Аудит изменений ИТ-инфраструктуры
IT-отделы находятся на `передовой` информационной безопасности и выполнения требований нормативов. Вне зависимости от того, требуется ли это законодательством, отраслевыми нормами или внутренней политикой безопасности самой организации, выполнение требований нормативов в сфере информационной безопасности является обязательным условием эффективного функционирования современной IT-инфраструктуры. И на то есть весомые причины: невыполнение требований ведет к значительным убыткам, вызванным возникшими `утечками` конфиденциальных данных, длительным восстановлением и поиском виновных
Чтобы выполнить требования нормативов в сфере информационной безопасности, которые предъявляются к организациям, недостаточно наказывать виновных и проводить `разбор полетов`. Необходимо осуществлять аудит изменений IT-инфраструктуры – процесс, который отнимает время и деньги, если проводить его вручную.
Чтобы предотвратить `утечки` информации и нестабильную работу IT-инфраструктуры и в то же время не тратить уйму времени, пытаясь найти ответ в различных журналах, Вы можете использовать автоматические средства аудита изменений IT-инфраструктуры. Если у администраторов отсутствует возможность отследить, кто именно осуществил изменения, то это открывает простор для несанкционированных действий, предпринимаемых теми, кто хочет `слить данные`, запустить вирусы в корпоративную сеть или осуществить внутрисетевую атаку.
Помимо этого, требования нормативов впрямую говорят о необходимости записей аудита изменений IT-инфраструктуры, которые должны быть предельно точными и сформированными автоматически; данные должны храниться в архивах. Причем эти записи должны фиксировать все, начиная от событий в журналах до изменения прав пользователей. Если такие данные не будут получены аудитором, то можно со 100%-вероятностью сказать, что аудит будет признан неудовлетворительным.
Значительные изменения, которые могут оказать серьезное влияние на любую IT-инфраструктуру, происходят ежедневно. Кто-то внес небольшие изменения в членство в группах, объекты групповых политик, доверие доменов, роли или любой другой объект – и это может поставить всю компанию под угрозу образования `дыр` в безопасности или отрицательного результата аудита. У большинства компаний просто нет времени, желания и финансовых ресурсов отслеживать эти изменения IT-инфраструктуры с помощью разработанных самостоятельно инструментов или встроенных средств Windows, у которых недостаточный функционал для осуществления аудита изменений.
Именно поэтому многие компании автоматизируют аудит изменений IT-инфраструктуры специальными программными решениями, чтобы повысить уровень безопасности, обеспечить соответствие нормативам и сберечь нервы администраторов и руководства.
Однако реальное положение дел заключается в том, что в большинстве компаний до сих пор используется реактивный подход к решению подобных проблем, связанных с изменениями.
Чтобы получить информацию о событиях внутри ИТ-инфраструктуры, необходимо обращаться к штатным инструментам аудита. И хотя до поры до времени подход к аудиту с позиций штатных инструментов возможен, по мере усиления требований к информационной безопасности и выполнению нормативов, этот подход часто является неадекватным потребностям бизнеса и требующим больших временных и финансовых затрат. К тому же его нельзя признать надежным.
Итак, перед вами стоит задача по аудиту изменений ИТ-инфраструктуры. Чтобы сделать оптимальный для вашей компании выбор, вам необходимо знать все возможные варианты его осуществления.
Естественно, не существует универсального решения, варианта на все случаи жизни. Необходимо учитывать те цели, которые стоят перед вами и вашей компанией, бюджеты (в том числе и времени), особенности конкретной инфраструктуры и размеры компании.Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга
Перед тем, как приступить к оценке вариантов, Вы должны понять, зачем вам необходимо осуществлять мониторинг и аудит изменений и только после этого сформулировать критерии, по которым будут оцениваться варианты.
Также необходимо определить, нужен ли вам аудит изменений как вспомогательный инструмент для восстановления, как система предотвращения вторжений (IPS) или же он является неотъемлемой частью общей стратегии безопасности компании.
Следующий критерий – продолжительность внедрения решений. Однако важно помнить, что не все их нижеперечисленных подходов требуют много времени и финансовых ресурсов для внедрения. Перейдем к различным подходам к аудиту изменений:
- Стандартный подход к аудиту изменений – использование исключительно штатных инструментов – журналов событий. Стоит сразу указать на то, что обеспечить выполнение требований нормативов по информационной безопасности с помощью только данных журналов событий возможно; они же могут помочь в качестве диагностического инструмента для управления системами (systems management).
Однако этот подход в определенной степени является ограниченным. Хотя здесь не требуются дополнительные расходы (помимо трудозатрат работников), штатная система аудита содержит подводные камни, которые обязательно должны быть рассмотрены.
Во-первых, штатная система ведения журналов генерирует избыточный объем данных, так называемый «шум», которые не несут в себе никакой полезной информации без применения фильтрации или сортировки; это может, в свою очередь, оказать негативное влияние на функционирование системы. Штатные журналы аудита также небезопасны – они могут редактироваться, удаляться или исправляться. Так что если вы не собираете их регулярно, вы никогда не сможете быть уверены в их точности.
Также в рамках этого подхода отсутствует возможность полноценно хранить или архивировать данные; поэтому если перед Вами стоит задача хранить журналы для целей выполнения требований нормативов, то данный процесс может отнимать много времени. Но если у вас имеется время, терпение и человеческие ресурсы, Вы теоретически можете работать со штатной системой аудита, однако помните, что она далека от идеальной.
- Второй подход к аудиту изменений заключается в использовании SIEM решений – Систем управления информацией и событиями. За последние пару лет SIEM-решения получили большое внимание со стороны СМИ и были провозглашены некоторыми как шаг вперед в области аудита изменений.
SIEM решения необходимы в первую очередь тем компаниям, которые, осуществляя аудит изменений, преследуют цели обеспечение информационной безопасности. Однако ахиллесовой пятой использования SIEM решений применительно к аудиту изменений является то, что они полагаются исключительно на данные штатных журналов событий. Это значит, что с ними возможны те же самые проблемы, связанные с целостностью данных, что и со штатными инструментами, а именно – фальсификация журналов. Эти решения полагаются исключительно на один источник данных и надежность этого невысока. Решения такого рода по своей природе требуют значительных затрат времени и ресурсов на внедрение и поддержание их работоспособности.
К тому же SIEM – это достаточно дорого, поэтому рассматривать их стоит только в том случае, если вашей целью является выполнение определенных требований безопасности. Также они используются тогда, когда имеется потребность в интеграции в вашу стратегию аудита изменений отдельных функций, таких как автоматическое восстановление и предотвращение вторжений. Но они явно не подходят, если Вашей главной целью является обеспечение надежности данных аудита и их целостности, а бюджеты урезаны. Вот лишь некоторые из вендоров SIEM решений — Log Logic, ArcsИТe, LogRythym или Splunk.
- Третий подход к аудиту изменений – написать свою систему аудита изменений. С одной стороны полезно создать специфическую систему, которая бы удовлетворяла потребности именно вашей организации. С другой стороны, требуется много времени, технических ресурсов и использование неавторизованных API для того, чтобы осуществлять сбор данных, что уже само по себе заключает определенные риски. В конечном итоге, приняв во внимание тот факт, что на рынке имеются относительно недорогие и адаптивные решения для аудита изменений, подход «сделай-сам» не является жизнеспособным, о чем свидетельствует снижение его популярности.
- Последний подход – использовать решения, разрабатывающиеся вендором, который специализируется на аудите изменений. Возможности тех или иных решений, предоставляемых вендорами, могут варьироваться, поэтому необходимо выбрать подходящее именно Вам и внедрить его правильным образом. Такой подход позволить получать целостную, надежную и полную картину изменений в ИТ-инфраструктуре.
Важно, чтобы вы были уверены, что решения вендора, которые вы выбрали, способны собирать данные из различных источников, осуществлять их фильтрацию, сортировку и сжатие, чтобы впоследствии доступ к ним был упрощен.
Немаловажны такие функции решений как хранение и архивирование данных аудита; в противном случае, такие решения ничем не лучше штатных инструментов аудита. Также важно, что у решений, предоставляемых вендором, присутствовала возможность фиксировать значения до и после изменения – такая наглядность позволять оперативно решать возникающие в ходе анализа изменений проблемы.
Наряду с предоставлением детализированной и точной картины того, что происходит к вашей ИТ-инфраструктуре, и выполнением требований нормативов по информационной безопасности, этот более сфокусированный подход к аудиту изменений позволяет вам получать как уведомления в режиме реального времени, так и автоматические отчеты, что позволит вам значительно повысить прозрачность происходящий в организации изменений.
Этот подход не такой комплексный, как SIEM решения в части того, что он не позволит автоматически восстановить данные или предотвратить вторжение; но специализированные решения для аудита изменений стоят в несколько раз меньше, чем обычная SEIM система. Если же вы хотите получить такой уровень целостности и детализированности аудита, который обеспечивают специализированные решения, но вам также необходима и реализация комплексной стратегии безопасности, вы всегда можете инвестировать в решения вендора по аудиту изменений и интегрировать его с вашим SIEM решением.
Подсчитав время, затраты и риски, связанные с различными вариантами приобретения знания о вашей ИТ-инфраструктуре, вы скорее всего придется к выводу, что специализированное программное обеспечения для аудита изменений наиболее вероятно обеспечит вам быстрейший возврат на инвестиции.
Но как со всеми вещами в жизни, универсального решения не существует, поэтому чтобы найти его для вашей организации, первый шаг на пути аудита изменений заключается в том, что у вас должна быть четкая картина того, что вам нужно достичь и понимать какие варианты у вас имеются.