• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Как выбрать решение для аудита файловых серверов [White Paper]
 

Как выбрать решение для аудита файловых серверов [White Paper]

on

  • 2,044 views

 

Statistics

Views

Total Views
2,044
Views on SlideShare
1,431
Embed Views
613

Actions

Likes
0
Downloads
2
Comments
0

9 Embeds 613

http://netwrix-ru.blogspot.com 390
http://netwrix-ru.blogspot.ru 196
http://www.netwrix-ru.blogspot.com 15
http://www.blogger.com 4
http://valencianistasiempre.blogspot.com.es 3
http://www.netwrix-ru.blogspot.ru 2
http://valencianistasiempre.blogspot.com 1
http://netwrix-ru.blogspot.de 1
http://netwrix-ru.blogspot.co.uk 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Как выбрать решение для аудита файловых серверов [White Paper] Как выбрать решение для аудита файловых серверов [White Paper] Document Transcript

    • Как выбрать решение для аудита файловых серверов? White Paper
    • Как выбрать решение для аудита файловых серверовСодержание1. Почему аудит файловых серверов важен? ................................................................................................................. 3 1.1 Пример из практики .............................................................................................................................................. 3 1.2 Аудит файловых серверов как способ снижения риска .................................................................................... 4 1.3 Аудит файловых серверов для целей усиления безопасности ......................................................................... 4 1.4 Аудит изменений файловых серверов в контексте требований нормативов по информационной безопасности ..................................................................................................................................................................... 52. Требования к программам, осуществляющим аудит файловых серверов .............................................................. 6 2.1 Автоматический сбор данных .............................................................................................................................. 6 2.2 Эффективное централизованное хранение данных .......................................................................................... 7 2.3 Масштабируемость ............................................................................................................................................... 8 2.4 Возможность формирования расширенных отчетов ......................................................................................... 8 2.5 Аудит устройств хранения .................................................................................................................................... 9 2.6 Мониторинг целостности файлов ........................................................................................................................ 9 2.7 Дополнительные требования .............................................................................................................................. 93. Подход NetWrix к аудиту файловых серверов .......................................................................................................... 10О компании NetWrix ........................................................................................................................................................... 11 2
    • Как выбрать решение для аудита файловых серверов 1. Почему аудит файловых серверов важен? 1.1 Пример из практики Важность полномасштабного аудита файловых серверов лучше всего проиллюстрировать напримере из практики. Файлы, хранящиеся на серверах, содержат зачастую конфиденциальнуюинформацию. По большей части эта информация не предназначена для всех. Важно, чтобы в любоймомент времени из записей аудита можно было узнать, кто получал доступ к файлам и папкам илипытался изменить разрешения для них, включая дату и время, когда такие попытки доступа илиизменения были осуществлены и на каком сервере это произошло. Для тех компаний, которые обязанывыполнять требования таких стандартов, как SOX, HIPAA, PCI и FISMA, детализированный аудитфайловых серверов, показывающий, что, когда, где и кем было изменено, является обязательнымтребованием. Без такого аудита, организация рискует безопасностью своей IT-инфраструктуры, что вконечном итоге приводит к штрафам и прочим санкциям. Ведь вся информация в организации хранитсяв различного рода файлах: данные о работниках, финансовая информация, коммерческая информацияи т.п., которая не предназначена для всех внутри организации, не говоря уже о невозможностипубличного доступа к ней. “Одно неловкое движение – и информационная безопасность находится подсерьезной угрозой”. Представьте себе пользователя, блуждающего по корпоративной сети, который натыкается на файл,созданный руководителем, в котором четко и ясно говорится о предстоящем слиянии, включающемфинансовые транзакции, смену руководства и объединение рабочих коллективов. Такая информация,содержащаяся в файле, будучи открытой пользователем, сразу же теряет свою конфиденциальность. Аесли она распространяется дальше, то это может привести к плачевным последствиям. Нарушениядоступа к файлам, такие как описано выше, могут оказаться гораздо хуже, если информация в такихконфиденциальных файлах была изменена или удалена или же сами файлы были удалены. Без налаженного аудита файлового сервера, организация не сможет представить доказательства входе аудиторской проверки того, кто получал доступ к определенным файлам, а также когда и где этопроизошло. Но если осуществляется аудит файловых серверов, то такая информация может бытьполучена быстро и легко. Таким образом, организации предоставляется возможность снизить риски,связанные с нарушением в системе информационной безопасности. 3
    • Как выбрать решение для аудита файловых серверов 1.2 Аудит файловых серверов как способ снижения риска Детализированные записи аудита файловых серверов представляют доказательства защищенностиIT-инфраструктуры как внутренним, так и внешним аудиторам. Автоматический сбор информации иформирование на ее основании отчетов по изменению файлов, папок, разрешений, а также доступа кним дают позволяют организации быть в курсе того, что происходит внутри ее инфраструктуры.Использование такой информации позволяет значительно снизить риски нарушения информационнойбезопасности. В случае изменения файловых разрешений пользователь или отдельная группа могутполучать доступ к конфиденциальной информации или даже изменять ее. Пользователь, постояннопросматривающий информацию, которую он не должен получать по роду своей деятельности, вполнеможет оказаться тем человеком, который просто “сливает” ее конкурентам (например, относительнодеталей будущего продукта). Если важные файлы были удалены с сервера, то это может объяснить,почему же важные отчеты не были отправлены вовремя. Аудит файловых серверов – способ,посредством которого доступ и изменения файлов, папок и разрешений могут быть зафиксированы сцелью гарантирования того, что права доступа к конфиденциальным файлам настроены правильно.Эффективное управление взаимодействием с файлами снижает риск, гарантируя при этом, что всепользователи обладают необходимыми правами доступа, чтобы эффективно выполнять своиобязанности. Изменение может привести к непредсказуемым результатам, одним из которых являетсяситуация, когда информационная безопасность находится под угрозой. Аудит файловых серверовпредоставляет всю необходимую информацию, которая подтверждает, что факторы риска управляютсясоответствующим образом, и пользователи в то же время нормально выполняют свои обязанности. 1.3 Аудит файловых серверов для целей усиления безопасности В жизни современной организации возникает все больше внутренних угроз в сфереинформационной безопасности. В новостях (например, нарушение безопасности в Shinogi, Inc.,случившийся в июле 2011 года) часто демонстрируется, что бывшие работники организации –работники недовольные, да к тому же использующие знания системы безопасности для собственныхцелей. Главной причиной таких событий является излишний уровень доверия. Работникам даютсяширокие права, но когда этими правами злоупотребляют, жертвами становятся сами организации.Аудит файловых серверов дает организациям возможность создать такую систему записи событий,которая позволяет усилить информационную безопасность. Усовершенствования в системебезопасности посредством использования традиционных инструментов по большей части являютсязапоздалыми. Бреши в системе безопасности зачастую вскрываются уже после факта нарушениябезопасности, и причиной тому является отсутствие настроенного аудита файловых серверов сфункциями формирования соответствующих отчетов. Мониторинг файловой активностинепосредственно связан с усилением информационной безопасности организации. Однако аудитфайловых серверов с использованием лишь встроенных инструментов аудита громоздок и 4
    • Как выбрать решение для аудита файловых серверовмалопродуктивен, поскольку из-за объема записываемых данных сложно получить необходимуюинформацию, к тому же большинство событий не является несанкционированным. Одним изпростейших способов усиления безопасности доступа к файлам является автоматическое получениеинформации об изменениях на постоянной основе. Почему же аудит файловых серверов важен? 1.4 Аудит изменений файловых серверов в контексте требований нормативов по информационной безопасности Такие нормативы в сфере информационной безопасности, как SOX, HIPAA, FISMA и PCI, по-разномуобъясняют стандарты безопасности, а именно что конкретно нужно отслеживать и записывать особытиях доступа и изменениях. Эти нормативы существуют для того, чтобы обеспечить защиту какорганизаций, так и конечных потребителей. В конечном итоге, эти нормативы призваны подтвердить,что организация защищает, записывает и отслеживает изменения, которые так или иначеподразумевают доступ к конфиденциальной информации, такой как: банковская информация, номерасоциального страхования и карточки больных. Вдобавок эти стандарты устанавливают минимальныйнабор требований, предъявляемых к доступу пользователей внутри той IT-инфраструктуры, где ониработают. Разрешения файлов и папок – ключевой аспект для выделения той информации, работа скоторой разрешена только отдельным пользователям. При этом не нужно помещать файлы вотдельные физические или виртуальные системы. Подтвердить выполнение требований нормативов -значит предоставить аудиторам все необходимую информацию с необходимым уровнем еедетализации. Аудит попыток доступа к файлам, папкам и разрешениям и их изменения предоставляетинформацию о том, что, когда, где и кем было изменено. Именно такая информация требуетсяаудиторами. Причем информацию нужно хранить в течение 7 лет, чтобы требования нормативов быливыполнены. Для файловых серверов Windows и устройств хранения (таких как NetApp Filer), этогокрайне сложно добиться. Аудит осуществляется вручную с использованием встроенных инструментов.Все это дало толчок к возникновению вспомогательных инструментов, особенно актуальных в крупныхIT-инфраструктурах с различными уровнями IT-администрирования. 5
    • Как выбрать решение для аудита файловых серверов 2. Требования к программам, осуществляющим аудит файловых серверов Аудит файловых серверов – процесс сбора информации о попытках доступа и изменениях файлов,папок и разрешений, хранение такой информации и формирование на ее основе регулярных отчетов.Он также включает в себя анализ такой информации, осуществление на ее основании определенныхдействий и оценку результатов этих действий с целью выполнения требований нормативов в сфереинформационной безопасности, повышения защищенности организации и гарантирования стабильнойработы пользователей. В серверах Windows и устройствах хранения присутствуют встроенныеинструменты записи такой информации, однако она не хранится централизованно, а распределена поразличным серверам и устройствам хранения, находящимся во всей IT-инфраструктуре. Встроенныеинструменты также не позволяют формировать отчеты на основании данных аудита, затрудняя этапысбора данных и создания отчетов по изменениям файла, папок или разрешений, а также попытокдоступа и изменений; все это требует больших временных затрат. К тому же существует риск потериданных аудита – данные, зафиксированные в журнале, перезаписывается, иначе имеется риск быстрогоисчерпания свободного места. Информация, сгенерированная с помощью встроенных инструментов,может быть полноценно проанализирована администратором, который обладает значительнымопытом работы с системными событиями и сообщениями. Интерпретация такой информации должнапривести к принятию определенного решения (принять данное изменение или отклонить его). Ни вкоем случае это решение не должно быть компромиссным или принятым в результате отсутствиянеобходимой информации. Сводя все эти факторы воедино, можно сказать, что встроенныеинструменты аудита файловых серверов практически не соответствуют потребностям организаций,которые хотят осуществлять аудит изменений. Они подходят разве что для малых и среднихорганизаций, которые хорошо укомплектованы персоналом для того, чтобы справиться свозникающими нагрузками. Ниже приведен список необходимых функций, предъявляемых кинструментам аудита файлового сервера. Дополнительные замечания по внедрению решений такжепредставлены ниже. 2.1 Автоматический сбор данных Для того, чтобы эффективно осуществлять аудит файловых серверов, этот процесс должен бытьавтоматизирован либо с помощью использования скриптов, либо с помощью сторонних программ. Безэтого сбор информации на постоянной основе невозможен. Размер организации напрямую связан собъемом генерируемых “сырых” данных, что в свою очередь усложняет задачу отслеживанияизменений и создания отчетов. Дополнительные шаги должны быть сделаны на серверах иконтроллерах доменов по всей IT-инфраструктуре для включения системы аудита, который по 6
    • Как выбрать решение для аудита файловых серверовумолчанию отключен. Дополнительные скрипты и/или сторонние программы для мониторингафайловых серверов могут быть использованы для предварительного конфигурирования системы длянастройки аудита. Более того, если сбор данных осуществляется нерегулярно, то существует рискпотери важной информации вследствие перезаписи журнала событий или проблем с исчерпаниемсвободного места на сервере. Это важное требование к инструментам аудита файловых серверов, такчто без него актуальный аудит невозможен. 2.2 Эффективное централизованное хранение данных Автоматизация обычно требует дополнительных ресурсов и может негативно сказываться нафункционировании системы, что в свою очередь может привести к проблемам стабильности. По этойпричине, важно, чтобы влияние применяемого метода сбора данных было минимальным. Более того,хранение данных должно также быть рассмотрено в процессе внедрения решения. Пока это являетсявозможным, данные событий и аудита могут храниться исключительно в локальной системе, гдесобытия произошли. Однако предпочтительный метод – централизация этой информации в отдельномхранилище данных, где они были бы одновременно защищены и доступны. Такой подход имеет своипреимущества, так как потребность анализировать информацию и формировать на ее основании отчетыстановится частью повседневной деятельности IT-администратора или группы, ответственной за общеездоровье различных файловых служб. Сбор информации также должен быть надежным. Каждый элемент системы аудита файловогосервера должен проверяться на периодической основе, чтобы гарантировать целостностьгенерируемых данных. Наиболее совершенные методы надежного сбора такой информацией обладаютвозможностью предварительного просмотра (prescreen) данных и их фильтрации с целью выделениятолько важной информации. В процессе сбора данных, предпочтение должно отдаваться тем методам,которые используют Журнал событий Windows (Event Log) и другие встроенные инструменты аудита,которые отличаются от методов, требующих внедрения агентов или изменения кода системы дляизвлечения данных о событии. Осуществление этого позволяет устранить любые потенциальныепроблемы, связанные со стабильностью работы системы или несовместимостью программ. Особенноэто актуально для Windows систем, так как нельзя полагаться исключительно на данные журналасобытий в связи с неполнотой генерируемой информации. Чтобы полностью понять то или иноесобытие, информация из различных источников должна быть агрегирована, и ее последующий анализдолжен рассматривать уже агрегированную информацию. Защита такой информации для целейкраткосрочного и долгосрочного хранения также является важным процессом. Важно, чтобы никто изпривилегированных пользователей не имел доступа к ним, а тем более не имел возможности удалитьили иным образом вмешаться в эти данные. Доступ к такой информации должен быть ограничен иливообще запрещен. 7
    • Как выбрать решение для аудита файловых серверов 2.3 Масштабируемость Чтобы осуществлять аудит файловых серверов, программное решение для аудита должно бытьмасштабируемым, программное решение должно приспосабливаться к постоянно меняющейсяинфраструктуре организации, но в то же время без “рывков” в процессе внедрения. Внедрение идальнейшее использование решений для аудита файловых серверов будет упрощено в том случае,когда не будут требоваться дополнительное ПО или значительные изменения конфигурации, чтобыадаптироваться к изменениям внутри организации. Решение для аудита файловых серверов должнопринимать во внимание постепенные (гранулярные) изменения, такие как изменения общей топологиисети, контроллеров доменов и Active Directory. Это необходимо для того, чтобы осуществлятьпостоянный контроль над изменениями с целью предоставления наилучшего качества обслуживанияпользователям и предоставления записей аудита IT-профессионалам. 2.4 Возможность формирования расширенных отчетов Когда сбор данных из различных источников был автоматизирован, а сами данные хранятся взащищенном месте, тогда аудит файловых серверов начинает играть проактивную роль в выполнениетребований нормативов в сфере информационной безопасности, защите информации и повышенииобщей стабильности работы сети. Расширенные отчеты необходимы для предоставления IT-администраторам, менеджменту и аудиторам, причем в них должна быть возможность настраиватьитоговые результаты по каждому изменению и попытке доступа за любой период времени. Безпредоставления однозначно понятной информации по истории изменений для ежедневныхмодификаций файлов и папок, таких как, кто изменил разрешения общей папки или кто удалил важныхбухгалтерский документ, выполнение требований, стабильность и безопасность невозможны, поэтомубольшинство возможностей для усовершенствования системы безопасности будет упущено. При хранении данных и формировании отчетов в Windows средах наиболее очевидным являетсяиспользование SQL и SQL Reporting Services. SQL Express Edition можно скачать с сайта Microsoft, и убольшинства администраторов есть опыт работы с SQL. Возможность настраивать отчеты по запросу, атакже использовать уже предустановленные сторонними разработчиками отчеты позволяет сэкономитьвремя; в то же время эти отчеты подходят для большинства возникающих нужд. Ежедневноеиспользование отчетов гарантирует полную прозрачность всей IT-инфраструктуры и выполнениетребований нормативов в сфере информационной безопасности. Дополнительные возможности, такиекак оповещение по электронной почте и подписка на отчеты, также оказывают влияние на общуюэффективность управления файловой системой. Таким образом, возможность формированиярасширенных отчетов является залогом успешного осуществления аудита файловых серверов. 8
    • Как выбрать решение для аудита файловых серверов 2.5 Аудит устройств хранения В большинстве IT-инфраструктур доминируют системы Windows, однако также широко используютсятакие популярные устройства хранения, как EMC Celerra и NetApp Filer. Поэтому они также должны бытьприняты во внимание при осуществлении аудита изменений. Функционирование этих и другихподобных систем отличается от функционирования Windows серверов, поэтому с этим нужно считатьсяпри осуществлении их аудита. Любое выбранное решение должно осуществлять автоматический идетализированный аудит файлов, папок и разрешений, а также попыток доступа. Игнорирование аудитаэтих популярных устройств хранения ставит по угрозу безопасность компании. По этим причинам,любой инструмент файлового аудита должен включать поддержку этих и других платформ и долженунифицировать результаты отчетов, получаемых администраторами. Это сэкономит время, ресурсы, таккак отсутствует потребность в дополнительном ПО и/или вендорах и необходимость обучать персоналработе с дополнительными программами. 2.6 Мониторинг целостности файлов Мониторинг целостности файлов гарантирует целостность файлов посредством мониторинга хеш-суммы, а не самого файла. Этот подход позволяет быстро зафиксировать изменения файлов исвоевременно уведомлять, когда такое изменение произошло. Мониторинг целостности файлов такжетребуется для выполнения требований стандарта PCI DSS. Мониторинг целостности файлов впрограммном решении для аудита файловых серверов необходим для предоставления высокихуровней безопасности и контроля изменений над данными. 2.7 Дополнительные требования Предпочитаемые решения должны быть просты во внедрении и обладать возможностьюподключения дополнительных модулей для формирования целостного пакета программ, чтобымаксимизировать потенциальные выгоды от аудита изменений. Некоторые дополнительные типысистем могут включать файрволы, маршрутизаторы, серверы с базами данных, устройства хранения идругие технологии Microsoft, такие как SQL и SharePoint и особенно Active Directory и групповыеполитики. Уведомление в режиме реального времени и функции восстановления объектов такжедобавят ценности выбранным решениям для аудита файловых серверов. 9
    • Как выбрать решение для аудита файловых серверов 3. Подход NetWrix к аудиту файловых серверов NetWrix File Server Change Reporter — программа, которая отслеживает изменения файлов, папок иих свойств, в частности разрешений, а также попытки доступа во всей IT-инфраструктуре, включаяпопулярные устройства хранения. Программа ежедневно присылает полные отчеты по изменениям вфайловых серверах, включая модификации в файлах, папках, сетевых ресурсах и правах доступа. Отчетвключает предыдущее и новое значения для соответствующих параметров конфигурации. Программапредоставляет данные о том, кто и когда вносил изменения, а также подробную информацию обизменениях прав доступа. Автоматический сбор информации и формирование на ее основе отчетов нетолько превосходит возможности встроенных инструментов Windows и устройств хранения, норасширяет возможности, сокращая время и усилия, затрачиваемые на сбор информации обизменениях, осуществляемый вручную или используя сложные скрипты. Также в программе возможнаархивация всех модификаций, которая поможет выяснить подробности изменений спустя месяцы игоды. Узнайте, как NetWrix File Server Change Reporter может помочь Вашей организации приосуществлении аудита изменений и выполнении требований нормативов в сфере информационнойбезопасности. Скачайте пробную версию на нашем сайте – Скачать FSCR 10
    • Как выбрать решение для аудита файловых серверовО компании NetWrixNetWrix Corporation – высокоспециализированный разработчик программных решений для аудитаизменений IT-инфраструктуры. Аудит изменений – ключевая компетенция компании NetWrix, и никто издругих разработчиков настолько не сфокусирован на этой области. NetWrix предлагает решения дляаудита изменений IT-инфраструктуры, которые были признаны профессионалами по всему миру, о чемсвидетельствуют многочисленные награды компании. Основанная в 2006 году, компания занимаетпервое место в сфере аудита изменений, и тысячи удовлетворенных клиентов по всему миру томуподтверждение. Штаб-квартира компании находится в США, Нью-Джерси, Парамус, а ее региональныеподразделения в Лос-Анжелесе, Майами, Тампе, Бостоне, Санкт-Петербурге и Великобритании.©2012 All rights reserved. NetWrix is trademark of NetWrix Corporation and/or one or more of its subsidiaries and may be registered in the U.S. Patent andTrademark Office and in other countries. All other trademarks and registered trademarks are the property of their respective owners. 11