1. Как выбрать решение для аудита файловых серверов?
White Paper

2. Как выбрать решение для аудита файловых серверов
Содержание
1. Почему аудит файловых серверов важен? ................................................................................................................. 3
1.1 Пример из практики .............................................................................................................................................. 3
1.2 Аудит файловых серверов как способ снижения риска .................................................................................... 4
1.3 Аудит файловых серверов для целей усиления безопасности ......................................................................... 4
1.4 Аудит изменений файловых серверов в контексте требований нормативов по информационной
безопасности ..................................................................................................................................................................... 5
2. Требования к программам, осуществляющим аудит файловых серверов .............................................................. 6
2.1 Автоматический сбор данных .............................................................................................................................. 6
2.2 Эффективное централизованное хранение данных .......................................................................................... 7
2.3 Масштабируемость ............................................................................................................................................... 8
2.4 Возможность формирования расширенных отчетов ......................................................................................... 8
2.5 Аудит устройств хранения .................................................................................................................................... 9
2.6 Мониторинг целостности файлов ........................................................................................................................ 9
2.7 Дополнительные требования .............................................................................................................................. 9
3. Подход NetWrix к аудиту файловых серверов .......................................................................................................... 10
О компании NetWrix ........................................................................................................................................................... 11
2

3. Как выбрать решение для аудита файловых серверов
1. Почему аудит файловых серверов важен?
1.1 Пример из практики
Важность полномасштабного аудита файловых серверов лучше всего проиллюстрировать на
примере из практики. Файлы, хранящиеся на серверах, содержат зачастую конфиденциальную
информацию. По большей части эта информация не предназначена для всех. Важно, чтобы в любой
момент времени из записей аудита можно было узнать, кто получал доступ к файлам и папкам или
пытался изменить разрешения для них, включая дату и время, когда такие попытки доступа или
изменения были осуществлены и на каком сервере это произошло. Для тех компаний, которые обязаны
выполнять требования таких стандартов, как SOX, HIPAA, PCI и FISMA, детализированный аудит
файловых серверов, показывающий, что, когда, где и кем было изменено, является обязательным
требованием. Без такого аудита, организация рискует безопасностью своей IT-инфраструктуры, что в
конечном итоге приводит к штрафам и прочим санкциям. Ведь вся информация в организации хранится
в различного рода файлах: данные о работниках, финансовая информация, коммерческая информация
и т.п., которая не предназначена для всех внутри организации, не говоря уже о невозможности
публичного доступа к ней. “Одно неловкое движение – и информационная безопасность находится под
серьезной угрозой”.
Представьте себе пользователя, блуждающего по корпоративной сети, который натыкается на файл,
созданный руководителем, в котором четко и ясно говорится о предстоящем слиянии, включающем
финансовые транзакции, смену руководства и объединение рабочих коллективов. Такая информация,
содержащаяся в файле, будучи открытой пользователем, сразу же теряет свою конфиденциальность. А
если она распространяется дальше, то это может привести к плачевным последствиям. Нарушения
доступа к файлам, такие как описано выше, могут оказаться гораздо хуже, если информация в таких
конфиденциальных файлах была изменена или удалена или же сами файлы были удалены.
Без налаженного аудита файлового сервера, организация не сможет представить доказательства в
ходе аудиторской проверки того, кто получал доступ к определенным файлам, а также когда и где это
произошло. Но если осуществляется аудит файловых серверов, то такая информация может быть
получена быстро и легко. Таким образом, организации предоставляется возможность снизить риски,
связанные с нарушением в системе информационной безопасности.
3

4. Как выбрать решение для аудита файловых серверов
1.2 Аудит файловых серверов как способ снижения риска
Детализированные записи аудита файловых серверов представляют доказательства защищенности
IT-инфраструктуры как внутренним, так и внешним аудиторам. Автоматический сбор информации и
формирование на ее основании отчетов по изменению файлов, папок, разрешений, а также доступа к
ним дают позволяют организации быть в курсе того, что происходит внутри ее инфраструктуры.
Использование такой информации позволяет значительно снизить риски нарушения информационной
безопасности. В случае изменения файловых разрешений пользователь или отдельная группа могут
получать доступ к конфиденциальной информации или даже изменять ее. Пользователь, постоянно
просматривающий информацию, которую он не должен получать по роду своей деятельности, вполне
может оказаться тем человеком, который просто “сливает” ее конкурентам (например, относительно
деталей будущего продукта). Если важные файлы были удалены с сервера, то это может объяснить,
почему же важные отчеты не были отправлены вовремя. Аудит файловых серверов – способ,
посредством которого доступ и изменения файлов, папок и разрешений могут быть зафиксированы с
целью гарантирования того, что права доступа к конфиденциальным файлам настроены правильно.
Эффективное управление взаимодействием с файлами снижает риск, гарантируя при этом, что все
пользователи обладают необходимыми правами доступа, чтобы эффективно выполнять свои
обязанности. Изменение может привести к непредсказуемым результатам, одним из которых является
ситуация, когда информационная безопасность находится под угрозой. Аудит файловых серверов
предоставляет всю необходимую информацию, которая подтверждает, что факторы риска управляются
соответствующим образом, и пользователи в то же время нормально выполняют свои обязанности.
1.3 Аудит файловых серверов для целей усиления безопасности
В жизни современной организации возникает все больше внутренних угроз в сфере
информационной безопасности. В новостях (например, нарушение безопасности в Shinogi, Inc.,
случившийся в июле 2011 года) часто демонстрируется, что бывшие работники организации –
работники недовольные, да к тому же использующие знания системы безопасности для собственных
целей. Главной причиной таких событий является излишний уровень доверия. Работникам даются
широкие права, но когда этими правами злоупотребляют, жертвами становятся сами организации.
Аудит файловых серверов дает организациям возможность создать такую систему записи событий,
которая позволяет усилить информационную безопасность. Усовершенствования в системе
безопасности посредством использования традиционных инструментов по большей части являются
запоздалыми. Бреши в системе безопасности зачастую вскрываются уже после факта нарушения
безопасности, и причиной тому является отсутствие настроенного аудита файловых серверов с
функциями формирования соответствующих отчетов. Мониторинг файловой активности
непосредственно связан с усилением информационной безопасности организации. Однако аудит
файловых серверов с использованием лишь встроенных инструментов аудита громоздок и
4

5. Как выбрать решение для аудита файловых серверов
малопродуктивен, поскольку из-за объема записываемых данных сложно получить необходимую
информацию, к тому же большинство событий не является несанкционированным. Одним из
простейших способов усиления безопасности доступа к файлам является автоматическое получение
информации об изменениях на постоянной основе. Почему же аудит файловых серверов важен?
1.4 Аудит изменений файловых серверов в контексте требований нормативов по
информационной безопасности
Такие нормативы в сфере информационной безопасности, как SOX, HIPAA, FISMA и PCI, по-разному
объясняют стандарты безопасности, а именно что конкретно нужно отслеживать и записывать о
событиях доступа и изменениях. Эти нормативы существуют для того, чтобы обеспечить защиту как
организаций, так и конечных потребителей. В конечном итоге, эти нормативы призваны подтвердить,
что организация защищает, записывает и отслеживает изменения, которые так или иначе
подразумевают доступ к конфиденциальной информации, такой как: банковская информация, номера
социального страхования и карточки больных. Вдобавок эти стандарты устанавливают минимальный
набор требований, предъявляемых к доступу пользователей внутри той IT-инфраструктуры, где они
работают. Разрешения файлов и папок – ключевой аспект для выделения той информации, работа с
которой разрешена только отдельным пользователям. При этом не нужно помещать файлы в
отдельные физические или виртуальные системы. Подтвердить выполнение требований нормативов -
значит предоставить аудиторам все необходимую информацию с необходимым уровнем ее
детализации. Аудит попыток доступа к файлам, папкам и разрешениям и их изменения предоставляет
информацию о том, что, когда, где и кем было изменено. Именно такая информация требуется
аудиторами. Причем информацию нужно хранить в течение 7 лет, чтобы требования нормативов были
выполнены. Для файловых серверов Windows и устройств хранения (таких как NetApp Filer), этого
крайне сложно добиться. Аудит осуществляется вручную с использованием встроенных инструментов.
Все это дало толчок к возникновению вспомогательных инструментов, особенно актуальных в крупных
IT-инфраструктурах с различными уровнями IT-администрирования.
5

6. Как выбрать решение для аудита файловых серверов
2. Требования к программам,
осуществляющим аудит файловых серверов
Аудит файловых серверов – процесс сбора информации о попытках доступа и изменениях файлов,
папок и разрешений, хранение такой информации и формирование на ее основе регулярных отчетов.
Он также включает в себя анализ такой информации, осуществление на ее основании определенных
действий и оценку результатов этих действий с целью выполнения требований нормативов в сфере
информационной безопасности, повышения защищенности организации и гарантирования стабильной
работы пользователей. В серверах Windows и устройствах хранения присутствуют встроенные
инструменты записи такой информации, однако она не хранится централизованно, а распределена по
различным серверам и устройствам хранения, находящимся во всей IT-инфраструктуре. Встроенные
инструменты также не позволяют формировать отчеты на основании данных аудита, затрудняя этапы
сбора данных и создания отчетов по изменениям файла, папок или разрешений, а также попыток
доступа и изменений; все это требует больших временных затрат. К тому же существует риск потери
данных аудита – данные, зафиксированные в журнале, перезаписывается, иначе имеется риск быстрого
исчерпания свободного места. Информация, сгенерированная с помощью встроенных инструментов,
может быть полноценно проанализирована администратором, который обладает значительным
опытом работы с системными событиями и сообщениями. Интерпретация такой информации должна
привести к принятию определенного решения (принять данное изменение или отклонить его). Ни в
коем случае это решение не должно быть компромиссным или принятым в результате отсутствия
необходимой информации. Сводя все эти факторы воедино, можно сказать, что встроенные
инструменты аудита файловых серверов практически не соответствуют потребностям организаций,
которые хотят осуществлять аудит изменений. Они подходят разве что для малых и средних
организаций, которые хорошо укомплектованы персоналом для того, чтобы справиться с
возникающими нагрузками. Ниже приведен список необходимых функций, предъявляемых к
инструментам аудита файлового сервера. Дополнительные замечания по внедрению решений также
представлены ниже.
2.1 Автоматический сбор данных
Для того, чтобы эффективно осуществлять аудит файловых серверов, этот процесс должен быть
автоматизирован либо с помощью использования скриптов, либо с помощью сторонних программ. Без
этого сбор информации на постоянной основе невозможен. Размер организации напрямую связан с
объемом генерируемых “сырых” данных, что в свою очередь усложняет задачу отслеживания
изменений и создания отчетов. Дополнительные шаги должны быть сделаны на серверах и
контроллерах доменов по всей IT-инфраструктуре для включения системы аудита, который по
6

7. Как выбрать решение для аудита файловых серверов
умолчанию отключен. Дополнительные скрипты и/или сторонние программы для мониторинга
файловых серверов могут быть использованы для предварительного конфигурирования системы для
настройки аудита. Более того, если сбор данных осуществляется нерегулярно, то существует риск
потери важной информации вследствие перезаписи журнала событий или проблем с исчерпанием
свободного места на сервере. Это важное требование к инструментам аудита файловых серверов, так
что без него актуальный аудит невозможен.
2.2 Эффективное централизованное хранение данных
Автоматизация обычно требует дополнительных ресурсов и может негативно сказываться на
функционировании системы, что в свою очередь может привести к проблемам стабильности. По этой
причине, важно, чтобы влияние применяемого метода сбора данных было минимальным. Более того,
хранение данных должно также быть рассмотрено в процессе внедрения решения. Пока это является
возможным, данные событий и аудита могут храниться исключительно в локальной системе, где
события произошли. Однако предпочтительный метод – централизация этой информации в отдельном
хранилище данных, где они были бы одновременно защищены и доступны. Такой подход имеет свои
преимущества, так как потребность анализировать информацию и формировать на ее основании отчеты
становится частью повседневной деятельности IT-администратора или группы, ответственной за общее
здоровье различных файловых служб.
Сбор информации также должен быть надежным. Каждый элемент системы аудита файлового
сервера должен проверяться на периодической основе, чтобы гарантировать целостность
генерируемых данных. Наиболее совершенные методы надежного сбора такой информацией обладают
возможностью предварительного просмотра (prescreen) данных и их фильтрации с целью выделения
только важной информации. В процессе сбора данных, предпочтение должно отдаваться тем методам,
которые используют Журнал событий Windows (Event Log) и другие встроенные инструменты аудита,
которые отличаются от методов, требующих внедрения агентов или изменения кода системы для
извлечения данных о событии. Осуществление этого позволяет устранить любые потенциальные
проблемы, связанные со стабильностью работы системы или несовместимостью программ. Особенно
это актуально для Windows систем, так как нельзя полагаться исключительно на данные журнала
событий в связи с неполнотой генерируемой информации. Чтобы полностью понять то или иное
событие, информация из различных источников должна быть агрегирована, и ее последующий анализ
должен рассматривать уже агрегированную информацию. Защита такой информации для целей
краткосрочного и долгосрочного хранения также является важным процессом. Важно, чтобы никто из
привилегированных пользователей не имел доступа к ним, а тем более не имел возможности удалить
или иным образом вмешаться в эти данные. Доступ к такой информации должен быть ограничен или
вообще запрещен.
7

8. Как выбрать решение для аудита файловых серверов
2.3 Масштабируемость
Чтобы осуществлять аудит файловых серверов, программное решение для аудита должно быть
масштабируемым, программное решение должно приспосабливаться к постоянно меняющейся
инфраструктуре организации, но в то же время без “рывков” в процессе внедрения. Внедрение и
дальнейшее использование решений для аудита файловых серверов будет упрощено в том случае,
когда не будут требоваться дополнительное ПО или значительные изменения конфигурации, чтобы
адаптироваться к изменениям внутри организации. Решение для аудита файловых серверов должно
принимать во внимание постепенные (гранулярные) изменения, такие как изменения общей топологии
сети, контроллеров доменов и Active Directory. Это необходимо для того, чтобы осуществлять
постоянный контроль над изменениями с целью предоставления наилучшего качества обслуживания
пользователям и предоставления записей аудита IT-профессионалам.
2.4 Возможность формирования расширенных отчетов
Когда сбор данных из различных источников был автоматизирован, а сами данные хранятся в
защищенном месте, тогда аудит файловых серверов начинает играть проактивную роль в выполнение
требований нормативов в сфере информационной безопасности, защите информации и повышении
общей стабильности работы сети. Расширенные отчеты необходимы для предоставления IT-
администраторам, менеджменту и аудиторам, причем в них должна быть возможность настраивать
итоговые результаты по каждому изменению и попытке доступа за любой период времени. Без
предоставления однозначно понятной информации по истории изменений для ежедневных
модификаций файлов и папок, таких как, кто изменил разрешения общей папки или кто удалил важных
бухгалтерский документ, выполнение требований, стабильность и безопасность невозможны, поэтому
большинство возможностей для усовершенствования системы безопасности будет упущено.
При хранении данных и формировании отчетов в Windows средах наиболее очевидным является
использование SQL и SQL Reporting Services. SQL Express Edition можно скачать с сайта Microsoft, и у
большинства администраторов есть опыт работы с SQL. Возможность настраивать отчеты по запросу, а
также использовать уже предустановленные сторонними разработчиками отчеты позволяет сэкономить
время; в то же время эти отчеты подходят для большинства возникающих нужд. Ежедневное
использование отчетов гарантирует полную прозрачность всей IT-инфраструктуры и выполнение
требований нормативов в сфере информационной безопасности. Дополнительные возможности, такие
как оповещение по электронной почте и подписка на отчеты, также оказывают влияние на общую
эффективность управления файловой системой. Таким образом, возможность формирования
расширенных отчетов является залогом успешного осуществления аудита файловых серверов.
8

9. Как выбрать решение для аудита файловых серверов
2.5 Аудит устройств хранения
В большинстве IT-инфраструктур доминируют системы Windows, однако также широко используются
такие популярные устройства хранения, как EMC Celerra и NetApp Filer. Поэтому они также должны быть
приняты во внимание при осуществлении аудита изменений. Функционирование этих и других
подобных систем отличается от функционирования Windows серверов, поэтому с этим нужно считаться
при осуществлении их аудита. Любое выбранное решение должно осуществлять автоматический и
детализированный аудит файлов, папок и разрешений, а также попыток доступа. Игнорирование аудита
этих популярных устройств хранения ставит по угрозу безопасность компании. По этим причинам,
любой инструмент файлового аудита должен включать поддержку этих и других платформ и должен
унифицировать результаты отчетов, получаемых администраторами. Это сэкономит время, ресурсы, так
как отсутствует потребность в дополнительном ПО и/или вендорах и необходимость обучать персонал
работе с дополнительными программами.
2.6 Мониторинг целостности файлов
Мониторинг целостности файлов гарантирует целостность файлов посредством мониторинга хеш-
суммы, а не самого файла. Этот подход позволяет быстро зафиксировать изменения файлов и
своевременно уведомлять, когда такое изменение произошло. Мониторинг целостности файлов также
требуется для выполнения требований стандарта PCI DSS. Мониторинг целостности файлов в
программном решении для аудита файловых серверов необходим для предоставления высоких
уровней безопасности и контроля изменений над данными.
2.7 Дополнительные требования
Предпочитаемые решения должны быть просты во внедрении и обладать возможностью
подключения дополнительных модулей для формирования целостного пакета программ, чтобы
максимизировать потенциальные выгоды от аудита изменений. Некоторые дополнительные типы
систем могут включать файрволы, маршрутизаторы, серверы с базами данных, устройства хранения и
другие технологии Microsoft, такие как SQL и SharePoint и особенно Active Directory и групповые
политики. Уведомление в режиме реального времени и функции восстановления объектов также
добавят ценности выбранным решениям для аудита файловых серверов.
9

10. Как выбрать решение для аудита файловых серверов
3. Подход NetWrix к аудиту файловых серверов
NetWrix File Server Change Reporter — программа, которая отслеживает изменения файлов, папок и
их свойств, в частности разрешений, а также попытки доступа во всей IT-инфраструктуре, включая
популярные устройства хранения. Программа ежедневно присылает полные отчеты по изменениям в
файловых серверах, включая модификации в файлах, папках, сетевых ресурсах и правах доступа. Отчет
включает предыдущее и новое значения для соответствующих параметров конфигурации. Программа
предоставляет данные о том, кто и когда вносил изменения, а также подробную информацию об
изменениях прав доступа. Автоматический сбор информации и формирование на ее основе отчетов не
только превосходит возможности встроенных инструментов Windows и устройств хранения, но
расширяет возможности, сокращая время и усилия, затрачиваемые на сбор информации об
изменениях, осуществляемый вручную или используя сложные скрипты. Также в программе возможна
архивация всех модификаций, которая поможет выяснить подробности изменений спустя месяцы и
годы.
Узнайте, как NetWrix File Server Change Reporter может помочь Вашей организации при
осуществлении аудита изменений и выполнении требований нормативов в сфере информационной
безопасности.
Скачайте пробную версию на нашем сайте – Скачать FSCR
10

11. Как выбрать решение для аудита файловых серверов
О компании NetWrix
NetWrix Corporation – высокоспециализированный разработчик программных решений для аудита
изменений IT-инфраструктуры. Аудит изменений – ключевая компетенция компании NetWrix, и никто из
других разработчиков настолько не сфокусирован на этой области. NetWrix предлагает решения для
аудита изменений IT-инфраструктуры, которые были признаны профессионалами по всему миру, о чем
свидетельствуют многочисленные награды компании. Основанная в 2006 году, компания занимает
первое место в сфере аудита изменений, и тысячи удовлетворенных клиентов по всему миру тому
подтверждение. Штаб-квартира компании находится в США, Нью-Джерси, Парамус, а ее региональные
подразделения в Лос-Анжелесе, Майами, Тампе, Бостоне, Санкт-Петербурге и Великобритании.
©2012 All rights reserved. NetWrix is trademark of NetWrix Corporation and/or one or more of its subsidiaries and may be registered in the U.S. Patent and
Trademark Office and in other countries. All other trademarks and registered trademarks are the property of their respective owners.
11