Как выбрать решение для аудита Active DirectoryWhite Paper
Как выбрать решение для аудита Active Directory2
СодержаниеСодержание.........................................................................................................
Как выбрать решение для аудита Active DirectoryЧто такое аудит изменений?Аудит изменений – это непрерывный процесс, осущес...
Как выбрать решение для аудита Active Directory1. Почему аудит изменений важен?1.1. Аудит изменений: пример из практикиВаж...
Как выбрать решение для аудита Active Directoryриска – один из наиболее важных шагов в защите любой IT-инфраструктуры. Это...
Как выбрать решение для аудита Active Directoryсложно добиться с помощью встроенных инструментов аудита, что и приводит к ...
Как выбрать решение для аудита Active Directory2. Требования к программам,осуществляющим аудит Active DirectoryАудит измен...
Как выбрать решение для аудита Active DirectoryПока это является возможным, данные событий и аудита могут храниться исключ...
Как выбрать решение для аудита Active Directoryобщей стабильности работы сети. Расширенные отчеты необходимы для предостав...
Как выбрать решение для аудита Active DirectoryНапример, необходимо восстановить отдельное членство в группах безопасности...
Как выбрать решение для аудита Active Directory3.SIEM, Управление IT, Риск-менеджмент иаудит изменений Active DirectoryДан...
Как выбрать решение для аудита Active Directory4.Подход NetWrix к аудиту изменений ActiveDirectoryПодход NetWrix включает ...
Как выбрать решение для аудита Active DirectoryО компании NetWrixNetWrix Corporation – узко специализированный разработчик...
Upcoming SlideShare
Loading in …5
×

White Paper для NetWrix Corporation

168
-1

Published on

Первая (и одна из многих) white paper, которую я адаптировал в России для NetWrix Corporation.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
168
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

White Paper для NetWrix Corporation

  1. 1. Как выбрать решение для аудита Active DirectoryWhite Paper
  2. 2. Как выбрать решение для аудита Active Directory2
  3. 3. СодержаниеСодержание........................................................................................................................................................3Что такое аудит изменений?..............................................................................................................................41.Почему аудит изменений важен?..................................................................................................................51.1.Аудит изменений: пример из практики..................................................................................................51.2.Аудит изменений как средство снижения риска....................................................................................51.3.Аудит изменений для целей усиления безопасности............................................................................61.4.Аудит изменений в контексте требований нормативов по информационной безопасности............61.5.Аудит изменений с целью усовершенствования управляемости.........................................................72.Требования к программам, осуществляющим аудит Active Directory.........................................................82.1.Автоматический сбор данных..................................................................................................................82.2.Эффективное централизованное хранение данных..............................................................................82.3.Масштабируемость...................................................................................................................................92.4.Возможность формирования расширенных отчетов.............................................................................92.5.Уведомления в режиме реального времени........................................................................................102.6.Включенные опции восстановления и отмены нежелательных изменений.....................................102.7.Дополнительные требования................................................................................................................113.SIEM, Управление IT, Риск-менеджмент и аудит изменений Active Directory...........................................124.Подход NetWrix к аудиту изменений Active Directory.................................................................................13О компании NetWrix.........................................................................................................................................14
  4. 4. Как выбрать решение для аудита Active DirectoryЧто такое аудит изменений?Аудит изменений – это непрерывный процесс, осуществляемый с целью минимизации рисков,связанных с изменениями IT-систем, служб и приложений. Ограничение несанкционированныхизменений и повышение управляемости IT-инфраструктурой – ключевые аспекты снижения рисков,связанных с осуществлением IT-изменений в производственных средах. Изменения могут приводить кнепредвиденным последствиям. Аудит изменений позволяет снизить следующие риски:• Отключение функций безопасности;• Распространение вредоносного кода среди пользователей;• Утеря конфиденциальных данных• Несоответствие требованиям нормативов в сфере информационной безопаности.Правильность осуществляемого аудита изменений можно определить через те риски, которые онпозволяет минимизировать. Аудит изменений своим результатом имеет формирование защищенных иконтролируемых записей обо всех изменениях IT-инфраструктуры. Такие записи должны вестисьнепрерывно. Аудит изменений – тот инструмент, с помощью которого как IT-администраторы, так именеджеры могут обеспечивать защиту и стабильность работы организации.
  5. 5. Как выбрать решение для аудита Active Directory1. Почему аудит изменений важен?1.1. Аудит изменений: пример из практикиВажность аудита изменений лучше всего проиллюстрировать на примере из практики.Системный администратор Алекс знал, что коллегам хоть и нужно доверять, но и перепроверять ихдействия также нужно. Особенно это относилось к двум недавно принятым на работуадминистраторам Джеку и Питеру. Парни толковые, но по неопытности могут такого натворить, чтопотом ищи и разбирайся, что же они сделали. И они ли это сделали?Но Алекс был спокоен. Ему не нужно было постоянно держать в голове, что за ними нужен особыйприсмотр (как и за другими администраторами). Все изменения, которые происходили в течение дня вIT-инфраструктуре его организации, были у него как на ладони. Алекс доказал руководству, чтоблагополучие организации во многом зависит от стабильности ее работы, а обеспечение стабильностиIT-процессов – это уже была его вотчина.И вот однажды утром, придя на работу, Алекс увидел, что в группе администраторов домена появиласьновая учетная запись. Причем пользователь под этой учетной записью начал активно ставитьнепонятного рода ПО на компьютеры пользователей. Это был повод для беспокойства. Алекс увидел,что этого пользователя в группу добавил Джек (видимо, ему не захотелось под конец рабочего днязаниматься установкой ПО на компьютере пользователя, вот он и делегировал ему такие расширенныеправа). Круг задач был ясен. Созданный пользователь был исключен из группы, а установленное ПОбыло проанализировано. Как и можно было ожидать, теперь уже известный пользователь поставил накомпьютеры других пользователей keylogger’ы. Хорошо, что подобная информация вскрылась сразуже, а не когда важная информация попала бы в чужие руки.Подобные ситуации редко, но случаются. Без аудита изменений, организация фактически становитсяуязвимой для угроз как извне, так и со стороны самих работников организации. Даже если процедурыдетально расписаны, все равно эти процедуры выполняет человек. А человеческие ошибки, какизвестно, случаются, и от них не застрахована ни одна организация. Однако без осуществления аудитаизменений, который бы мог подтвердить, что доступ и разрешения в Active Directory были настроеныправильно, невозможно постоянно быть в курсе, что же происходит в Active Directory.1.2. Аудит изменений как средство снижения риска.Аудит изменений позволяет фиксировать детальную информацию о событиях в IT-инфраструктуре. Спомощью этого минимизируется риск нарушений информационной безопасности, так как возможностьдетального анализа каждого подозрительного события – мощный инструмент в руках IT-специалиста.Ведь текущие настройки могут быть неприемлемы в будущем. Аудит изменений – это средство, спомощью которого изменения, осуществленные в IT-инфраструктуре, соотносятся с заранееустановленными рисками, что позволяет впоследствии эти риски снижать. Установление факторов
  6. 6. Как выбрать решение для аудита Active Directoryриска – один из наиболее важных шагов в защите любой IT-инфраструктуры. Это гарантирует, чтокаждый, кто включен в IT-инфраструктуру, начиная от обычного пользователя до топ-менеджмента,понимает, что находится в зоне риска. Регулярный пересмотр этих факторов риска также требует ихадаптации к меняющимся потребностям и условиями деятельности организации.После того, как факторы риска были определены, следующий этап – минимизация риска. В случае сActive Directory, пользователям даются права доступа к данным и приложениям как локально, так иудаленно. Членство в группах и групповые политики настраиваются специально для того, чтобыконтролировать поведение при доступе к данным и приложениям. Эффективное управлениевзаимодействием пользователей с IT-инфраструктурой снижает риск, так как подразумеваетделегирование определенных прав для выполнения повседневных обязанностей. Аудит измененийActive Directory предоставляет детализированную информацию, которая может быть использована прирасследовании. Наличие такой информации (представленной, как правило, в отчетах) гарантирует, чтофакторы риска управляются должным образом, и в то же время пользователям предоставляютсянеобходимые права для выполнения их работы.1.3. Аудит изменений для целей усиления безопасности.Внутренние угрозы порой имеют гораздо более пугающие последствия, нежели внешние, и причинатому – излишнее доверие. Аудит изменений позволяет осуществлять проверку всех изменений ActiveDirectory. Изменения в настройки безопасности обычно вносятся после того, как была обнаруженабрешь в системе. Такой реактивный подход связан с тем, что без ежедневной деятельности по аудитуизменений отсутствует возможность спрогнозировать, как эти изменения скажутся на IT-инфраструктуре. Те инфраструктуры, которые полагаются на мандаты доступа к системе (tickets) илидругие процессы одобрения изменений, все равно могут быть подвержены угрозам в областибезопасности, если впоследствии обнаруживается, что присланная информация была неточной илизаведомо ложной. Единственный способ узнать о том, что безопасность была нарушена – получатьинформацию об изменениях прямо из Active Directory.1.4. Аудит изменений в контексте требований нормативов поинформационной безопасности.Такие нормативы в сфере информационной безопасности, как SOX, HIPAA, FISMA и PCI, по-разномуобъясняют стандарты безопасности, а именно что конкретно нужно отслеживать и записывать особытиях доступа и изменениях. Эти нормативы существуют для того, чтобы обеспечить защиту какорганизаций, так и конечных потребителей. В конечном итоге, эти нормативы призваны подтвердить,что организация защищает, записывает и отслеживает изменения, которые так или иначеподразумевают доступ к конфиденциальной информации, такой как: банковская информация, номерасоциального страхования и карточки больных Подтвердить выполнение требований нормативов -значит предоставить аудиторам все необходимую информацию с необходимым уровнем еедетализации. Аудит изменений предоставляет информацию о том, Что, Когда, Где и Кем былоизменено. Именно такая информация требуется аудиторами. Причем информацию нужно хранить втечение 7 лет, чтобы требования нормативов были выполнены. Для Active Directory этого крайне
  7. 7. Как выбрать решение для аудита Active Directoryсложно добиться с помощью встроенных инструментов аудита, что и приводит к возникновениюпрограмм сторонних разработчиков.1.5. Аудит изменений с целью усовершенствования управляемостиОсуществить изменения Active Directory просто, если пользователь или администратор обладаетнеобходимыми правами. Однако восстановление после таких изменений может долгие часы и дажедни. И даже если изначально использовалось тестовое оборудование, неожиданные результаты всеравно могут появиться, делая насущной потребность в управлении изменениями Active Directory. Аудитизменений может значительным образом усовершенствовать возможность администраторавосстанавливать работоспособность системы после нежелательных изменений. Запись изменений втечение определенного времени позволяет осуществлять дальнейший анализ - для обнаруженияскрытых проблем, которые не являются очевидными при обычной работе с Active Directory.
  8. 8. Как выбрать решение для аудита Active Directory2. Требования к программам,осуществляющим аудит Active DirectoryАудит изменений Active Directory – это процесс сбора информации, формирования на ее основанииотчетов, анализ этой информации, принятие определенных решений и оценка. В Active Directoryприсутствует встроенная возможность генерировать подобную информацию. Однако такаяинформация хранится не централизованно, а локально на каждом контроллере домена. Функцияформирования отчетов также недоступна во встроенных инструментах, что превращает аудитизменений Active Directory в сложный и долгий процесс. Также существует риск потери данных, еслижурнал событий не настроен таким образом, чтобы справиться с объемом генерируемой информации.Часто это ведет к тому, что свободное место на контроллерах доменов заканчивается. Информация,сгенерированная с помощью встроенных инструментов, может быть полноценно проанализированаадминистратором, который обладает значительным опытом работы с системными событиями исообщениями. Интерпретация такой информации должна привести к принятию определенногорешения (принять данное изменение или отклонить его). Ни в коем случае это решение не должнобыть компромиссным или принятым в результате отсутствия необходимой информации. Комбинируяэти факторы можно заключить, что встроенные инструменты аудита во многом не подходят дляудовлетворения потребностей организаций, за исключением разве что малых, в которых всего лишьпара серверов и до 100 пользователей. Следующая информация освещает набор тех функций, которыедолжны иметь решения по аудиту изменений Active Directory. Также приведены примечания по тому,как осуществлять внедрение подобных решений.2.1. Автоматический сбор данныхДля того, чтобы максимизировать эффективность сбор информации, этот процесс должен бытьавтоматизирован либо с помощью использования скриптов, либо с помощью сторонних программ. Безэтого сбор информации на постоянной основе невозможен. Размер организации напрямую связан собъемом генерируемых “сырых” данных, что в свою очередь усложняет отслеживание изменений.Дополнительные настройки должны быть сделаны на серверах и контроллерах доменов по всех IT-инфраструктуре для включения системы аудита, который по умолчанию отключен. Более того, еслисбор данных осуществляется нерегулярно, то существует риск потери важной информации вследствиеперезаписи журнала событий или проблем с исчерпанием свободного места на сервере. Это важноетребование к инструментам аудита изменений, так что без него своевременный аудит невозможен.2.2. Эффективное централизованное хранение данныхАвтоматизация обычно требует дополнительных системных ресурсов и может негативно сказыватьсяна функционировании системы, что в свою очередь может привести к проблемам стабильности. Поэтой причине важно, чтобы влияние применяемого метода сбора данных было минимальным. Болеетого, хранение данных должно также быть рассмотрено в процессе внедрения программного решения.
  9. 9. Как выбрать решение для аудита Active DirectoryПока это является возможным, данные событий и аудита могут храниться исключительно в локальнойсистеме, где события произошли. Однако предпочтительный метод – централизация этой информациив отдельном хранилище данных, где они были бы одновременно защищены и доступны. Такой подходимеет свои преимущества, так как потребность анализировать информацию и формировать на ееосновании отчеты становится частью повседневной деятельности IT-администратора или группы,ответственной за осуществление аудита изменений Active Directory.Сбор информации также должен быть надежным. Каждый элемент системы аудита изменений долженпроверяться на периодической основе, чтобы гарантировать целостность генерируемых данных.Наиболее совершенные методы надежного сбора такой информацией обладают возможностьюпредварительного просмотра (prescreen) данных и их фильтрации с целью выделения только важнойинформации. В процессе сбора данных, предпочтение должно отдаваться тем методам, которыеиспользуют Журнал событий Windows (Event Log) и другие встроенные инструменты аудита, которыеотличаются от методов, требующих внедрения агентов или изменения кода системы для извлеченияданных о событии. Осуществление этого позволяет устранить любые потенциальные проблемы,связанные со стабильностью работы системы или несовместимостью программ. Особенно этоактуально для Windows систем, в которых нельзя полагаться исключительно на данные журналасобытий, так как генерируемая информация не является полной. Чтобы полностью понять то или иноесобытие, информация из различных источников должна быть агрегирована, и последующий анализдолжен рассматривать уже агрегированную информацию. Защита такой информации для целейкраткосрочного и долгосрочного хранения также является важным процессом. Важно, чтобы никто изпривилегированных пользователей не имел доступа к ним, а тем более возможности удалить илииным образом вмешаться в эти данные. Доступ к такой информации должен быть ограничен иливообще запрещен.2.3. МасштабируемостьЧтобы осуществлять аудит изменений, программное решение для аудита должно бытьмасштабируемым. Оно должно приспосабливаться к постоянно меняющейся инфраструктуреорганизации, но в то же время без “рывков” в процессе внедрения. Внедрение и дальнейшееиспользование решений для аудита изменений будет упрощено в том случае, когда не будуттребоваться дополнительное ПО или значительные изменения конфигурации, чтобы адаптироваться кизменениям внутри организации. Решение для аудита изменений должно принимать во вниманиепостепенные (гранулярные) изменения, такие как изменения общей топологии сети, контроллеровдоменов и Active Directory. Это необходимо для того, чтобы осуществлять постоянный контрольизменений с целью предоставления наилучшего качества обслуживания пользователям ипредоставления записей аудита IT-службам и службам поддержки.2.4. Возможность формирования расширенных отчетовКогда сбор данных из различных источников автоматизирован, а сами данные хранятся в защищенномместе, тогда аудит изменений Active Directory начинает играть проактивную роль в выполнениитребований нормативов в сфере информационной безопасности, защите информации и повышении
  10. 10. Как выбрать решение для аудита Active Directoryобщей стабильности работы сети. Расширенные отчеты необходимы для предоставления IT-администраторам, менеджменту и аудиторам, причем в них должна присутствовать возможностьнастройки итоговых результатов по каждому изменению Active Directory за любой период времени.При хранении данных и формировании отчетов в Windows средах наиболее очевидным являетсяиспользование SQL и SQL Reporting Services. Возможность настраивать отчеты по запросу, а такжеиспользовать уже предустановленные сторонними разработчиками отчеты экономит время; в то жевремя эти отчеты подходят для большинства возникающих нужд. Ежедневное использование отчетовгарантирует полную прозрачность всей IT-инфраструктуры и выполнение требований нормативов всфере информационной безопасности. Дополнительные возможности, такие как оповещение поэлектронной почте и подписка на отчеты, также оказывают влияние на общую эффективностьуправления системой. Таким образом, возможность формирования расширенных отчетов являетсязалогом успешного осуществления аудита изменений и повседневного управления IT-инфраструктурой.2.5. Уведомления в режиме реального времениС возможностью формирования расширенных отчетов тесно связана возможность получатьуведомления об изменениях AD в режиме реального времени. Уведомления в режиме реальноговремени позволяют администраторам моментально быть в курсе тех изменений, осуществленных скритическими объектами и данными. Это позволяет администраторам проактивно реагировать напотенциально опасные инциденты, что раньше было для них недоступно. До того момента, когда аудитизменений Active Directory возник, такое изменение могло быть случайно обнаруженоадминистратором или конечным пользователем в процессе выполнения своих повседневныхобязанностей. В большинстве случаев, негативные изменения вели к простоям оборудования,финансовым потерям и штрафам. Наличие функции уведомления об изменениях в режиме реальноговремени в дальнейшем позволит снизить риск возникновения негативных изменений, которые влекутза собой негативные последствия, или могут вообще их предотвратить. Функция уведомлений врежиме реального времени должна быть включена в состав программы для аудита изменений ActiveDirectory.2.6. Включенные опции восстановления и отмены нежелательныхизмененийВ Active Directory присутствует ряд функций для восстановления, хотя они требуют перезагрузки изначительного объема свободного места для того, чтобы функционировать должным образом. Такженеобходимо тестировать настройки для того объекта, который необходимо восстановить. Для аудитаизменений Active Directory требуется комплексное решение, поэтому функция восстановления такжеявляется неотъемлемой функцией программного решения для аудита изменений Active Directory.Более того, встроенные функции ограничены тем уровнем детальности, с которым объект может бытьвосстановлен. Например, измененные атрибуты невозможно восстановить, если не доступна резервнаякопия. Наличие возможности гранулярного восстановления бесценно при управлении Active Directory.
  11. 11. Как выбрать решение для аудита Active DirectoryНапример, необходимо восстановить отдельное членство в группах безопасности, которое былонедавно изменено, не отменяя при этом других изменений.2.7. Дополнительные требованияПредпочитаемые решения должны быть просты во внедрении и обладать возможностью подключениядополнительных модулей для формирования целостного пакета программ, чтобы максимизироватьпотенциальные выгоды от аудита изменений. Некоторые дополнительные типы систем могут включатьфайрволы, маршрутизаторы, серверы с базами данных, устройства хранения и другие технологииMicrosoft, такие как Exchange и SharePoint.
  12. 12. Как выбрать решение для аудита Active Directory3.SIEM, Управление IT, Риск-менеджмент иаудит изменений Active DirectoryДанные термины часто встречаются, когда обсуждается аудит изменений и информационнаябезопасность. Они представляют собой более широкий взгляд на IT-менеджмент.SIEM (Security Information and Event Management) связаны с аудитом изменений, однако между нимиимеются важные различия. SIEM системы включают в себя анализ в режиме реального времениоповещений безопасности и событий, генерируемых в масштабах всей IT-инфраструктуры. При этоммониторинг распространяется на все устройства и приложения во всей организации.Аудит изменений - это сбор критичной информации и он представляет собой “слой формированияотчетов” по сравнению с общими целями SIEM систем. Поэтому решения в сфере аудита измененийдолжны обладать высоким уровнем совместимости с SIEM системами и службами для того, чтобыобеспечить максимальную эффективность. Решения варьируются от внутрифирменных (написанныхспециально для данной организации) до массивных модульных систем, дающих возможностьуправления всеми IT-ресурсами в инфраструктуре.Управление IT – термин, часто использующийся для того, чтобы описать общую миссию IT-организациивнутри более широкого контекста организации. Это означает предоставление средств, посредствомкоторых ключевые активности и услуги, предоставляемые IT, встраиваются в общее направлениедеятельности и цели организации.Риск-менеджмент - это термин, все чаще звучащий в прессе и публикациях с целью поколебать статусбезопасности для точного описания того, как организации подходят к поддержанию стабильности изащищенности своих ресурсов. Все большее проникновение мобильных устройств и облачныхвычислений как части IT-стратегии организации влечет за собой новые угрозы для традиционныхмоделей безопасности и того, как наилучшим образом обеспечить эту безопасность во все более“мобилизирующемся” мире, где границы IT-инфраструктуры стали размытыми.Приняв во внимание эти новые термины, Вы можете обеспечить соответствие IT-целей с целямиорганизации и потребностями по мере изменения требований.
  13. 13. Как выбрать решение для аудита Active Directory4.Подход NetWrix к аудиту изменений ActiveDirectoryПодход NetWrix включает в себя все необходимые функции для достижения эффективного аудитаизменений, представленного в программном решении. NetWrix Active Directory Change Reporter —программа, которая отслеживает изменения Active Directory во всей IT-инфраструктуре, включаяпопулярные устройства хранения. Программа ежедневно присылает полные отчеты и генерируетуведомления в режиме реального времени по изменениям Active Directory, а именно: кто, когда, где ичто изменил, для каждого изменения AD, включая пользователей, подразделения (OU), группы,контроллеры домена, конфигурацию, схему раздела и другие изменения. Отчет включает предыдущееи новое значения для изменений объектов AD с целью повышения защищенности и контроля надизменениями AD. Автоматический сбор информации и формирование на ее основе отчетов не толькопревосходит возможности встроенных инструментов Windows и устройств хранения, но расширяетвозможности, сокращая время и усилия, затрачиваемые на сбор информации об изменениях,осуществляемый вручную или используя сложные скрипты. Также в программе возможна архивациявсех модификаций, которая поможет выяснить подробности изменений спустя месяцы и годы. Все этопозволяет распространить аудит изменений Active Directory в SIEM системы, такие как SCOM дляповышения контроля за IT инфраструктурой.Узнайте, как NetWrix Active Directory Change Reporter может помочь Вашей организации приосуществлении аудита изменений и выполнении требований нормативов в сфере информационнойбезопасности.Скачайте программу – NetWrix ADCR
  14. 14. Как выбрать решение для аудита Active DirectoryО компании NetWrixNetWrix Corporation – узко специализированный разработчик программных решений для аудитаизменений IT-инфраструктуры. Аудит изменений – ключевая компетенция компании NetWrix, и никтоиз других разработчиков настолько не сфокусирован на этой области. NetWrix предлагает решения дляаудита изменений IT-инфраструктуры, которые были признаны профессионалами по всему миру, о чемсвидетельствуют многочисленные награды компании. Основанная в 2006 году, компания занимаетпервое место в сфере аудита изменений, и тысячи удовлетворенных клиентов по всему миру томуподтверждение. Штаб-квартира компании находится в США, Нью-Джерси, Парамус, а ее региональныеподразделения в Лос-Анжелесе, Майами, Тампе, Бостоне, Санкт-Петербурге и Великобритании.©2012 All rights reserved. NetWrix is trademark of NetWrix Corporation and/or one or more of its subsidiaries and may be registered in the U.S.Patent and Trademark Office and in other countries. All other trademarks and registered trademarks are the property of their respective owners.

×