Dell Software на сторожі ІТ-безпеки підприємства

Опубліковано: Субота, 13 Січень, 2018 at

Двухфакторна аутентифікація і безперервне відповідність: ключові компоненти інформаційної безпеки промислового підприємства. Аудит змін на промислових підприємствах

Пітер терСтеег (Peter terSteeg),

Директор з технічної стратегії, Windows Management, Dell Software

На сторожі змін

Найбільш небезпечними на поточний момент є цілеспрямовані атаки, які, як правило, часто залишаються непоміченими дуже тривалий час – місяці і більше. Основними характеристиками таких атак є дуже поступове і повільне проникнення, який мав би викликати підозри і спрацьовування засобів захисту. Однак щоб забезпечити таке проникнення хакерам доводиться міняти конфігурацію системи і її захисних механізмів. Саме тому контроль змін ключових компонент корпоративної інформаційної системи дозволяє виявити ці посівні зміни, а іноді і допомогти в розслідуванні подібних цілеспрямованих атак.

Як контролювати зміни?

Сучасні інформаційні системи не можуть не змінюватися, хоча б для виправлення помилок програмного забезпечення. Тому повністю запобігти змінам конфігураційних файлів неможливо. Важливо робити тільки санкціоновані зміни і виявляти такі, які можуть зашкодити безпеці підприємства. Отже, загрози для процесу конфігурації можна визначити наступні:

– Підробка адміністративних повноважень. Коли зловмисники проникають в систему вони насамперед прагнуть отримати адміністративні права. Таким чином, використання для адміністраторів більш жорстких методів аутентифікації (двухфакторна аутентифікація) дозволить знизити ризик цілеспрямованих нападів. Рішення Dell Identity and Access Management реалізують двухфакторную аутентифікацію, необхідну для захисту організацій від ризиків. Завдяки Dell One Identity Manager призначення користувачів і виділення ресурсів не обмежуються технологіями і можливостями цих ресурсів, і можна виявляти причини проблем, а не їх симптоми. Він спрощує процеси управління доступом і роботу з користувачами, їх повноваженнями і безпекою в масштабі підприємства, багаторазово спрощує завдання IAM, час і витрати на їх виконання в порівнянні з «традиційними» інфраструктурними рішеннями.

Dell Cloud Access Manager на новому рівні використовує движок Dell Security Analytics Engine, надаючи організаціям можливості контекстного контролю над Web-додатками і мобільними додатками, сумісними з OpenID Connect. Цей адаптивний контроль підвищує інформаційну безпеку і забезпечує більш простий і раціональний доступ для широкого спектру додатків і сценаріїв. Додаючи нові можливості соціальної та мобільного аутентифікації, Cloud Access Manager дає користувачам зручний доступ до найширшого спектру успадкованих і новітніх додатків, в той час як ІТ отримують необхідну безпеку і контроль.

– Виконання неавторизованих змін. Коли зловмисникам все-таки вдалося обійти процедуру аутентифікації, вони починають модифікувати систему так, щоб приховати свою присутність в системі. Саме тому і виникають модифікації файлів, авторство яких встановити неможливо. Тому варто організувати систему управління змінами таким чином, щоб завжди можна було встановити хто саме вніс відповідні зміни. Для цього традиційно використовується електронний підпис всіх модифікацій і збереження журналу всіх транзакцій із забезпеченням їх цілісності.

– Модифікація реальних змін. Однак в деяких випадках хакери можуть отримати доступ безпосередньо до файлів конфігурації і змінити його так, що адміністратору буде здаватися, що все налаштовано вірно, але насправді система працює в неправильному режимі. Тому потрібно проводити аудит конфігурацій, який би не тільки показав, що файл конфігурації правильний, але і реально перевірив, в якому режимі працює система.

В цілому ж для гарантії від несанкціонованих змін конфігурації потрібно забезпечити з одного боку жорсткий контроль за тим, хто, коли і навіщо виконував зміни, а з іншого – перевіряти наскільки реальна конфігурація відрізняється від встановленої адміністратором. Таким чином, система управління конфігураціями фактично має дві частини – ядро, яке забезпечує узгодження змін, і набори моніторингових модулів, які перевіряють кілька реальна конфігурація конкретної системи відрізняється від узгодженої.

Які інструменти можна використовувати?

Хороша система контролю змін повинна мати наступний функціонал:

– Узгодження змін. Ядро системи забезпечує узгодження змін між адміністраторами, керівництвом і бізнес-підрозділом. Причому це узгодження має бути організовано так, щоб автори всіх дій строго фіксувалися. Дії, авторство яких встановити не вдається, автоматично вважаються несанкціонованими і повинні бути скасовані. Саме тому адміністратори повинні працювати вже не безпосередньо з цілими системами, але через інструмент контролю змін.

– Виконання змін. Далі ядро має інтегруватися з найрізноманітнішими цільовими системами. Для цього використовуються так звані коннектори, які забезпечують як внесенням змін, так і підтвердженням виконаних дій. У хорошій системі контролю змін такі коннектори повинні бути для всіх найбільш популярних програмних продуктів, а для інших – інструменти швидкої розробки нового коннектора.

– Контроль змін. Однак найбільш важливо не тільки забезпечувати виконання змін, але перевіряти, наскільки реальна настройка системи відрізняється від узгодженої. Тут мало просто повірити цілісність файлів конфігурації цілих систем, потрібно ще протестувати реальний їх функціонал. Тому контрольний модуль збирає відомості і відбуваються в цільовій системі події і аналізує їх на предмет порушення конфігурацій.

Слід зазначити, що перші два компонента перетинаються з функціоналом системи управління ІТ, і тому є необов’язковими в тому випадку, коли подібна система вже розгорнута на підприємстві. Проте, взаємодія сканера конфігурацій з цією системою управління необхідно для отримання відомостей про еталонних налаштуваннях систем.

Реалізація в InTrust

Компанія Dell пропонує свій продукт – Dell InTrust. Це аналітичне рішення, яке дає організаціям можливості пошуку і аналізу величезних обсягів даних, зосереджених в одному місці, що дозволяє в реальному часі здійснювати глибокий аналіз користувальницьких операцій з метою контролю безпеки, відповідності нормативним вимогам і ефективності. У разі інциденту адміністратори за допомогою InTrust миттєво отримують детальне уявлення про взаємозв’язок між даними і користувачами для швидкої діагностики широко поширених проблем. Співробітники відділів безпеки можуть проводити повноцінні розслідування, незалежно від того, де ці дані знаходяться і який мають формат. А співробітники, які контролюють відповідність процесів нормативним вимогам, можуть легко створювати звіти, що підтверджують таку відповідність в масштабі безлічі систем.

Система обробки подій і зберігання даних InTrust збирає інформацію з різних цільових систем, розроблених компаніями Microsoft, Oracle, IBM, HP, Red Hat і SuSE. Вона дозволяє фіксувати всі події, що відбуваються в цих системах, контролюючи дії користувачів, їх права та внесені ними зміни. Також InTrust дозволяє проводити аналіз накопичених відомостей і складати звіти. Крім того, цей продукт може інтегруватися з системами управління ІТ System Center Operation Manager і Audit Collection Services.

Слід зазначити, що для цілей забезпечення безпеки потрібно контролювати не тільки всі події, що відбуваються в інформаційній системі, а й ключові процеси, які пов’язані з загальнокорпоративні сервісами. У компаніях, чиї інформаційні системи побудовані на технологіях Microsoft, такими ключовим системами є каталог Active Directory і файлові сервери. Саме тому компанія Dell також пропонує два додаткових модуля: ChangeAuditor for Active Directory і ChangeAuditor for Windows File Servers. Вони-то якраз і дозволяють контролювати зміни в найбільш критичних областях інформаційної системи.

Change Auditor допомагає ІТ-персоналу, службі безпеки і контролю відповідності проводити аудит, отримувати попереджувальні повідомлення, забезпечувати захист і отримувати звіти по операціях користувачів і адміністраторів, змін в конфігурації і додатках в більшості критичних областей. Дане рішення допомагає підприємствам запобігти появі ризиків для інформаційних систем, виникнення простоїв, неправильне використання важливих даних, неможливість аудиту і поява прогалин в системі безпеки, але в ті ж час гарантувати, що керівники бізнесу зможуть надати аудиторам і акціонерам свідоцтва дотримання політик інформаційної безпеки та відповідності нормативним вимогам у всій організації.

Організації отримують всі переваги, які дають можливості моніторингу змін в реальному часі в більшості критичних областей інформаційних систем.

Зокрема, саме таким шляхом пішла одне з провідних авіаційних конструкторських бюро Росії, яке встановило в своїй інформаційній системі продукти Dell серії ChangeAuditor. Для цієї компанії, яка займається високотехнологічними розробками, важливо зберегти свою інтелектуальну власність в цілості. Щоб перешкодити розробці важливих авіапрограм, цілком можуть бути розроблені цілеспрямовані шкідливі і шпигунські програми, які до певного часі не виявлятися антивірусами. Тому служба безпеки компанії вирішила піти іншим шляхом – контролювати зміни конфігурації інформаційної системи з метою виявлення несанкціонованих змін конфігурації. Для вирішення цього завдання і були в компанії впроваджені інструменти Dell з серії ChangeAudit.

Техноблог рекомендує:

Comments are closed.