SlideShare a Scribd company logo

Пространство аудита: 5 историй об информационной безопасности

Netwrix Россия/СНГ
Netwrix Россия/СНГ
1 of 12
Download to read offline
Пространство Аудита: 5 историй об информационной безопасности White Paper Автор: Don Jones
Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones Содержание Пространство аудита: 5 историй об информационной безопасности ........................ 3 История №1. Полуденный вор ........................................................................................... 4 История №2. Как из-за лени аудит был провален ........................................................... 5 История №4. Халатность… Или должностное преступление? .................................... 8 История №5: Троян для всех .............................................................................................. 9 О компании NetWrix .......................................................................................................... 12 О Don Jones ......................................................................................................................... 12 2
Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones Пространство аудита: 5 историй об информационной безопасности Вы совершите путешествие в другое измерение, в измерение не только технологий и операций, но и безопасности. Вы отправитесь в незнакомую страну, чьими границами являются “политика безопасности” и “выполнение требований нормативов”. Вот уже впереди виднеется указатель. Ваша остановка – следующая: “Пространство Аудита”. IT-отделы находятся на передовой информационной безопасности и выполнения требований нормативов. Вне зависимости от того, требуется ли это законодательством, отраслевыми нормами или внутренней политикой безопасности самой организации, выполнение требований нормативов в сфере информационной безопасности является обязательным условием эффективного функционирования современной IT-инфраструктуры. И на то есть весомые причины: невыполнение требований ведет к значительным убыткам, вызванным возникшими утечками конфиденциальных данных, длительным восстановлением и поиском виновных. К сожалению, встроенные инструменты безопасности Windows, SharePoint, Exchange Server, SQL Server и многих других платформ не всегда предоставляют необходимый уровень аудита изменений, отчетов и уведомлений. Все это не дает гарантии, что в любой момент будет обеспечена информационная защита организации. В этом смысле, IT-безопасность сводится к аудиту изменений. Отслеживание того, что находится на своих местах, что изменилось и что вообще происходит. Добро пожаловать в Пространство Аудита. 3
Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones История №1. Полуденный вор Мартин понял, что неделька будет еще та, когда руководство уже в понедельник забегало по офисам, говоря о чем-то на повышенных тонах. В среду все прояснилось: каким-то образом информация о деталях еще не выпущенного на рынок продукта попала в руки к конкурентам, которые теперь быстро модифицировали свой продукт. Конкурентное преимущество, которым могла бы обладать компания, в которой работал Мартин, испарилось. Акционеры требовали найти виновных, и руководство всячески их искало. Сначала были просмотрены записи всех камер безопасности. После нескольких дней увлекательнейшего просмотра, пришли к выводу, что, наверное, информация утекла через инсайдера. Слухи стремительно распространялись по офису, и Мартин знал, что будет дальше. “Мартин, - раздался голос начальника, заходящего к нему в кабинет. – Нам нужно поговорить. Это насчет утечки”. Мартин зашел в кабинет начальника и, удостоверившись, что его никто не слышит, признался, что установить, кто последним имел доступ к этим файлам, невозможно. “Проблема в том, - сказал Мартин, – что текущий список контроля доступа к файлам содержит группу пользователей домена, которой там быть не должно”. Получается, что любой работник в компании мог обратиться к этим файлам. И установить, кто именно изменил это список, невозможно. У компании попросту отсутствуют необходимые для этого программы. “Разве все это не фиксируется в журналах?” – начальник был раздосадован. “Да, фиксируется, - ответил Мартин. – Но изменение списка произошло достаточно давно, и журнал уже был перезаписан”. Он объяснил, что в Windows-сервере, который они используют, просто отсутствуют возможности долгосрочного хранения записей журналов безопасности. На практике, события остаются в журнале несколько дней. Кто бы это ни был, он планировал данный шаг достаточно долго. Сначала он изменил разрешения, и, дождавшись, когда информация об изменении будет перезаписана, стал использовать уже новые разрешения. С новыми разрешениями файлы можно было спокойно копировать куда угодно – прямо в рабочее время – и поймать такого человека будет невозможно. В настоящий момент в компании в журналы не записывается каждое событие успешного доступа к файлам, ведь это будет генерировать такой объем трафика, что журналы будут перезаписываться еще быстрее. Мартин вышел из офиса начальника с четким указанием исправить ситуацию и не допускать ее возникновения в будущем. Ему нужно было решение, которое бы позволяло архивировать записи событий безопасности, и он надеялся найти программу, которая бы как можно скорее оповещала его о том, когда изменяются разрешения и критические группы. И поиск среди множества записей в каждом журнале безопасности определенного события был совсем не лишним. 4
Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones История №2. Как из-за лени аудит был провален “Мы провалили аудит безопасности!” Начальник Дженнифер был в ярости. И его можно было понять: они только что провалили аудит, и что самое обидное, из-за сущего пустяка. Вместо строгой политики паролей на домене, аудиторы обнаружили, что она была вообще отключена. Какое-то время срок действия паролей пользователей не истекал. Сейчас это уже исправлено (сделать это не так сложно), однако проявилась обратная сторона. Пользователи стали массово звонить в службу поддержки, так как у них всех одновременно истек срок действия паролей. Однако не это сейчас волновало начальника. “Кто это сделал?!!” Дженнифер взглянула на коллег. В компании было более 20 человек, входящих в группе Привилегированных Администраторов Домена, и любой из них мог отключить политику паролей. Политика паролей была задана в объекте групповых политик высокого уровня, который содержал тысячи других настроек. Все эти администраторы вносили изменения в групповые политики практически каждую неделю. В журналах событий отображались записи о доступе, но журналы аудита не содержали в себе информации о том, какие именно настройки были изменены. Любой мог сделать это – пусть даже случайно – и способа определить, кто именно это был, не существовало. Джозеф, новенький администратор нервно объяснял это начальнику, которого такой расклад дел явно не устраивал. “То есть, кто-то либо случайно либо специально изменил эти настройки, и мы не можем узнать, кто же это именно был?” Все дружно кивнули. Даже если бы журналы безопасности архивировались, копаться и выискивать информацию во всех записях за предыдущий месяц за более чем 20 доменах мало кому хотелось. Да и к тому же записи журналов не содержали необходимой информации. “Никто не хочет признаться?” – спросил начальник. Никто не признавался. За предыдущие 4 месяца из компании ушло 4 администратора, и проще всего было свалить всю вину на них. “У кого-нибудь есть соображения, зачем это было сделано, если это не случайность?” Дженнифер пожала плечами. “Думаю, они столкнулись с пользователем, который не мог придумать достаточно сложный пароль. Проще все было отключить политику. Некоторые из нас делали так раньше, чтобы быстро дать доступ в сеть, и затем сразу же включали политику. Возможно, кто-то просто забыл включить политику”. “Совсем не то, что он хотел бы услышать”, – подумала Дженнифер, видя как лицо начальника становится пурпурным от злости. 5
Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones Она знала, что ее компании требуется более совершенное решение для аудита изменений, особенно тех, которые связаны с объектами групповых политик. Нужно знать, кто и когда их менял. А также нужно решение, которое позволяло бы оптимально хранить записи журналов, чтобы можно было сразу же отфильтровать только записи изменений объектов групповых политик, предпочтительно без отдельного поиска по каждому контроллеру домена. 6
Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones История №3. Проблемы с виртуальными машинами Что день явно не задался, становится понятно тогда, когда система мониторинга производительности начинает отправлять Вам тревожные сообщения по электронной почте и SMS. Еще хуже, когда выясняется, что предмет этих тревожных уведомлений – инфраструктура ключевой виртуальной машины организации. Джон встретил всех своих шестерых коллег администраторов, устремившихся в дата-центр с одной единственной целью: выяснить, почему система мониторинга сообщала им, что 4 главных виртуальных хост-сервера буквально плавились от перегрузок. Четыре администратора подключились к различным консолям хост-серверов, а оставшиеся трое пытались выяснить через софт для мониторинга, что же происходит. “Почему здесь двести виртуальных машин?” - с ужасом спросил Кейт. “У меня только сто пятьдесят, - сказал Джон, изумленно глядя на невероятное количество запущенных виртуальных машин. – И память перегружена в шесть раз! Я вообще без понятия, зачем здесь все эти машины”, - добавил он. И начал останавливать виртуальные машины, предназначения которых не знал, пытаясь добиться отклика от сервера. “Судя по данным, они здесь довольно давно, но выглядит так, что они все были запущены всего пару минут назад. Они все работают на Windows 7? – спросил другой администратор. – Когда эти серверы стали частью виртуальной инфраструктуры?” “Да никогда! – закричал Джон. – Виртуальные серверы запущены только здесь. А вот это наш Exchange сервер, к сожалению. Сейчас все отрезаны от электронной почты”. “Ни у кого также нет доступа к корпоративным приложениям, – процедил Хуан, смотря в консоль. – На этом хосте сотня лишних виртуальных машин, и все они не отвечают. Я пытаюсь остановить их, но ничего не происходит”. Пару часов спустя, когда работа хостов была налажена, администраторы обсуждали происшедшее. “Откуда все эти машины? – начал обсуждение Джон. Все замотали головами; этого никто не знал. – Разве в журналах этого не найти?” Движение повторилось. “Нам нужно выяснить, у кого были разрешения на создание виртуальных машин, и поговорить с каждым из них”. “Никто не признается, - сказал Хуан. – Они знают, что это именно их вина”. “А что мы еще можем сделать? Руководство требует ответа, и ничего другого, как пообщаться с каждым – а это, кстати, более 60 человек – мы не можем предложить”. Да, неделька предстоит еще та… Им нужно было решение, которое бы позволяло осуществлять аудит журналов на этих виртуальных хостах. Централизованный, объединенный журнал, который мог бы быстро показать, кто создал сотни виртуальных машин на этих хостах, и, что не менее важно, кто запустил их практически одновременно. 7
Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones История №4. Халатность… или должностное преступление? - Том, мне только что звонили из Комиссии по ценным бумагам и биржам. У них к нам пара вопросов . Том напрягся. Он был в офисе генерального директора, а технический и финансовый директора сидели рядом. - Пара вопросов относительно чего? - Они обвиняют нас в серьезных нарушениях, включая инсайдерский трейдинг. Эта информация конфиденциальна, но я собираюсь подать в отставку в следующем месяце. Никто, кроме здесь присутствующих, – генеральный директор повернулся к техническому и финансовому, - не знал об этом. Я еще не представлял мое заявление об отставке совету акционеров. И тем не менее акционеры уже знают об этом, новости дошли до аналитиков, и наши акции акции сейчас падают, потому что мы не смогли представить все это в выгодном для нас свете. - Ага, понятно, –пробормотал Том. - Дело в том, что мы обсуждали это только лично и по почте, - вступил в разговор технический директор. – Мог ли кто-нибудь получить доступ к этим письмам без нашего ведома? Том утвердительно покачал головой: - Конечно. На Exchange сервере неразбериха с настройками. Вы же сами попросили дать разрешения на доступ к вашим почтовым ящикам своим помощникам, когда вас нет в офисе, и эти разрешения для ваших ящиков довольно сложные. Возможно, один из них получил доступ к вашей почте. - Мы доверяем нашим помощникам, - сказал финансовый директор. – А у кого еще были разрешения? Том пожал плечами. - Можно взглянуть, но не я один могу изменять эти разрешения. Можно внести пользователей в список разрешенных на какое-то время, что позволяет получать доступ к вашим почтовым ящикам. А потом вернуть первоначальные настройки. Вы просили сделать так, когда вам нужно было получить удаленный доступ. Технический директор вздохнул: - Ну мы же можем посмотреть в журналах, кто получил доступ к нашим почтовым ящикам? Том заерзал. - Мы не собираем такую информацию в журналах. Это достаточно сложно сделать встроенными средствами. Сформировать отчет или что-нибудь извлечь из них практически невозможно. Директора переглянулись. - Думаю, что с тем, что сейчас произошло, мы разберемся, – сказал генеральный директор. – Но, Том, начинай искать решение, которое не позволило бы подобному случиться в будущем. И исправь настройки почтовых разрешений. Том был твердо настроен на то, чтобы приобрести решения для аудита изменений, которое не только бы фиксировало несанкционированный доступ к почтовым ящикам, но и быстро и точно сводило информацию о таком доступе в отчеты. Ему также нужно было что-то, что фиксировало бы изменения настроек разрешений почтовых ящиков, возможно, даже с уведомлениями, когда настройки доступа к почтовым ящикам изменятся в будущем. 8
Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones История №5: Троян для всех “Линда, я позвал именно тебя, потому что ты давно работаешь в компании. Я могу тебе доверять. То, о чем мы сейчас будем говорить, должно остаться между нами”. Линда кивнула. Они никогда не видела IT-директора таким серьезным. “В чем дело?” “Мы заметили, что в нашей инфраструктуре творятся непонятные вещи. Что-то меняется, разрешения удаляются – подобного рода события. Мы смотрели в журналах событий, и все это делают наши же администраторы. Даже ты”. Линда хотела было возразить, но директор ее остановил. “Ты вне подозрений. К нам прислали консультанта по безопасности из центрального офиса, и он обнаружил что-то вроде трояна, установленного на наших серверах. Он был написан специально под нашу компанию, поэтому наши антивирусы не нашли его. В конечном счете, когда кто-то подключается к серверу, он запускается и что-нибудь делает, используя ваши разрешения. Похоже, в нем прописан четкий набор действий, хотя по большей части он выполняет какие-то случайные изменения, видимо, чтобы запутать нас”. “И как долго этот троян находится на наших серверах?” “Точно не знаем, хотя предполагаем, что где-то месяцев шесть. Помнишь, как в прошлом апреле на машинах SQL сервера были созданы фиктивные учетные записи? Это было его первое проявление. Все выглядело так, как будто Стейси сделала эти изменения, но она клялась, что не имеет к этому никакого отношения. Теперь мы понимаем, что это был троян. Сейчас его уже удалили, но теперь нам нужно узнать, кто его туда запустил”. Линда уже успела подумать об этом. “В журналах показывается только то, кто подключался к консоли сервера. Мы все это делаем, несколько раз в день. Это мог быть любой из нас. Когда кто-нибудь подключился, мы прекращаем отслеживать локальные действия ”. Директор понимающе закивал. “Я этого и боялся. И в прошлом году 10 человек ушли из компании, и это могло быть и их рук дело. Сейчас мы уже разобрались с трояном и его больше нет. Служба безопасности хочет, чтобы мы приняли меры и чтобы подобного не повторилось. Начинай поиски решений”. Линда вышла из офиса директора. Мысли бешено вертелись в ее голове. У себя в кабинете она успокоилась и стала думать о том, как фиксировать те действия, которые локально осуществляет администратор, когда подключается к серверу. Может быть, нужен скрипт, который бы при входе в систему запускал агента для мониторинга? Но установка дополнительного софта не позволила бы решить эту проблему. Может, просто искать изменения файловой системы и реестра? Но запись такой информации в журнал событий не лучшее решение, ведь администраторы могут “подчистить” записи и удалить следы своих действий. Вздохнув, она открыла браузер и стала искать, надеясь понять, как же другие справляются с подобной ситуацией. 9
Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones Линда искала решение, которое бы могло записывать действия, осуществляемые локально – установка ПО, изменение ключей реестра и другие локальные настройки конфигурации. Подобное решение должно хранить данные централизованно, а не в разбросанных по разным местам журналам. В довершение всего уведомления в режиме реального времени были бы как нельзя кстати, если бы осуществлялись какие-нибудь подозрительные действия. 10
Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones Освоение пространства аудита Многие думают, что с помощью встроенных инструментов аудита можно избежать проблем с безопасностью. Как же они неправы! Потребности организаций опережают возможности, которые имеются у встроенных инструментов. Конечно, журналы событий Windows, SQL сервера, SharePoint, Exchange и других систем фиксирует огромные объемы информации, но они бесполезны в тех ситуациях, в которых Вы оказались вместе с нашими героями. Им нужно нечто более целостное. Особенно им необходимы:  Консолидированный аудит, который бы фиксировал КТО, ЧТО, ГДЕ и КОГДА изменил в рамках всей IT- инфраструктуры: Windows, файловые сервера, Active Directory, VMware, Exchange Server, SQL Server, групповые политик, SharePoint и System Center Virtual Machine Manager, сетевые устройства, Unix и другие системы;  Единый централизованный журнал аудита, который бы обладал возможностями долгосрочного хранения данных;  Функция формирования отчетов, позволяющая вычислять отдельные действия за пару секунд, отвечая на вопросы КТО, ЧТО, ГДЕ и КОГДА изменил;  Уведомления в режиме реального времени, чтобы моментально быть в курсе критических изменений;  Записи аудита, которые не могут быть исправлены теми же администраторами, которые осуществляют мониторинг – то, что отсутствует в журнале событий Windows. Наши герои отправились на поиски такой информации, которая бы фиксировалась не в журналах события, но через специально созданные для этих целей программные решения. Какие же у них есть варианты дальнейших действий? Они могут все также использовать журналы событий. Они могут написать свои собственные скрипты. Или же они могут скачать пробную версию NetWrix Change Reporter Suite, пакета программ, который удовлетворит их потребности в аудите изменений. Технология AuditAssurance™ фиксирует КТО, ЧТО, ГДЕ и КОГДА изменил. Для каждого изменения фиксируются значения “до” и “после”, что позволяет просто отменять то, что не должно было быть изменено. Они получат простые в понимании отчеты, которые упростят процесс разрешения проблем, сделают его быстрым. Можете не сомневаться. Теперь им подвластно пространство аудита. 11
Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones О компании NetWrix NetWrix Corporation – узкоспециализированный разработчик программных решений для аудита изменений IT-инфраструктуры. Аудит изменений – ключевая компетенция компании NetWrix, и никто из других разработчиков настолько не сфокусирован на этой области. NetWrix предлагает решения для аудита изменений IT-инфраструктуры, которые были признаны профессионалами по всему миру, о чем свидетельствуют многочисленные награды компании. Основанная в 2006 году, компания занимает первое место в сфере аудита изменений, и тысячи удовлетворенных клиентов по всему миру тому подтверждение. Штаб-квартира компании находится в США, Нью-Джерси, Парамус, а ее региональные подразделения в Лос-Анжелесе, Майами, Тампе, Бостоне, Санкт-Петербурге и Великобритании. О авторе У Дона Джонса за плечами более 15 лет опыта работы в IT. Он является одним из лидирующих мировых экспертов в технологиях Microsoft. Им написано свыше 35 книг, включая: Windows PowerShell: TFM, Windows Administrator’s Scripting Toolkit и многие другие. Дон – профессионал высокого уровня, который часто выступает на таких конференциях как Microsoft TechEd, и выдающийся журналист, который ведет колонки в TechNet Magazine, Redmond Magazine и TechTarget. Дон является Most Valuable Professional (MVP) Microsoft уже на протяжении многих лет. 12

Recommended

ЗАЩИТОРГ DLP для бизнеса: роскошь или необходимость?
ЗАЩИТОРГ DLP для бизнеса: роскошь или необходимость?ЗАЩИТОРГ DLP для бизнеса: роскошь или необходимость?
ЗАЩИТОРГ DLP для бизнеса: роскошь или необходимость?
BDA
 
расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2
Vlad Bezmaly
 
Solar Security. Дмитрий Бондарь. "Solar inRights - автоматизация процессов уп...
Solar Security. Дмитрий Бондарь. "Solar inRights - автоматизация процессов уп...Solar Security. Дмитрий Бондарь. "Solar inRights - автоматизация процессов уп...
Solar Security. Дмитрий Бондарь. "Solar inRights - автоматизация процессов уп...
Expolink
 
пр человек смотрящий для Risc
пр человек смотрящий для Riscпр человек смотрящий для Risc
пр человек смотрящий для Risc
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Solar Security
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recommended

ЗАЩИТОРГ DLP для бизнеса: роскошь или необходимость?
ЗАЩИТОРГ DLP для бизнеса: роскошь или необходимость?ЗАЩИТОРГ DLP для бизнеса: роскошь или необходимость?
ЗАЩИТОРГ DLP для бизнеса: роскошь или необходимость?
BDA
 
расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2
Vlad Bezmaly
 
Solar Security. Дмитрий Бондарь. "Solar inRights - автоматизация процессов уп...
Solar Security. Дмитрий Бондарь. "Solar inRights - автоматизация процессов уп...Solar Security. Дмитрий Бондарь. "Solar inRights - автоматизация процессов уп...
Solar Security. Дмитрий Бондарь. "Solar inRights - автоматизация процессов уп...
Expolink
 
пр человек смотрящий для Risc
пр человек смотрящий для Riscпр человек смотрящий для Risc
пр человек смотрящий для Risc
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Solar Security
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
1. intro dlp 2014 09
1. intro dlp 2014 091. intro dlp 2014 09
1. intro dlp 2014 09
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Denis Bezkorovayny
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
Solar Security
 
пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Information classification
Information classificationInformation classification
Information classificationAleksey Lukatskiy
 
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Solar Security
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
Отшельник
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль
Solar Security
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
Aleksey Lukatskiy
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
Alexander Dorofeev
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
InfoWatch
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rus
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9UISGCON
 
Astana r-vision20161028
Astana r-vision20161028Astana r-vision20161028
Astana r-vision20161028
Diana Frolova
 
РИФ 2016, Заоблачная безопасность: как обойти чужие грабли
РИФ 2016, Заоблачная безопасность: как обойти чужие граблиРИФ 2016, Заоблачная безопасность: как обойти чужие грабли
РИФ 2016, Заоблачная безопасность: как обойти чужие грабли
Тарасов Константин
 
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Банковское обозрение
 
ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019
ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019
ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019
QADay
 

More Related Content

What's hot

1. intro dlp 2014 09
1. intro dlp 2014 091. intro dlp 2014 09
1. intro dlp 2014 09
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Denis Bezkorovayny
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
Solar Security
 
пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Solar Security
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
Отшельник
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль
Solar Security
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
Aleksey Lukatskiy
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
Alexander Dorofeev
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
InfoWatch
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rus
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

What's hot (17)

1. intro dlp 2014 09
1. intro dlp 2014 091. intro dlp 2014 09
1. intro dlp 2014 09
 
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
 
пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small)
 
Information classification
Information classificationInformation classification
Information classification
 
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rus
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 

Similar to Пространство аудита: 5 историй об информационной безопасности

Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9UISGCON
 
Astana r-vision20161028
Astana r-vision20161028Astana r-vision20161028
Astana r-vision20161028
Diana Frolova
 
РИФ 2016, Заоблачная безопасность: как обойти чужие грабли
РИФ 2016, Заоблачная безопасность: как обойти чужие граблиРИФ 2016, Заоблачная безопасность: как обойти чужие грабли
РИФ 2016, Заоблачная безопасность: как обойти чужие грабли
Тарасов Константин
 
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Банковское обозрение
 
ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019
ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019
ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019
QADay
 
SearchInform "Практические аспекты реализации системы ИБ" в России.
SearchInform "Практические аспекты реализации системы ИБ" в России.SearchInform "Практические аспекты реализации системы ИБ" в России.
SearchInform "Практические аспекты реализации системы ИБ" в России.Expolink
 
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Expolink
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессExpolink
 
Безопасность Бизнеса в Инфо-Среде
Безопасность Бизнеса в Инфо-СредеБезопасность Бизнеса в Инфо-Среде
Безопасность Бизнеса в Инфо-Среде
Dmitry Clerkly
 
Инсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защитаИнсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защитаPositive Hack Days
 
Как выбрать решение для аудита файловых серверов [White Paper]
Как выбрать решение для аудита файловых серверов [White Paper]Как выбрать решение для аудита файловых серверов [White Paper]
Как выбрать решение для аудита файловых серверов [White Paper]Netwrix Россия/СНГ
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISC
RISClubSPb
 
Расследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйРасследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйRISClubSPb
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасности
Aleksey Lukatskiy
 
SearchInform DLP
SearchInform DLPSearchInform DLP
SearchInform DLP
SearchInform
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
RISClubSPb
 
Как выбрать решение для аудита Active Directory [White Paper]
Как выбрать решение для аудита Active Directory [White Paper]Как выбрать решение для аудита Active Directory [White Paper]
Как выбрать решение для аудита Active Directory [White Paper]
Netwrix Россия/СНГ
 
Valery Boronin on DLP Russia 2010
Valery Boronin on DLP Russia 2010Valery Boronin on DLP Russia 2010
Valery Boronin on DLP Russia 2010
Valery Boronin
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
DialogueScience
 

Similar to Пространство аудита: 5 историй об информационной безопасности (20)

Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
 
Astana r-vision20161028
Astana r-vision20161028Astana r-vision20161028
Astana r-vision20161028
 
РИФ 2016, Заоблачная безопасность: как обойти чужие грабли
РИФ 2016, Заоблачная безопасность: как обойти чужие граблиРИФ 2016, Заоблачная безопасность: как обойти чужие грабли
РИФ 2016, Заоблачная безопасность: как обойти чужие грабли
 
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
 
ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019
ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019
ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019
 
SearchInform "Практические аспекты реализации системы ИБ" в России.
SearchInform "Практические аспекты реализации системы ИБ" в России.SearchInform "Практические аспекты реализации системы ИБ" в России.
SearchInform "Практические аспекты реализации системы ИБ" в России.
 
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
 
Безопасность Бизнеса в Инфо-Среде
Безопасность Бизнеса в Инфо-СредеБезопасность Бизнеса в Инфо-Среде
Безопасность Бизнеса в Инфо-Среде
 
Инсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защитаИнсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защита
 
Как выбрать решение для аудита файловых серверов [White Paper]
Как выбрать решение для аудита файловых серверов [White Paper]Как выбрать решение для аудита файловых серверов [White Paper]
Как выбрать решение для аудита файловых серверов [White Paper]
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISC
 
Расследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйРасследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир Безмалый
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасности
 
SearchInform DLP
SearchInform DLPSearchInform DLP
SearchInform DLP
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
 
Как выбрать решение для аудита Active Directory [White Paper]
Как выбрать решение для аудита Active Directory [White Paper]Как выбрать решение для аудита Active Directory [White Paper]
Как выбрать решение для аудита Active Directory [White Paper]
 
Valery Boronin on DLP Russia 2010
Valery Boronin on DLP Russia 2010Valery Boronin on DLP Russia 2010
Valery Boronin on DLP Russia 2010
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 

More from Netwrix Россия/СНГ

[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...
[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...
[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...
Netwrix Россия/СНГ
 
[История успеха] Новороссийский Морской Торговый Порт защищает данные с помощ...
[История успеха] Новороссийский Морской Торговый Порт защищает данные с помощ...[История успеха] Новороссийский Морской Торговый Порт защищает данные с помощ...
[История успеха] Новороссийский Морской Торговый Порт защищает данные с помощ...
Netwrix Россия/СНГ
 
Компания Belkin проводит аудит изменений в Active Directory и Exchange с помо...
Компания Belkin проводит аудит изменений в Active Directory и Exchange с помо...Компания Belkin проводит аудит изменений в Active Directory и Exchange с помо...
Компания Belkin проводит аудит изменений в Active Directory и Exchange с помо...
Netwrix Россия/СНГ
 
[История успеха] "Аэроэкспресс" защищает данные AD с помощью Netwrix
[История успеха] "Аэроэкспресс" защищает данные AD с помощью Netwrix[История успеха] "Аэроэкспресс" защищает данные AD с помощью Netwrix
[История успеха] "Аэроэкспресс" защищает данные AD с помощью Netwrix
Netwrix Россия/СНГ
 
[История успеха] Ювелирная сеть 585 использует Netwrix Auditor для защиты ИТ-...
[История успеха] Ювелирная сеть 585 использует Netwrix Auditor для защиты ИТ-...[История успеха] Ювелирная сеть 585 использует Netwrix Auditor для защиты ИТ-...
[История успеха] Ювелирная сеть 585 использует Netwrix Auditor для защиты ИТ-...
Netwrix Россия/СНГ
 
[История успеха] ТрансКонтейнер использует Netwrix Auditor для контроля измен...
[История успеха] ТрансКонтейнер использует Netwrix Auditor для контроля измен...[История успеха] ТрансКонтейнер использует Netwrix Auditor для контроля измен...
[История успеха] ТрансКонтейнер использует Netwrix Auditor для контроля измен...
Netwrix Россия/СНГ
 
10 отчетов для контроля Вашей ИТ-инфраструктуры
10 отчетов для контроля Вашей ИТ-инфраструктуры10 отчетов для контроля Вашей ИТ-инфраструктуры
10 отчетов для контроля Вашей ИТ-инфраструктуры
Netwrix Россия/СНГ
 
10 бесплатных инструментов для контроля вашей ИТ-инфраструктуры
10 бесплатных инструментов для контроля вашей ИТ-инфраструктуры10 бесплатных инструментов для контроля вашей ИТ-инфраструктуры
10 бесплатных инструментов для контроля вашей ИТ-инфраструктуры
Netwrix Россия/СНГ
 
NetWrix SQL Server Change Reporter. Обзор программы для аудита SQL Server
NetWrix SQL Server Change Reporter. Обзор программы для аудита SQL ServerNetWrix SQL Server Change Reporter. Обзор программы для аудита SQL Server
NetWrix SQL Server Change Reporter. Обзор программы для аудита SQL Server
Netwrix Россия/СНГ
 
Netwrix sql server change reporter обзор программы для аудита sql server
Netwrix sql server change reporter обзор программы для аудита sql serverNetwrix sql server change reporter обзор программы для аудита sql server
Netwrix sql server change reporter обзор программы для аудита sql server
Netwrix Россия/СНГ
 
Восстановление учетных записей Active Directory: сборник сценариев
Восстановление учетных записей Active Directory: сборник сценариевВосстановление учетных записей Active Directory: сборник сценариев
Восстановление учетных записей Active Directory: сборник сценариев
Netwrix Россия/СНГ
 
Обзор NetWrix Active Directory Change Reporter
Обзор NetWrix Active Directory Change ReporterОбзор NetWrix Active Directory Change Reporter
Обзор NetWrix Active Directory Change ReporterNetwrix Россия/СНГ
 
Обзор программы для управления журналами событий NetWrix Event Log Manager
Обзор программы для управления журналами событий NetWrix Event Log ManagerОбзор программы для управления журналами событий NetWrix Event Log Manager
Обзор программы для управления журналами событий NetWrix Event Log Manager
Netwrix Россия/СНГ
 
Как восстановить удаленные объекты Active Directory с помощью программы NetWr...
Как восстановить удаленные объекты Active Directory с помощью программы NetWr...Как восстановить удаленные объекты Active Directory с помощью программы NetWr...
Как восстановить удаленные объекты Active Directory с помощью программы NetWr...
Netwrix Россия/СНГ
 
Полное руководство по аудиту доменных служб Active Directory в Windows Server...
Полное руководство по аудиту доменных служб Active Directory в Windows Server...Полное руководство по аудиту доменных служб Active Directory в Windows Server...
Полное руководство по аудиту доменных служб Active Directory в Windows Server...
Netwrix Россия/СНГ
 
Как выбрать решение для аудита изменений групповых политик [White Paper]
Как выбрать решение для аудита изменений групповых политик [White Paper]Как выбрать решение для аудита изменений групповых политик [White Paper]
Как выбрать решение для аудита изменений групповых политик [White Paper]
Netwrix Россия/СНГ
 
NetWrix Active Directory Change Reporter Обзор программы для аудита Active Di...
NetWrix Active Directory Change Reporter Обзор программы для аудита Active Di...NetWrix Active Directory Change Reporter Обзор программы для аудита Active Di...
NetWrix Active Directory Change Reporter Обзор программы для аудита Active Di...Netwrix Россия/СНГ
 
Аудит Active directory. Обзор программы NetWrix Active Directory Change Reporter
Аудит Active directory. Обзор программы NetWrix Active Directory Change ReporterАудит Active directory. Обзор программы NetWrix Active Directory Change Reporter
Аудит Active directory. Обзор программы NetWrix Active Directory Change Reporter
Netwrix Россия/СНГ
 

More from Netwrix Россия/СНГ (18)

[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...
[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...
[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...
 
[История успеха] Новороссийский Морской Торговый Порт защищает данные с помощ...
[История успеха] Новороссийский Морской Торговый Порт защищает данные с помощ...[История успеха] Новороссийский Морской Торговый Порт защищает данные с помощ...
[История успеха] Новороссийский Морской Торговый Порт защищает данные с помощ...
 
Компания Belkin проводит аудит изменений в Active Directory и Exchange с помо...
Компания Belkin проводит аудит изменений в Active Directory и Exchange с помо...Компания Belkin проводит аудит изменений в Active Directory и Exchange с помо...
Компания Belkin проводит аудит изменений в Active Directory и Exchange с помо...
 
[История успеха] "Аэроэкспресс" защищает данные AD с помощью Netwrix
[История успеха] "Аэроэкспресс" защищает данные AD с помощью Netwrix[История успеха] "Аэроэкспресс" защищает данные AD с помощью Netwrix
[История успеха] "Аэроэкспресс" защищает данные AD с помощью Netwrix
 
[История успеха] Ювелирная сеть 585 использует Netwrix Auditor для защиты ИТ-...
[История успеха] Ювелирная сеть 585 использует Netwrix Auditor для защиты ИТ-...[История успеха] Ювелирная сеть 585 использует Netwrix Auditor для защиты ИТ-...
[История успеха] Ювелирная сеть 585 использует Netwrix Auditor для защиты ИТ-...
 
[История успеха] ТрансКонтейнер использует Netwrix Auditor для контроля измен...
[История успеха] ТрансКонтейнер использует Netwrix Auditor для контроля измен...[История успеха] ТрансКонтейнер использует Netwrix Auditor для контроля измен...
[История успеха] ТрансКонтейнер использует Netwrix Auditor для контроля измен...
 
10 отчетов для контроля Вашей ИТ-инфраструктуры
10 отчетов для контроля Вашей ИТ-инфраструктуры10 отчетов для контроля Вашей ИТ-инфраструктуры
10 отчетов для контроля Вашей ИТ-инфраструктуры
 
10 бесплатных инструментов для контроля вашей ИТ-инфраструктуры
10 бесплатных инструментов для контроля вашей ИТ-инфраструктуры10 бесплатных инструментов для контроля вашей ИТ-инфраструктуры
10 бесплатных инструментов для контроля вашей ИТ-инфраструктуры
 
NetWrix SQL Server Change Reporter. Обзор программы для аудита SQL Server
NetWrix SQL Server Change Reporter. Обзор программы для аудита SQL ServerNetWrix SQL Server Change Reporter. Обзор программы для аудита SQL Server
NetWrix SQL Server Change Reporter. Обзор программы для аудита SQL Server
 
Netwrix sql server change reporter обзор программы для аудита sql server
Netwrix sql server change reporter обзор программы для аудита sql serverNetwrix sql server change reporter обзор программы для аудита sql server
Netwrix sql server change reporter обзор программы для аудита sql server
 
Восстановление учетных записей Active Directory: сборник сценариев
Восстановление учетных записей Active Directory: сборник сценариевВосстановление учетных записей Active Directory: сборник сценариев
Восстановление учетных записей Active Directory: сборник сценариев
 
Обзор NetWrix Active Directory Change Reporter
Обзор NetWrix Active Directory Change ReporterОбзор NetWrix Active Directory Change Reporter
Обзор NetWrix Active Directory Change Reporter
 
Обзор программы для управления журналами событий NetWrix Event Log Manager
Обзор программы для управления журналами событий NetWrix Event Log ManagerОбзор программы для управления журналами событий NetWrix Event Log Manager
Обзор программы для управления журналами событий NetWrix Event Log Manager
 
Как восстановить удаленные объекты Active Directory с помощью программы NetWr...
Как восстановить удаленные объекты Active Directory с помощью программы NetWr...Как восстановить удаленные объекты Active Directory с помощью программы NetWr...
Как восстановить удаленные объекты Active Directory с помощью программы NetWr...
 
Полное руководство по аудиту доменных служб Active Directory в Windows Server...
Полное руководство по аудиту доменных служб Active Directory в Windows Server...Полное руководство по аудиту доменных служб Active Directory в Windows Server...
Полное руководство по аудиту доменных служб Active Directory в Windows Server...
 
Как выбрать решение для аудита изменений групповых политик [White Paper]
Как выбрать решение для аудита изменений групповых политик [White Paper]Как выбрать решение для аудита изменений групповых политик [White Paper]
Как выбрать решение для аудита изменений групповых политик [White Paper]
 
NetWrix Active Directory Change Reporter Обзор программы для аудита Active Di...
NetWrix Active Directory Change Reporter Обзор программы для аудита Active Di...NetWrix Active Directory Change Reporter Обзор программы для аудита Active Di...
NetWrix Active Directory Change Reporter Обзор программы для аудита Active Di...
 
Аудит Active directory. Обзор программы NetWrix Active Directory Change Reporter
Аудит Active directory. Обзор программы NetWrix Active Directory Change ReporterАудит Active directory. Обзор программы NetWrix Active Directory Change Reporter
Аудит Active directory. Обзор программы NetWrix Active Directory Change Reporter
 

Пространство аудита: 5 историй об информационной безопасности

  • 1. Пространство Аудита: 5 историй об информационной безопасности White Paper Автор: Don Jones
  • 2. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones Содержание Пространство аудита: 5 историй об информационной безопасности ........................ 3 История №1. Полуденный вор ........................................................................................... 4 История №2. Как из-за лени аудит был провален ........................................................... 5 История №4. Халатность… Или должностное преступление? .................................... 8 История №5: Троян для всех .............................................................................................. 9 О компании NetWrix .......................................................................................................... 12 О Don Jones ......................................................................................................................... 12 2
  • 3. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones Пространство аудита: 5 историй об информационной безопасности Вы совершите путешествие в другое измерение, в измерение не только технологий и операций, но и безопасности. Вы отправитесь в незнакомую страну, чьими границами являются “политика безопасности” и “выполнение требований нормативов”. Вот уже впереди виднеется указатель. Ваша остановка – следующая: “Пространство Аудита”. IT-отделы находятся на передовой информационной безопасности и выполнения требований нормативов. Вне зависимости от того, требуется ли это законодательством, отраслевыми нормами или внутренней политикой безопасности самой организации, выполнение требований нормативов в сфере информационной безопасности является обязательным условием эффективного функционирования современной IT-инфраструктуры. И на то есть весомые причины: невыполнение требований ведет к значительным убыткам, вызванным возникшими утечками конфиденциальных данных, длительным восстановлением и поиском виновных. К сожалению, встроенные инструменты безопасности Windows, SharePoint, Exchange Server, SQL Server и многих других платформ не всегда предоставляют необходимый уровень аудита изменений, отчетов и уведомлений. Все это не дает гарантии, что в любой момент будет обеспечена информационная защита организации. В этом смысле, IT-безопасность сводится к аудиту изменений. Отслеживание того, что находится на своих местах, что изменилось и что вообще происходит. Добро пожаловать в Пространство Аудита. 3
  • 4. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones История №1. Полуденный вор Мартин понял, что неделька будет еще та, когда руководство уже в понедельник забегало по офисам, говоря о чем-то на повышенных тонах. В среду все прояснилось: каким-то образом информация о деталях еще не выпущенного на рынок продукта попала в руки к конкурентам, которые теперь быстро модифицировали свой продукт. Конкурентное преимущество, которым могла бы обладать компания, в которой работал Мартин, испарилось. Акционеры требовали найти виновных, и руководство всячески их искало. Сначала были просмотрены записи всех камер безопасности. После нескольких дней увлекательнейшего просмотра, пришли к выводу, что, наверное, информация утекла через инсайдера. Слухи стремительно распространялись по офису, и Мартин знал, что будет дальше. “Мартин, - раздался голос начальника, заходящего к нему в кабинет. – Нам нужно поговорить. Это насчет утечки”. Мартин зашел в кабинет начальника и, удостоверившись, что его никто не слышит, признался, что установить, кто последним имел доступ к этим файлам, невозможно. “Проблема в том, - сказал Мартин, – что текущий список контроля доступа к файлам содержит группу пользователей домена, которой там быть не должно”. Получается, что любой работник в компании мог обратиться к этим файлам. И установить, кто именно изменил это список, невозможно. У компании попросту отсутствуют необходимые для этого программы. “Разве все это не фиксируется в журналах?” – начальник был раздосадован. “Да, фиксируется, - ответил Мартин. – Но изменение списка произошло достаточно давно, и журнал уже был перезаписан”. Он объяснил, что в Windows-сервере, который они используют, просто отсутствуют возможности долгосрочного хранения записей журналов безопасности. На практике, события остаются в журнале несколько дней. Кто бы это ни был, он планировал данный шаг достаточно долго. Сначала он изменил разрешения, и, дождавшись, когда информация об изменении будет перезаписана, стал использовать уже новые разрешения. С новыми разрешениями файлы можно было спокойно копировать куда угодно – прямо в рабочее время – и поймать такого человека будет невозможно. В настоящий момент в компании в журналы не записывается каждое событие успешного доступа к файлам, ведь это будет генерировать такой объем трафика, что журналы будут перезаписываться еще быстрее. Мартин вышел из офиса начальника с четким указанием исправить ситуацию и не допускать ее возникновения в будущем. Ему нужно было решение, которое бы позволяло архивировать записи событий безопасности, и он надеялся найти программу, которая бы как можно скорее оповещала его о том, когда изменяются разрешения и критические группы. И поиск среди множества записей в каждом журнале безопасности определенного события был совсем не лишним. 4
  • 5. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones История №2. Как из-за лени аудит был провален “Мы провалили аудит безопасности!” Начальник Дженнифер был в ярости. И его можно было понять: они только что провалили аудит, и что самое обидное, из-за сущего пустяка. Вместо строгой политики паролей на домене, аудиторы обнаружили, что она была вообще отключена. Какое-то время срок действия паролей пользователей не истекал. Сейчас это уже исправлено (сделать это не так сложно), однако проявилась обратная сторона. Пользователи стали массово звонить в службу поддержки, так как у них всех одновременно истек срок действия паролей. Однако не это сейчас волновало начальника. “Кто это сделал?!!” Дженнифер взглянула на коллег. В компании было более 20 человек, входящих в группе Привилегированных Администраторов Домена, и любой из них мог отключить политику паролей. Политика паролей была задана в объекте групповых политик высокого уровня, который содержал тысячи других настроек. Все эти администраторы вносили изменения в групповые политики практически каждую неделю. В журналах событий отображались записи о доступе, но журналы аудита не содержали в себе информации о том, какие именно настройки были изменены. Любой мог сделать это – пусть даже случайно – и способа определить, кто именно это был, не существовало. Джозеф, новенький администратор нервно объяснял это начальнику, которого такой расклад дел явно не устраивал. “То есть, кто-то либо случайно либо специально изменил эти настройки, и мы не можем узнать, кто же это именно был?” Все дружно кивнули. Даже если бы журналы безопасности архивировались, копаться и выискивать информацию во всех записях за предыдущий месяц за более чем 20 доменах мало кому хотелось. Да и к тому же записи журналов не содержали необходимой информации. “Никто не хочет признаться?” – спросил начальник. Никто не признавался. За предыдущие 4 месяца из компании ушло 4 администратора, и проще всего было свалить всю вину на них. “У кого-нибудь есть соображения, зачем это было сделано, если это не случайность?” Дженнифер пожала плечами. “Думаю, они столкнулись с пользователем, который не мог придумать достаточно сложный пароль. Проще все было отключить политику. Некоторые из нас делали так раньше, чтобы быстро дать доступ в сеть, и затем сразу же включали политику. Возможно, кто-то просто забыл включить политику”. “Совсем не то, что он хотел бы услышать”, – подумала Дженнифер, видя как лицо начальника становится пурпурным от злости. 5
  • 6. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones Она знала, что ее компании требуется более совершенное решение для аудита изменений, особенно тех, которые связаны с объектами групповых политик. Нужно знать, кто и когда их менял. А также нужно решение, которое позволяло бы оптимально хранить записи журналов, чтобы можно было сразу же отфильтровать только записи изменений объектов групповых политик, предпочтительно без отдельного поиска по каждому контроллеру домена. 6
  • 7. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones История №3. Проблемы с виртуальными машинами Что день явно не задался, становится понятно тогда, когда система мониторинга производительности начинает отправлять Вам тревожные сообщения по электронной почте и SMS. Еще хуже, когда выясняется, что предмет этих тревожных уведомлений – инфраструктура ключевой виртуальной машины организации. Джон встретил всех своих шестерых коллег администраторов, устремившихся в дата-центр с одной единственной целью: выяснить, почему система мониторинга сообщала им, что 4 главных виртуальных хост-сервера буквально плавились от перегрузок. Четыре администратора подключились к различным консолям хост-серверов, а оставшиеся трое пытались выяснить через софт для мониторинга, что же происходит. “Почему здесь двести виртуальных машин?” - с ужасом спросил Кейт. “У меня только сто пятьдесят, - сказал Джон, изумленно глядя на невероятное количество запущенных виртуальных машин. – И память перегружена в шесть раз! Я вообще без понятия, зачем здесь все эти машины”, - добавил он. И начал останавливать виртуальные машины, предназначения которых не знал, пытаясь добиться отклика от сервера. “Судя по данным, они здесь довольно давно, но выглядит так, что они все были запущены всего пару минут назад. Они все работают на Windows 7? – спросил другой администратор. – Когда эти серверы стали частью виртуальной инфраструктуры?” “Да никогда! – закричал Джон. – Виртуальные серверы запущены только здесь. А вот это наш Exchange сервер, к сожалению. Сейчас все отрезаны от электронной почты”. “Ни у кого также нет доступа к корпоративным приложениям, – процедил Хуан, смотря в консоль. – На этом хосте сотня лишних виртуальных машин, и все они не отвечают. Я пытаюсь остановить их, но ничего не происходит”. Пару часов спустя, когда работа хостов была налажена, администраторы обсуждали происшедшее. “Откуда все эти машины? – начал обсуждение Джон. Все замотали головами; этого никто не знал. – Разве в журналах этого не найти?” Движение повторилось. “Нам нужно выяснить, у кого были разрешения на создание виртуальных машин, и поговорить с каждым из них”. “Никто не признается, - сказал Хуан. – Они знают, что это именно их вина”. “А что мы еще можем сделать? Руководство требует ответа, и ничего другого, как пообщаться с каждым – а это, кстати, более 60 человек – мы не можем предложить”. Да, неделька предстоит еще та… Им нужно было решение, которое бы позволяло осуществлять аудит журналов на этих виртуальных хостах. Централизованный, объединенный журнал, который мог бы быстро показать, кто создал сотни виртуальных машин на этих хостах, и, что не менее важно, кто запустил их практически одновременно. 7
  • 8. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones История №4. Халатность… или должностное преступление? - Том, мне только что звонили из Комиссии по ценным бумагам и биржам. У них к нам пара вопросов . Том напрягся. Он был в офисе генерального директора, а технический и финансовый директора сидели рядом. - Пара вопросов относительно чего? - Они обвиняют нас в серьезных нарушениях, включая инсайдерский трейдинг. Эта информация конфиденциальна, но я собираюсь подать в отставку в следующем месяце. Никто, кроме здесь присутствующих, – генеральный директор повернулся к техническому и финансовому, - не знал об этом. Я еще не представлял мое заявление об отставке совету акционеров. И тем не менее акционеры уже знают об этом, новости дошли до аналитиков, и наши акции акции сейчас падают, потому что мы не смогли представить все это в выгодном для нас свете. - Ага, понятно, –пробормотал Том. - Дело в том, что мы обсуждали это только лично и по почте, - вступил в разговор технический директор. – Мог ли кто-нибудь получить доступ к этим письмам без нашего ведома? Том утвердительно покачал головой: - Конечно. На Exchange сервере неразбериха с настройками. Вы же сами попросили дать разрешения на доступ к вашим почтовым ящикам своим помощникам, когда вас нет в офисе, и эти разрешения для ваших ящиков довольно сложные. Возможно, один из них получил доступ к вашей почте. - Мы доверяем нашим помощникам, - сказал финансовый директор. – А у кого еще были разрешения? Том пожал плечами. - Можно взглянуть, но не я один могу изменять эти разрешения. Можно внести пользователей в список разрешенных на какое-то время, что позволяет получать доступ к вашим почтовым ящикам. А потом вернуть первоначальные настройки. Вы просили сделать так, когда вам нужно было получить удаленный доступ. Технический директор вздохнул: - Ну мы же можем посмотреть в журналах, кто получил доступ к нашим почтовым ящикам? Том заерзал. - Мы не собираем такую информацию в журналах. Это достаточно сложно сделать встроенными средствами. Сформировать отчет или что-нибудь извлечь из них практически невозможно. Директора переглянулись. - Думаю, что с тем, что сейчас произошло, мы разберемся, – сказал генеральный директор. – Но, Том, начинай искать решение, которое не позволило бы подобному случиться в будущем. И исправь настройки почтовых разрешений. Том был твердо настроен на то, чтобы приобрести решения для аудита изменений, которое не только бы фиксировало несанкционированный доступ к почтовым ящикам, но и быстро и точно сводило информацию о таком доступе в отчеты. Ему также нужно было что-то, что фиксировало бы изменения настроек разрешений почтовых ящиков, возможно, даже с уведомлениями, когда настройки доступа к почтовым ящикам изменятся в будущем. 8
  • 9. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones История №5: Троян для всех “Линда, я позвал именно тебя, потому что ты давно работаешь в компании. Я могу тебе доверять. То, о чем мы сейчас будем говорить, должно остаться между нами”. Линда кивнула. Они никогда не видела IT-директора таким серьезным. “В чем дело?” “Мы заметили, что в нашей инфраструктуре творятся непонятные вещи. Что-то меняется, разрешения удаляются – подобного рода события. Мы смотрели в журналах событий, и все это делают наши же администраторы. Даже ты”. Линда хотела было возразить, но директор ее остановил. “Ты вне подозрений. К нам прислали консультанта по безопасности из центрального офиса, и он обнаружил что-то вроде трояна, установленного на наших серверах. Он был написан специально под нашу компанию, поэтому наши антивирусы не нашли его. В конечном счете, когда кто-то подключается к серверу, он запускается и что-нибудь делает, используя ваши разрешения. Похоже, в нем прописан четкий набор действий, хотя по большей части он выполняет какие-то случайные изменения, видимо, чтобы запутать нас”. “И как долго этот троян находится на наших серверах?” “Точно не знаем, хотя предполагаем, что где-то месяцев шесть. Помнишь, как в прошлом апреле на машинах SQL сервера были созданы фиктивные учетные записи? Это было его первое проявление. Все выглядело так, как будто Стейси сделала эти изменения, но она клялась, что не имеет к этому никакого отношения. Теперь мы понимаем, что это был троян. Сейчас его уже удалили, но теперь нам нужно узнать, кто его туда запустил”. Линда уже успела подумать об этом. “В журналах показывается только то, кто подключался к консоли сервера. Мы все это делаем, несколько раз в день. Это мог быть любой из нас. Когда кто-нибудь подключился, мы прекращаем отслеживать локальные действия ”. Директор понимающе закивал. “Я этого и боялся. И в прошлом году 10 человек ушли из компании, и это могло быть и их рук дело. Сейчас мы уже разобрались с трояном и его больше нет. Служба безопасности хочет, чтобы мы приняли меры и чтобы подобного не повторилось. Начинай поиски решений”. Линда вышла из офиса директора. Мысли бешено вертелись в ее голове. У себя в кабинете она успокоилась и стала думать о том, как фиксировать те действия, которые локально осуществляет администратор, когда подключается к серверу. Может быть, нужен скрипт, который бы при входе в систему запускал агента для мониторинга? Но установка дополнительного софта не позволила бы решить эту проблему. Может, просто искать изменения файловой системы и реестра? Но запись такой информации в журнал событий не лучшее решение, ведь администраторы могут “подчистить” записи и удалить следы своих действий. Вздохнув, она открыла браузер и стала искать, надеясь понять, как же другие справляются с подобной ситуацией. 9
  • 10. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones Линда искала решение, которое бы могло записывать действия, осуществляемые локально – установка ПО, изменение ключей реестра и другие локальные настройки конфигурации. Подобное решение должно хранить данные централизованно, а не в разбросанных по разным местам журналам. В довершение всего уведомления в режиме реального времени были бы как нельзя кстати, если бы осуществлялись какие-нибудь подозрительные действия. 10
  • 11. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones Освоение пространства аудита Многие думают, что с помощью встроенных инструментов аудита можно избежать проблем с безопасностью. Как же они неправы! Потребности организаций опережают возможности, которые имеются у встроенных инструментов. Конечно, журналы событий Windows, SQL сервера, SharePoint, Exchange и других систем фиксирует огромные объемы информации, но они бесполезны в тех ситуациях, в которых Вы оказались вместе с нашими героями. Им нужно нечто более целостное. Особенно им необходимы:  Консолидированный аудит, который бы фиксировал КТО, ЧТО, ГДЕ и КОГДА изменил в рамках всей IT- инфраструктуры: Windows, файловые сервера, Active Directory, VMware, Exchange Server, SQL Server, групповые политик, SharePoint и System Center Virtual Machine Manager, сетевые устройства, Unix и другие системы;  Единый централизованный журнал аудита, который бы обладал возможностями долгосрочного хранения данных;  Функция формирования отчетов, позволяющая вычислять отдельные действия за пару секунд, отвечая на вопросы КТО, ЧТО, ГДЕ и КОГДА изменил;  Уведомления в режиме реального времени, чтобы моментально быть в курсе критических изменений;  Записи аудита, которые не могут быть исправлены теми же администраторами, которые осуществляют мониторинг – то, что отсутствует в журнале событий Windows. Наши герои отправились на поиски такой информации, которая бы фиксировалась не в журналах события, но через специально созданные для этих целей программные решения. Какие же у них есть варианты дальнейших действий? Они могут все также использовать журналы событий. Они могут написать свои собственные скрипты. Или же они могут скачать пробную версию NetWrix Change Reporter Suite, пакета программ, который удовлетворит их потребности в аудите изменений. Технология AuditAssurance™ фиксирует КТО, ЧТО, ГДЕ и КОГДА изменил. Для каждого изменения фиксируются значения “до” и “после”, что позволяет просто отменять то, что не должно было быть изменено. Они получат простые в понимании отчеты, которые упростят процесс разрешения проблем, сделают его быстрым. Можете не сомневаться. Теперь им подвластно пространство аудита. 11
  • 12. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones О компании NetWrix NetWrix Corporation – узкоспециализированный разработчик программных решений для аудита изменений IT-инфраструктуры. Аудит изменений – ключевая компетенция компании NetWrix, и никто из других разработчиков настолько не сфокусирован на этой области. NetWrix предлагает решения для аудита изменений IT-инфраструктуры, которые были признаны профессионалами по всему миру, о чем свидетельствуют многочисленные награды компании. Основанная в 2006 году, компания занимает первое место в сфере аудита изменений, и тысячи удовлетворенных клиентов по всему миру тому подтверждение. Штаб-квартира компании находится в США, Нью-Джерси, Парамус, а ее региональные подразделения в Лос-Анжелесе, Майами, Тампе, Бостоне, Санкт-Петербурге и Великобритании. О авторе У Дона Джонса за плечами более 15 лет опыта работы в IT. Он является одним из лидирующих мировых экспертов в технологиях Microsoft. Им написано свыше 35 книг, включая: Windows PowerShell: TFM, Windows Administrator’s Scripting Toolkit и многие другие. Дон – профессионал высокого уровня, который часто выступает на таких конференциях как Microsoft TechEd, и выдающийся журналист, который ведет колонки в TechNet Magazine, Redmond Magazine и TechTarget. Дон является Most Valuable Professional (MVP) Microsoft уже на протяжении многих лет. 12