Пространство аудита: 5 историй об информационной безопасности

Пространство Аудита:

5 историй об информационной безопасности

White Paper

Автор: Don Jones

Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones

2

Содержание

Пространство аудита: 5 историй об информационной безопасности ........................ 3

История №1. Полуденный вор ........................................................................................... 4

История №2. Как из-за лени аудит был провален ........................................................... 5

История №4. Халатность… Или должностное преступление? .................................... 8

История №5: Троян для всех .............................................................................................. 9

О компании NetWrix .......................................................................................................... 12

О Don Jones ......................................................................................................................... 12


3

Пространство аудита: 5 историй об

информационной безопасности

Вы совершите путешествие в другое измерение, в измерение не только технологий и операций, но и

безопасности. Вы отправитесь в незнакомую страну, чьими границами являются “политика безопасности” и

“выполнение требований нормативов”. Вот уже впереди виднеется указатель. Ваша остановка – следующая:

“Пространство Аудита”.

IT-отделы находятся на передовой информационной безопасности и выполнения требований нормативов. Вне

зависимости от того, требуется ли это законодательством, отраслевыми нормами или внутренней политикой

безопасности самой организации, выполнение требований нормативов в сфере информационной безопасности

является обязательным условием эффективного функционирования современной IT-инфраструктуры. И на то

есть весомые причины: невыполнение требований ведет к значительным убыткам, вызванным возникшими

утечками конфиденциальных данных, длительным восстановлением и поиском виновных.

К сожалению, встроенные инструменты безопасности Windows, SharePoint, Exchange Server, SQL Server и многих

других платформ не всегда предоставляют необходимый уровень аудита изменений, отчетов и уведомлений. Все

это не дает гарантии, что в любой момент будет обеспечена информационная защита организации.

В этом смысле, IT-безопасность сводится к аудиту изменений. Отслеживание того, что находится на своих местах,

что изменилось и что вообще происходит.

Добро пожаловать в Пространство Аудита.


4

История №1. Полуденный вор

Мартин понял, что неделька будет еще та, когда руководство уже в понедельник забегало по офисам, говоря о

чем-то на повышенных тонах. В среду все прояснилось: каким-то образом информация о деталях еще не

выпущенного на рынок продукта попала в руки к конкурентам, которые теперь быстро модифицировали свой

продукт. Конкурентное преимущество, которым могла бы обладать компания, в которой работал Мартин,

испарилось. Акционеры требовали найти виновных, и руководство всячески их искало.

Сначала были просмотрены записи всех камер безопасности. После нескольких дней увлекательнейшего

просмотра, пришли к выводу, что, наверное, информация утекла через инсайдера. Слухи стремительно

распространялись по офису, и Мартин знал, что будет дальше.

“Мартин, - раздался голос начальника, заходящего к нему в кабинет. – Нам нужно поговорить. Это насчет утечки”.

Мартин зашел в кабинет начальника и, удостоверившись, что его никто не слышит, признался, что установить, кто

последним имел доступ к этим файлам, невозможно. “Проблема в том, - сказал Мартин, – что текущий список

контроля доступа к файлам содержит группу пользователей домена, которой там быть не должно”. Получается,

что любой работник в компании мог обратиться к этим файлам. И установить, кто именно изменил это список,

невозможно. У компании попросту отсутствуют необходимые для этого программы.

“Разве все это не фиксируется в журналах?” – начальник был раздосадован.

“Да, фиксируется, - ответил Мартин. – Но изменение списка произошло достаточно давно, и журнал уже был

перезаписан”.

Он объяснил, что в Windows-сервере, который они используют, просто отсутствуют возможности долгосрочного

хранения записей журналов безопасности. На практике, события остаются в журнале несколько дней. Кто бы это

ни был, он планировал данный шаг достаточно долго. Сначала он изменил разрешения, и, дождавшись, когда

информация об изменении будет перезаписана, стал использовать уже новые разрешения. С новыми

разрешениями файлы можно было спокойно копировать куда угодно – прямо в рабочее время – и поймать

такого человека будет невозможно. В настоящий момент в компании в журналы не записывается каждое

событие успешного доступа к файлам, ведь это будет генерировать такой объем трафика, что журналы будут

перезаписываться еще быстрее.

Мартин вышел из офиса начальника с четким указанием исправить ситуацию и не допускать ее возникновения в

будущем. Ему нужно было решение, которое бы позволяло архивировать записи событий безопасности, и он

надеялся найти программу, которая бы как можно скорее оповещала его о том, когда изменяются разрешения и

критические группы. И поиск среди множества записей в каждом журнале безопасности определенного события

был совсем не лишним.


5

История №2. Как из-за лени аудит был провален

“Мы провалили аудит безопасности!”

Начальник Дженнифер был в ярости. И его можно было понять: они только что провалили аудит, и что самое

обидное, из-за сущего пустяка. Вместо строгой политики паролей на домене, аудиторы обнаружили, что она

была вообще отключена. Какое-то время срок действия паролей пользователей не истекал. Сейчас это уже

исправлено (сделать это не так сложно), однако проявилась обратная сторона. Пользователи стали массово

звонить в службу поддержки, так как у них всех одновременно истек срок действия паролей. Однако не это

сейчас волновало начальника.

“Кто это сделал?!!”

Дженнифер взглянула на коллег. В компании было более 20 человек, входящих в группе Привилегированных

Администраторов Домена, и любой из них мог отключить политику паролей. Политика паролей была задана в

объекте групповых политик высокого уровня, который содержал тысячи других настроек. Все эти

администраторы вносили изменения в групповые политики практически каждую неделю. В журналах событий

отображались записи о доступе, но журналы аудита не содержали в себе информации о том, какие именно

настройки были изменены. Любой мог сделать это – пусть даже случайно – и способа определить, кто именно это

был, не существовало. Джозеф, новенький администратор нервно объяснял это начальнику, которого такой

расклад дел явно не устраивал.

“То есть, кто-то либо случайно либо специально изменил эти настройки, и мы не можем узнать, кто же это

именно был?”

Все дружно кивнули. Даже если бы журналы безопасности архивировались, копаться и выискивать информацию

во всех записях за предыдущий месяц за более чем 20 доменах мало кому хотелось. Да и к тому же записи

журналов не содержали необходимой информации.

“Никто не хочет признаться?” – спросил начальник. Никто не признавался. За предыдущие 4 месяца из компании

ушло 4 администратора, и проще всего было свалить всю вину на них.

“У кого-нибудь есть соображения, зачем это было сделано, если это не случайность?”

Дженнифер пожала плечами. “Думаю, они столкнулись с пользователем, который не мог придумать достаточно

сложный пароль. Проще все было отключить политику. Некоторые из нас делали так раньше, чтобы быстро дать

доступ в сеть, и затем сразу же включали политику. Возможно, кто-то просто забыл включить политику”.

“Совсем не то, что он хотел бы услышать”, – подумала Дженнифер, видя как лицо начальника становится

пурпурным от злости.


6

Она знала, что ее компании требуется более совершенное решение для аудита изменений, особенно тех, которые связаны с объектами групповых политик. Нужно знать, кто и когда их менял. А также нужно решение, которое позволяло бы оптимально хранить записи журналов, чтобы можно было сразу же отфильтровать только записи изменений объектов групповых политик, предпочтительно без отдельного поиска по каждому контроллеру домена.


7

История №3. Проблемы с виртуальными

машинами

Что день явно не задался, становится понятно тогда, когда система мониторинга производительности начинает

отправлять Вам тревожные сообщения по электронной почте и SMS. Еще хуже, когда выясняется, что предмет

этих тревожных уведомлений – инфраструктура ключевой виртуальной машины организации.

Джон встретил всех своих шестерых коллег администраторов, устремившихся в дата-центр с одной единственной

целью: выяснить, почему система мониторинга сообщала им, что 4 главных виртуальных хост-сервера буквально

плавились от перегрузок. Четыре администратора подключились к различным консолям хост-серверов, а

оставшиеся трое пытались выяснить через софт для мониторинга, что же происходит.

“Почему здесь двести виртуальных машин?” - с ужасом спросил Кейт.

“У меня только сто пятьдесят, - сказал Джон, изумленно глядя на невероятное количество запущенных

виртуальных машин. – И память перегружена в шесть раз! Я вообще без понятия, зачем здесь все эти машины”, -

добавил он. И начал останавливать виртуальные машины, предназначения которых не знал, пытаясь добиться

отклика от сервера.

“Судя по данным, они здесь довольно давно, но выглядит так, что они все были запущены всего пару минут

назад. Они все работают на Windows 7? – спросил другой администратор. – Когда эти серверы стали частью

виртуальной инфраструктуры?”

“Да никогда! – закричал Джон. – Виртуальные серверы запущены только здесь. А вот это наш Exchange сервер, к

сожалению. Сейчас все отрезаны от электронной почты”.

“Ни у кого также нет доступа к корпоративным приложениям, – процедил Хуан, смотря в консоль. – На этом хосте

сотня лишних виртуальных машин, и все они не отвечают. Я пытаюсь остановить их, но ничего не происходит”.

Пару часов спустя, когда работа хостов была налажена, администраторы обсуждали происшедшее. “Откуда все

эти машины? – начал обсуждение Джон. Все замотали головами; этого никто не знал. – Разве в журналах этого

не найти?” Движение повторилось. “Нам нужно выяснить, у кого были разрешения на создание виртуальных

машин, и поговорить с каждым из них”.

“Никто не признается, - сказал Хуан. – Они знают, что это именно их вина”.

“А что мы еще можем сделать? Руководство требует ответа, и ничего другого, как пообщаться с каждым – а это,

кстати, более 60 человек – мы не можем предложить”. Да, неделька предстоит еще та…

Им нужно было решение, которое бы позволяло осуществлять аудит журналов на этих виртуальных хостах.

Централизованный, объединенный журнал, который мог бы быстро показать, кто создал сотни виртуальных

машин на этих хостах, и, что не менее важно, кто запустил их практически одновременно.


8

История №4. Халатность… или должностное

преступление?

- Том, мне только что звонили из Комиссии по ценным бумагам и биржам. У них к нам пара вопросов .

Том напрягся. Он был в офисе генерального директора, а технический и финансовый директора сидели рядом.

- Пара вопросов относительно чего?

- Они обвиняют нас в серьезных нарушениях, включая инсайдерский трейдинг. Эта информация конфиденциальна, но я собираюсь подать в отставку в следующем месяце. Никто, кроме здесь присутствующих, – генеральный директор повернулся к техническому и финансовому, - не знал об этом. Я еще не представлял мое заявление об отставке совету акционеров. И тем не менее акционеры уже знают об этом, новости дошли до аналитиков, и наши акции акции сейчас падают, потому что мы не смогли представить все это в выгодном для нас свете.

- Ага, понятно, –пробормотал Том.

- Дело в том, что мы обсуждали это только лично и по почте, - вступил в разговор технический директор. – Мог ли кто-нибудь получить доступ к этим письмам без нашего ведома?

Том утвердительно покачал головой:

- Конечно. На Exchange сервере неразбериха с настройками. Вы же сами попросили дать разрешения на доступ к вашим почтовым ящикам своим помощникам, когда вас нет в офисе, и эти разрешения для ваших ящиков довольно сложные. Возможно, один из них получил доступ к вашей почте.

- Мы доверяем нашим помощникам, - сказал финансовый директор. – А у кого еще были разрешения?

Том пожал плечами.

- Можно взглянуть, но не я один могу изменять эти разрешения. Можно внести пользователей в список разрешенных на какое-то время, что позволяет получать доступ к вашим почтовым ящикам. А потом вернуть первоначальные настройки. Вы просили сделать так, когда вам нужно было получить удаленный доступ.

Технический директор вздохнул:

- Ну мы же можем посмотреть в журналах, кто получил доступ к нашим почтовым ящикам?

Том заерзал.

- Мы не собираем такую информацию в журналах. Это достаточно сложно сделать встроенными средствами. Сформировать отчет или что-нибудь извлечь из них практически невозможно.

Директора переглянулись.

- Думаю, что с тем, что сейчас произошло, мы разберемся, – сказал генеральный директор. – Но, Том, начинай искать решение, которое не позволило бы подобному случиться в будущем. И исправь настройки почтовых разрешений.

Том был твердо настроен на то, чтобы приобрести решения для аудита изменений, которое не только бы фиксировало несанкционированный доступ к почтовым ящикам, но и быстро и точно сводило информацию о таком доступе в отчеты. Ему также нужно было что-то, что фиксировало бы изменения настроек разрешений почтовых ящиков, возможно, даже с уведомлениями, когда настройки доступа к почтовым ящикам изменятся в будущем.


9

История №5: Троян для всех

“Линда, я позвал именно тебя, потому что ты давно работаешь в компании. Я могу тебе доверять. То, о чем мы

сейчас будем говорить, должно остаться между нами”.

Линда кивнула. Они никогда не видела IT-директора таким серьезным. “В чем дело?”

“Мы заметили, что в нашей инфраструктуре творятся непонятные вещи. Что-то меняется, разрешения удаляются

– подобного рода события. Мы смотрели в журналах событий, и все это делают наши же администраторы. Даже

ты”.

Линда хотела было возразить, но директор ее остановил. “Ты вне подозрений. К нам прислали консультанта по

безопасности из центрального офиса, и он обнаружил что-то вроде трояна, установленного на наших серверах.

Он был написан специально под нашу компанию, поэтому наши антивирусы не нашли его. В конечном счете,

когда кто-то подключается к серверу, он запускается и что-нибудь делает, используя ваши разрешения. Похоже, в

нем прописан четкий набор действий, хотя по большей части он выполняет какие-то случайные изменения,

видимо, чтобы запутать нас”.

“И как долго этот троян находится на наших серверах?”

“Точно не знаем, хотя предполагаем, что где-то месяцев шесть. Помнишь, как в прошлом апреле на машинах SQL

сервера были созданы фиктивные учетные записи? Это было его первое проявление. Все выглядело так, как

будто Стейси сделала эти изменения, но она клялась, что не имеет к этому никакого отношения. Теперь мы

понимаем, что это был троян. Сейчас его уже удалили, но теперь нам нужно узнать, кто его туда запустил”.

Линда уже успела подумать об этом. “В журналах показывается только то, кто подключался к консоли сервера.

Мы все это делаем, несколько раз в день. Это мог быть любой из нас. Когда кто-нибудь подключился, мы

прекращаем отслеживать локальные действия ”.

Директор понимающе закивал. “Я этого и боялся. И в прошлом году 10 человек ушли из компании, и это могло

быть и их рук дело. Сейчас мы уже разобрались с трояном и его больше нет. Служба безопасности хочет, чтобы

мы приняли меры и чтобы подобного не повторилось. Начинай поиски решений”.

Линда вышла из офиса директора. Мысли бешено вертелись в ее голове. У себя в кабинете она успокоилась и

стала думать о том, как фиксировать те действия, которые локально осуществляет администратор, когда

подключается к серверу. Может быть, нужен скрипт, который бы при входе в систему запускал агента для

мониторинга? Но установка дополнительного софта не позволила бы решить эту проблему. Может, просто искать

изменения файловой системы и реестра? Но запись такой информации в журнал событий не лучшее решение,

ведь администраторы могут “подчистить” записи и удалить следы своих действий. Вздохнув, она открыла

браузер и стала искать, надеясь понять, как же другие справляются с подобной ситуацией.


10

Линда искала решение, которое бы могло записывать действия, осуществляемые локально – установка ПО,

изменение ключей реестра и другие локальные настройки конфигурации. Подобное решение должно хранить

данные централизованно, а не в разбросанных по разным местам журналам. В довершение всего уведомления в

режиме реального времени были бы как нельзя кстати, если бы осуществлялись какие-нибудь подозрительные

действия.


11

Освоение пространства аудита

Многие думают, что с помощью встроенных инструментов аудита можно избежать проблем с безопасностью.

Как же они неправы!

Потребности организаций опережают возможности, которые имеются у встроенных инструментов. Конечно,

журналы событий Windows, SQL сервера, SharePoint, Exchange и других систем фиксирует огромные объемы

информации, но они бесполезны в тех ситуациях, в которых Вы оказались вместе с нашими героями. Им нужно

нечто более целостное. Особенно им необходимы:

Консолидированный аудит, который бы фиксировал КТО, ЧТО, ГДЕ и КОГДА изменил в рамках всей IT-

инфраструктуры: Windows, файловые сервера, Active Directory, VMware, Exchange Server, SQL Server,

групповые политик, SharePoint и System Center Virtual Machine Manager, сетевые устройства, Unix и другие

системы;

Единый централизованный журнал аудита, который бы обладал возможностями долгосрочного хранения

данных;

Функция формирования отчетов, позволяющая вычислять отдельные действия за пару секунд, отвечая на

вопросы КТО, ЧТО, ГДЕ и КОГДА изменил;

Уведомления в режиме реального времени, чтобы моментально быть в курсе критических изменений;

Записи аудита, которые не могут быть исправлены теми же администраторами, которые осуществляют

мониторинг – то, что отсутствует в журнале событий Windows.

Наши герои отправились на поиски такой информации, которая бы фиксировалась не в журналах события, но

через специально созданные для этих целей программные решения.

Какие же у них есть варианты дальнейших действий? Они могут все также использовать журналы событий. Они

могут написать свои собственные скрипты. Или же они могут скачать пробную версию NetWrix Change Reporter

Suite, пакета программ, который удовлетворит их потребности в аудите изменений. Технология AuditAssurance™

фиксирует КТО, ЧТО, ГДЕ и КОГДА изменил. Для каждого изменения фиксируются значения “до” и “после”, что

позволяет просто отменять то, что не должно было быть изменено. Они получат простые в понимании отчеты,

которые упростят процесс разрешения проблем, сделают его быстрым.

Можете не сомневаться. Теперь им подвластно пространство аудита.

http://www.netwrix.com/tracking/track.html?campaign=NWX_WP_RUS&spot=&url=ru/change_auditing_solution.html

http://www.netwrix.com/tracking/track.html?campaign=NWX_WP_RUS&spot=&url=ru/change_auditing_solution.html

http://www.netwrix.com/http:/www.netwrix.com/tracking/track.html?campaign=NWX_WP_RUS&spot=&url=ru/change_auditing_solution.htmlru/auditassurance.html


12

О компании NetWrix NetWrix Corporation – узкоспециализированный разработчик программных решений для аудита

изменений IT-инфраструктуры. Аудит изменений – ключевая компетенция компании NetWrix, и никто из

других разработчиков настолько не сфокусирован на этой области. NetWrix предлагает решения для

аудита изменений IT-инфраструктуры, которые были признаны профессионалами по всему миру, о чем

свидетельствуют многочисленные награды компании. Основанная в 2006 году, компания занимает

первое место в сфере аудита изменений, и тысячи удовлетворенных клиентов по всему миру тому

подтверждение. Штаб-квартира компании находится в США, Нью-Джерси, Парамус, а ее региональные

подразделения в Лос-Анжелесе, Майами, Тампе, Бостоне, Санкт-Петербурге и Великобритании.

О авторе

У Дона Джонса за плечами более 15 лет опыта работы в IT. Он является одним из

лидирующих мировых экспертов в технологиях Microsoft. Им написано свыше 35

книг, включая: Windows PowerShell: TFM, Windows Administrator’s Scripting Toolkit

и многие другие. Дон – профессионал высокого уровня, который часто выступает

на таких конференциях как Microsoft TechEd, и выдающийся журналист, который

ведет колонки в TechNet Magazine, Redmond Magazine и TechTarget. Дон является

Most Valuable Professional (MVP) Microsoft уже на протяжении многих лет.

http://www.netwrix.com/http:/www.netwrix.com/tracking/track.html?campaign=NWX_WP_RUS&spot=company&url=ru/change_auditing_solution.htmlru/change_auditing_solution.html

http://www.netwrix.com/http:/www.netwrix.com/tracking/track.html?campaign=NWX_WP_RUS&spot=company&url=ru/change_auditing_solution.htmlru/change_auditing_solution.html

http://www.netwrix.com/tracking/track.html?campaign=NWX_WP_RUS&spot=&url=ru/awards_reviews.html

http://www.netwrix.com/tracking/track.html?campaign=NWX_WP_RUS&spot=&url=ru/customers.html

Documents

Пространство аудита: 5 историй об информационной безопасности