Jednocześnie, zachowanie użytkowników powinno być nieustannie monitorowane, by móc zweryfikować kwestię uzyskiwania przez nich dostępu i zbadać ich wzorce użytkowania w porównaniu do innych członków „śledzonej” grupy środowiskowej. Wykorzystanie grup środowiskowych pozwala na skoncentrować uwagę na zachowaniu użytkowników i wyeksponować „elementy odstające” poprzez porównanie czynności wykonywanych przez jednego użytkownika z czynnościami wykonywanymi w obrębie całej grupy – działu, zespołu projektowego lub grupy roboczej.

Kolejnym ważnym krokiem jest identyfikacja i monitorowanie wszystkich danych uwierzytelniających wykorzystywanych przez użytkowników, w tym danych dotyczących dzielonego, zdalnego lub zewnętrznego dostępu. Takie dane mogą być wykorzystywane przez hakerów do tego, by uzyskać dostęp do wrażliwych danych spółki, systemów i aplikacji, a także jako punkt wyjścia dla naruszeń danych. Przejęcie danych uwierzytelniających może ułatwić hakerom poruszanie się po sieci w sposób niezauważony.

Zobacz również:

• Cyberobrona? Mamy w planach
• IDC CIO Summit – potencjał drzemiący w algorytmach

Ponadto, dostęp do danych powinien być monitorowany we wszystkich sieciach, kanałach łączności głosowej i kanałach transferów danych, infrastrukturze, systemach komputerowych, urządzeniach, bazach danych i aplikacjach. W ramach tego procesu, wszelkie niepotrzebne dane uwierzytelniające powinny zostać wycofane, szczególnie zaś te, które nie są stosowane przez pozostałych użytkowników w obrębie jednej grupy środowiskowej.

Dodatkowo, warto przyjrzeć się bliżej uprzywilejowanym kontom, na przykład kontom administratorów systemów i baz danych oraz kontom systemowym we wszystkich aplikacjach bezpieczeństwa i urządzeniach obszarowych. Niektóre z tych kont mogą nie być używane regularnie, dlatego powinny być nieustannie skanowane. Pozwoli to ocenić, czy takie konta powinny zostać usunięte bądź zablokowane.

Jeżeli dane uwierzytelniające są monitorowane i zapisywane, wszelkie operacje związane z uzyskiwaniem dostępu powinny być analizowane w oparciu o dane wrażliwe. Przykładowo, czy użytkownik uzyskuje dostęp do danych dotyczących klientów lub dostawców albo danych finansowych? Dlaczego to robi? Czy jest to zgodne z jego potrzebami zawodowymi?

Umiejętność rozróżniania „dobrych” i „złych” zachowań użytkowników stanowi podstawę gromadzenia istotnych informacji niezbędnych do wykrywania incydentów i reagowania na nie. Ma to również kluczowe znaczenie dla skrócenia wspomnianego wyżej czasu przestoju w przypadku naruszeń danych oraz zwalczania i zapobiegania ich eksfiltracji.