administradores podem dar uma olhada no que os funcionários ou terceirizados estão fazendo. Se ocorrer qualquer uso indevido, eles podem intervir a qualquer momento e encerrar ou bloquear o usuário para uso indevido adicional.
Colaboração de sessão
O compartilhamento de uma sessão permite que o administrador do sistema participe de uma determinada conexão e trabalhe com um usuário remoto enquanto suas ações são registradas separadamente. Um usuário de terceiros pode ser convidado a participar e colaborar ou visualizar a sessão ao vivo por meio de um link expirado.
Registro de data e hora da sessão
Pode fornecer uma análise aprofundada. Um carimbo de data/hora confiável torna as sessões gravadas inestimáveis para uso como evidência forense no tribunal. Além disso, o recurso oferece suporte a serviços confiáveis de registro de data e hora fornecidos por instituições externas.
Arquivos
Monitore e arquive as ações do usuário em vez de logs do servidor (que podem ser difíceis de interpretar), mantendo a separação completa entre o ponto final do usuário e a infraestrutura de TI de uma organização.
Reconhecimento óptico de caracteres
Permite um controle de pesquisa mais fácil para elementos específicos e melhora a funcionalidade de pesquisa.
O monitoramento de sessão pode ser usado em práticas comerciais simples. Os usuários podem gravar ou permitir que outros monitorem sua atividade de trabalho, o que é excelente para processos de integração e treinamento.
Permite o arquivamento fácil de dados que podem ser reproduzidos para que novos funcionários aprendam, e sejam usados como materiais de treinamento para auxiliar em qualquer desenvolvimento administrativo ou configurações específicas.
Até mesmo gravações de falhas contam como experiência para os usuários sobre o que NÃO fazer em determinadas situações e pode proteger seus funcionários de certos riscos. Por exemplo, sessões gravadas protegem seus administradores reproduzindo a gravação e provando que nenhum erro ocorreu no lado da administração. Garante a responsabilidade do administrador.
Gerenciador de Sessão Privilegiada (PSM) e PCI DSS
O Gerenciador de Sessão Privilegiada (Privileged Session Manager – PSM) é um ótimo recurso não apenas para segurança, mas também para supervisão de conformidade. O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) se beneficia do monitoramento de sessão ao atender aos principais requisitos do PCI DSS 3.2.
Os requisitos abaixo representam como o monitoramento de sessão em um sistema de Gerenciamento de Acesso Privilegiado ajuda a atender aos requisitos do PCI DSS.
Requisito 2: Não use padrões fornecidos pelo fornecedor para senhas do sistema e outros parâmetros de segurança.
O PSM usa tecnologias seguras como SSH, RDP e SSLTSL para estabelecer conexões com sistemas e garantir que apenas pessoas autorizadas possam configurar o sistema de proteção. Além disso, fornece recursos para ajudar a inventariar os ativos no CDE. A política rígida contém todas as relações de acesso permitidas e ativos gerenciados.
Requisito 7: Restrinja o acesso aos dados do titular do cartão por necessidade comercial.
O PSM permite limitar o acesso aos componentes do sistema que armazenam os dados do titular do cartão apenas para indivíduos específicos com acesso ou função apropriados.
Requisito 8: Identificar e autenticar os componentes do sistema de acesso.
O monitoramento de sessão garante a atribuição de IDs de usuário exclusivos antes de permitir acesso privilegiado a sistemas com dados de titulares de cartão. Com usuários autorizados podendo controlar a exclusão, adição ou modificação de IDs de usuários, credenciais e outros objetos identificadores. Além disso, o PSM permite o gerenciamento de IDs emitidos para fornecedores que acessam, dão suporte ou mantêm remotamente os componentes do sistema. Por fim, ele habilitará uma opção para exigir autenticação de dois fatores ou de fator único para acessar componentes CDE.
Requisito 10: Rastreie e monitore todo o acesso a recursos de rede e dados do titular do cartão.
O Monitoramento de Sessão fornece trilhas de auditoria confiáveis que vinculam todos os acessos aos componentes do sistema a usuários individuais.
A gravação da sessão pode ser assinada digitalmente para fornecer documentação inviolável de eventos. O PSM também pode ser configurado para arquivar com segurança todas as funções de administrador, incluindo a criação de novas contas e elevação de privilégios e todas as alterações, adições ou exclusões de contas com privilégios de administrador ou root.
Auxilia nas auditorias de toda a administração de logs de auditoria, atividades, instalação, pausa e parada em praticamente todos os componentes do sistema com o CDE, fornecendo uma visualização limitada de trilhas de auditoria em plataformas nativas para aqueles com direitos atribuídos apropriados por administradores autorizados. Por fim, ele usa criptografia forte (AEX-XTS-256) para tornar os registros capturados e seus próprios logs de auditoria ilegíveis para acesso não autorizado.
Requisito 11: Testar regularmente os sistemas e processos de segurança.
O monitoramento de sessão pode fornecer evidências de suporte de que as políticas de segurança e os procedimentos operacionais para monitorar o acesso aos recursos da rede e aos dados do titular do cartão estão em uso.
Requisito 12: Manter uma política que aborde a segurança da informação para todo o pessoal.
Garanta que a responsabilidade delegada para administrar contas de usuários privilegiados e gerenciamento de autenticação seja formalmente atribuída.
Apêndice A, Requisito A.1: Requisitos Adicionais do PCI DSS para Provedores de Hospedagem Compartilhada
O monitoramento de sessão pode ajudar ainda mais o pessoal técnico com um processo de investigação forense oportuno no caso de um comprometimento. As trilhas de login e auditoria são habilitadas e exclusivas para o CDE de cada entidade.
No geral, o monitoramento de sessão é um ótimo recurso que introduz uma camada adicional de supervisão. Funciona fundamentalmente com uma estrutura Zero Trust, responsabilizando os usuários com acesso privilegiado e, ao mesmo tempo, protegendo-os,auxiliando nas conformidades e requisitos de auditoria do PCI DSS, funcionando como um fator de segurança significativo em sua organização.
