ЗАЩИТОРГ DLP для бизнеса: роскошь или необходимость?BDA
Николай Сорокин, руководитель представительства SearchInform в Сибирском ФО
«DLP для бизнеса: роскошь или необходимость?»
Корпоративная информация как собственность подлежит защите. При этом она: обрабатываетсясотрудниками, курсирует по разным каналам, хранится на компьютерах и в сети. И каждый из этих аспектов – угроза сохранности коммерчески ценных данных внутри компании.
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
ЗАЩИТОРГ DLP для бизнеса: роскошь или необходимость?BDA
Николай Сорокин, руководитель представительства SearchInform в Сибирском ФО
«DLP для бизнеса: роскошь или необходимость?»
Корпоративная информация как собственность подлежит защите. При этом она: обрабатываетсясотрудниками, курсирует по разным каналам, хранится на компьютерах и в сети. И каждый из этих аспектов – угроза сохранности коммерчески ценных данных внутри компании.
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
Спикеры:
Эликс Смирнов, аналитик отдела развития Solar Dozor компании Solar Security.
Андрей Прозоров, руководитель экспертного направления компании Solar Security.
Корпоративное воровство. Как взять его под контроль Solar Security
14 апреля 2016 г. прошел вебинар "Корпоративное воровство. Как взять его под контроль". Галина Рябова, руководитель направления Solar Dozor, рассказала про аналитический функционал DLP-системы Solar Dozor и о том, как с его помощью можно выявлять мошеннические схемы в организациях.
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБInfoWatch
1. Оценка рисков как способ снижения затрат на ИБ: как оценить и минимизировать риски
2. Оргмеры для снижения затрат, какие оргмеры работают и когда
3. Какие технические средства могут помочь повысить эффективность
ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019QADay
Kharkiv Quality Assurance Day 2019
ІГОР СТАРЧЕУС
«Впровадження GDPR у великій fin tech компанії»
Телеграм канал: wwww.t.me/goqameetup
Фейсбук сторінці: www.fb.com/goqaevent
Сайт: www.kharkiv.qaday.org/
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
Спикеры:
Эликс Смирнов, аналитик отдела развития Solar Dozor компании Solar Security.
Андрей Прозоров, руководитель экспертного направления компании Solar Security.
Корпоративное воровство. Как взять его под контроль Solar Security
14 апреля 2016 г. прошел вебинар "Корпоративное воровство. Как взять его под контроль". Галина Рябова, руководитель направления Solar Dozor, рассказала про аналитический функционал DLP-системы Solar Dozor и о том, как с его помощью можно выявлять мошеннические схемы в организациях.
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБInfoWatch
1. Оценка рисков как способ снижения затрат на ИБ: как оценить и минимизировать риски
2. Оргмеры для снижения затрат, какие оргмеры работают и когда
3. Какие технические средства могут помочь повысить эффективность
ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019QADay
Kharkiv Quality Assurance Day 2019
ІГОР СТАРЧЕУС
«Впровадження GDPR у великій fin tech компанії»
Телеграм канал: wwww.t.me/goqameetup
Фейсбук сторінці: www.fb.com/goqaevent
Сайт: www.kharkiv.qaday.org/
Обзор применения искусственного интеллекта в кибербезопасности как с позитивной, так и с негативной стороны. Как ИИ используют безопасники. Как ИИ используют хакеры. Какие угрозы могут быть для ИИ.
Как выбрать решение для аудита Active Directory [White Paper]Netwrix Россия/СНГ
Находитесь в процессе выбора решения для аудита Active Directory? В данном документе даны ответы на вопросы, почему аудит Active Directory важен и какие требования нужно предъявлять к программным решениями, осуществляя выбор.
Презентация поддерживающая мое выступление на DLP Russia 2010 с темой «Вечная битва за безопасность: угроза велика, а отступать некуда – позади мои данные».
Главная мысль: Endpoints – арена грядущих сражений. Курс - на endpoints! - слайд 22.
Итоговые выводы полностью - слайд 24.
Впервые публично представлена волшебная формула (так зовем ее внутри) защиты endpoints - слайд 25.
В контексте внутренних угроз был сделан акцент на важности user awareness (обучение, учет психологии и т.п.) и обязательности забот по минимизации ущерба инсайдерами - слайд 19.
PDF в материалах конференции DLP-Russia 2010:
http://dlp-expert.ru/sites/default/files/archives/2010/dlp-russia2010-valery_boronin_kl.pdf
На вебинаре участники ознакомились с актуальными проблемами, связанными с реализацией задач по сбору, анализу и корреляции событий информационной безопасности, регистрируемых в территориально-распределенных автоматизированных системах предприятий.
В рамках мероприятия были рассмотрены основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности
и также рассмотрена одна из возможных реализаций центра мониторинга событий безопасности (Security Operation Center, SOC) на базе программных продуктов HP ArcSight.
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
Рассматриваются основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности.
Спикер:
Родион Чехарин,
Руководитель проекта технического департамента ЗАО «ДиалогНаука»
Similar to Пространство аудита: 5 историй об информационной безопасности (20)
[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...Netwrix Россия/СНГ
[Инфографика] Исследование эффективности SIEM систем: Компания Netwrix провела исследование, чтобы понять - достаточно ли эффективны SIEM-системы в вопросах аудита изменений и предотвращения нарушений безопасности.
[История успеха] Новороссийский Морской Торговый Порт защищает данные с помощ...Netwrix Россия/СНГ
Новороссийский Морской Торговый Порт проводит аудит ИТ-инфраструктуры с помощью ПО Netwrix Auditor. Программное обеспечение отслеживает изменения в основных системах и приложениях, предотвращая сбои в работе ИТ-инфраструктуры и потерю данных.
[История успеха] ТрансКонтейнер использует Netwrix Auditor для контроля измен...Netwrix Россия/СНГ
ОАО "ТрансКонтейнер" использует Netwrix Auditor для эффективного контроля над работой сотрудников, имеющих административные права в Active Directory, а также для подготовки инфраструктуры к прохождению аудита на соответствие требованиям информационной безопасности.
В документе представлены 10 из более чем 200 (!) отчетов, входящих в состав пакета программ NetWrix Change Reporter Suite. С их помощью администраторы и специалисты по информационной безопасности могут просто и эффективно осуществлять контроль над изменениями в ИТ-инфраструктуре компании.
Netwrix sql server change reporter обзор программы для аудита sql serverNetwrix Россия/СНГ
http://www.netwrix.com/ru/sql_server_audit_change_reporter_freeware.html Скачать программу
В презентации рассматриваются возможности решения NetWrix для аудита изменений конфигурации и содержимого баз данных SQL Server. Подробно рассмотрено то, как настроить программу. Продемонстрирована работа базовой (бесплатной) версии программы.
Восстановление учетных записей Active Directory: сборник сценариевNetwrix Россия/СНГ
http://www.netwrix.com/ru/ad_object_restore_pack.html Скачать руководство.
Вам когда-нибудь приходилось восстанавливать удаленные из Active Directory учетные записи? Тогда Вы точно знаете, насколько долгим и сложным может быть этот процесс.
Чтобы упростить процесс восстановления мы подготовили "Набор первой помощи для восстановления объектов Active Directory".
В нем Вы сможете найти 5 вариантов восстановления, а именно:
* Восстановление с помощью LDP.exe
* Использование ADRESTORE
* Работа с Active Directory Recycle Bin
* Принудительное восстановление удаленных объектов
* Использование утилиты NetWrix AD Object Restore Wizard
Обзор программы для управления журналами событий NetWrix Event Log ManagerNetwrix Россия/СНГ
Скачайте пробную версию программы на сайте NetWrix - http://www.netwrix.com/ru/event_log_archiving_consolidation_freeware.html
NetWrix Event Log Manager — инструмент для объединения журналов событий, оповещения и архивирования, поддерживающий сбор журналов событий с многочисленных компьютеров сети, предупреждающий о критических событиях и централизованно сохраняющий все события в сжатом формате для удобства анализа архивных данных журналов.
В новой версии 4.0 добавлены новые функции, • Поддержка сбора данных syslog. Предустановленные правила сбора событий доступны для Ubuntu 11 и RedHat Linux 5;
• Доступны новые опции для компьютеров, для которых осуществляется мониторинг: от диапазона IP адресов или импортируя список имен компьютеров из файла.
• Новая функция Подписка позволяет выбрать любой отчет для автоматической доставки (настроив фильтры, периодичность отправления, получателей).
• Добавлено более 30 новых отчетов
• Новая опция позволяет собирать и архивировать данные только важных событий. Предустановленный набор фильтров аудита доступен для следующих стандартов ИБ: GLBA, HIPAA, PCI, SOX.
• Новая опция позволяет собирать детализированные описания событий и включает их в отчеты.
Как восстановить удаленные объекты Active Directory с помощью программы NetWr...Netwrix Россия/СНГ
Как быстро и просто восстановить удаленные объекты AD (например, если произошло удаление подразделения с большим количеством учетных записей пользователей)? Можно обратиться к стандартным средствам восстановления, таким как ADRESTORE или же использовать Powershell командлеты, однако есть способ гораздо проще. Программа NetWrix Active Directory Object Restore Wizard осуществит поиск в AD удаленных объектов, после чего предложит Вам восстановить эти объекты с атрибутами и членством в группах всего за пару кликов мыши. И все это не требует выведения контроллера домена в автономный режим, работа компании будет остановлена. Попробуйте программу в деле и Вы поймете, что восстановление учетных записей или других объектов Active Directory - это не так страшно, как кажется на первый взгляд.
Полное руководство по аудиту доменных служб Active Directory в Windows Server...Netwrix Россия/СНГ
Скачать документ можно на нашем сайте http://www.netwrix.com/ru/active_directory_audit_guide.html
Вы знаете, что аудит Active Directory – важная и нужная вещь, возможно, Вам даже приходилось искать информацию о тех или иных событиях (удаление пользователя, изменение членства в группах и т.д.). И Вы не понаслышке знаете, что это трудно.
Чтобы у Вас под рукой был документ, рассказывающий все об аудите Active Directory, Сергей Яремчук, автор книги "Системное администрирование Windows 7 и Windows Server 2008 R2 на 100%" и многочисленных статей в различных изданиях, создал для Вас полное руководство по аудиту Active Directory.
Внутри этого руководства Вы найдете:
Как настроить аудит Active Directory с помощью штатных инструментов Windows Server R2
Как интерпретировать идентификаторы событий (создание, удаление, изменений членства и многое другое)
Как осуществлять фильтрацию событий для более удобного поиска событий через Event Viewer
Как настроить оповещения на отдельные изменения
Подводные камни, с которыми Вы можете столкнуться при осуществлении аудита штатными средствами
Все это Вы найдете, скачав "Полное руководство по аудиту Active Directory в Windows Server 2008 R2".
Как выбрать решение для аудита изменений групповых политик [White Paper]Netwrix Россия/СНГ
В этом документе рассматриваются основные требования, которые IT-специалист, находящийся в поиске решения для аудита групповых политик, должен предъявлять к рассматриваемым решениям. В документе также описано, почему аудит изменений групповых политик важен.
2. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones
Содержание
Пространство аудита: 5 историй об информационной безопасности ........................ 3
История №1. Полуденный вор ........................................................................................... 4
История №2. Как из-за лени аудит был провален ........................................................... 5
История №4. Халатность… Или должностное преступление? .................................... 8
История №5: Троян для всех .............................................................................................. 9
О компании NetWrix .......................................................................................................... 12
О Don Jones ......................................................................................................................... 12
2
3. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones
Пространство аудита: 5 историй об
информационной безопасности
Вы совершите путешествие в другое измерение, в измерение не только технологий и операций, но и
безопасности. Вы отправитесь в незнакомую страну, чьими границами являются “политика безопасности” и
“выполнение требований нормативов”. Вот уже впереди виднеется указатель. Ваша остановка – следующая:
“Пространство Аудита”.
IT-отделы находятся на передовой информационной безопасности и выполнения требований нормативов. Вне
зависимости от того, требуется ли это законодательством, отраслевыми нормами или внутренней политикой
безопасности самой организации, выполнение требований нормативов в сфере информационной безопасности
является обязательным условием эффективного функционирования современной IT-инфраструктуры. И на то
есть весомые причины: невыполнение требований ведет к значительным убыткам, вызванным возникшими
утечками конфиденциальных данных, длительным восстановлением и поиском виновных.
К сожалению, встроенные инструменты безопасности Windows, SharePoint, Exchange Server, SQL Server и многих
других платформ не всегда предоставляют необходимый уровень аудита изменений, отчетов и уведомлений. Все
это не дает гарантии, что в любой момент будет обеспечена информационная защита организации.
В этом смысле, IT-безопасность сводится к аудиту изменений. Отслеживание того, что находится на своих местах,
что изменилось и что вообще происходит.
Добро пожаловать в Пространство Аудита.
3
4. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones
История №1. Полуденный вор
Мартин понял, что неделька будет еще та, когда руководство уже в понедельник забегало по офисам, говоря о
чем-то на повышенных тонах. В среду все прояснилось: каким-то образом информация о деталях еще не
выпущенного на рынок продукта попала в руки к конкурентам, которые теперь быстро модифицировали свой
продукт. Конкурентное преимущество, которым могла бы обладать компания, в которой работал Мартин,
испарилось. Акционеры требовали найти виновных, и руководство всячески их искало.
Сначала были просмотрены записи всех камер безопасности. После нескольких дней увлекательнейшего
просмотра, пришли к выводу, что, наверное, информация утекла через инсайдера. Слухи стремительно
распространялись по офису, и Мартин знал, что будет дальше.
“Мартин, - раздался голос начальника, заходящего к нему в кабинет. – Нам нужно поговорить. Это насчет утечки”.
Мартин зашел в кабинет начальника и, удостоверившись, что его никто не слышит, признался, что установить, кто
последним имел доступ к этим файлам, невозможно. “Проблема в том, - сказал Мартин, – что текущий список
контроля доступа к файлам содержит группу пользователей домена, которой там быть не должно”. Получается,
что любой работник в компании мог обратиться к этим файлам. И установить, кто именно изменил это список,
невозможно. У компании попросту отсутствуют необходимые для этого программы.
“Разве все это не фиксируется в журналах?” – начальник был раздосадован.
“Да, фиксируется, - ответил Мартин. – Но изменение списка произошло достаточно давно, и журнал уже был
перезаписан”.
Он объяснил, что в Windows-сервере, который они используют, просто отсутствуют возможности долгосрочного
хранения записей журналов безопасности. На практике, события остаются в журнале несколько дней. Кто бы это
ни был, он планировал данный шаг достаточно долго. Сначала он изменил разрешения, и, дождавшись, когда
информация об изменении будет перезаписана, стал использовать уже новые разрешения. С новыми
разрешениями файлы можно было спокойно копировать куда угодно – прямо в рабочее время – и поймать
такого человека будет невозможно. В настоящий момент в компании в журналы не записывается каждое
событие успешного доступа к файлам, ведь это будет генерировать такой объем трафика, что журналы будут
перезаписываться еще быстрее.
Мартин вышел из офиса начальника с четким указанием исправить ситуацию и не допускать ее возникновения в
будущем. Ему нужно было решение, которое бы позволяло архивировать записи событий безопасности, и он
надеялся найти программу, которая бы как можно скорее оповещала его о том, когда изменяются разрешения и
критические группы. И поиск среди множества записей в каждом журнале безопасности определенного события
был совсем не лишним.
4
5. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones
История №2. Как из-за лени аудит был провален
“Мы провалили аудит безопасности!”
Начальник Дженнифер был в ярости. И его можно было понять: они только что провалили аудит, и что самое
обидное, из-за сущего пустяка. Вместо строгой политики паролей на домене, аудиторы обнаружили, что она
была вообще отключена. Какое-то время срок действия паролей пользователей не истекал. Сейчас это уже
исправлено (сделать это не так сложно), однако проявилась обратная сторона. Пользователи стали массово
звонить в службу поддержки, так как у них всех одновременно истек срок действия паролей. Однако не это
сейчас волновало начальника.
“Кто это сделал?!!”
Дженнифер взглянула на коллег. В компании было более 20 человек, входящих в группе Привилегированных
Администраторов Домена, и любой из них мог отключить политику паролей. Политика паролей была задана в
объекте групповых политик высокого уровня, который содержал тысячи других настроек. Все эти
администраторы вносили изменения в групповые политики практически каждую неделю. В журналах событий
отображались записи о доступе, но журналы аудита не содержали в себе информации о том, какие именно
настройки были изменены. Любой мог сделать это – пусть даже случайно – и способа определить, кто именно это
был, не существовало. Джозеф, новенький администратор нервно объяснял это начальнику, которого такой
расклад дел явно не устраивал.
“То есть, кто-то либо случайно либо специально изменил эти настройки, и мы не можем узнать, кто же это
именно был?”
Все дружно кивнули. Даже если бы журналы безопасности архивировались, копаться и выискивать информацию
во всех записях за предыдущий месяц за более чем 20 доменах мало кому хотелось. Да и к тому же записи
журналов не содержали необходимой информации.
“Никто не хочет признаться?” – спросил начальник. Никто не признавался. За предыдущие 4 месяца из компании
ушло 4 администратора, и проще всего было свалить всю вину на них.
“У кого-нибудь есть соображения, зачем это было сделано, если это не случайность?”
Дженнифер пожала плечами. “Думаю, они столкнулись с пользователем, который не мог придумать достаточно
сложный пароль. Проще все было отключить политику. Некоторые из нас делали так раньше, чтобы быстро дать
доступ в сеть, и затем сразу же включали политику. Возможно, кто-то просто забыл включить политику”.
“Совсем не то, что он хотел бы услышать”, – подумала Дженнифер, видя как лицо начальника становится
пурпурным от злости.
5
6. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones
Она знала, что ее компании требуется более совершенное решение для аудита изменений, особенно
тех, которые связаны с объектами групповых политик. Нужно знать, кто и когда их менял. А также нужно
решение, которое позволяло бы оптимально хранить записи журналов, чтобы можно было сразу же
отфильтровать только записи изменений объектов групповых политик, предпочтительно без отдельного
поиска по каждому контроллеру домена.
6
7. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones
История №3. Проблемы с виртуальными
машинами
Что день явно не задался, становится понятно тогда, когда система мониторинга производительности начинает
отправлять Вам тревожные сообщения по электронной почте и SMS. Еще хуже, когда выясняется, что предмет
этих тревожных уведомлений – инфраструктура ключевой виртуальной машины организации.
Джон встретил всех своих шестерых коллег администраторов, устремившихся в дата-центр с одной единственной
целью: выяснить, почему система мониторинга сообщала им, что 4 главных виртуальных хост-сервера буквально
плавились от перегрузок. Четыре администратора подключились к различным консолям хост-серверов, а
оставшиеся трое пытались выяснить через софт для мониторинга, что же происходит.
“Почему здесь двести виртуальных машин?” - с ужасом спросил Кейт.
“У меня только сто пятьдесят, - сказал Джон, изумленно глядя на невероятное количество запущенных
виртуальных машин. – И память перегружена в шесть раз! Я вообще без понятия, зачем здесь все эти машины”, -
добавил он. И начал останавливать виртуальные машины, предназначения которых не знал, пытаясь добиться
отклика от сервера.
“Судя по данным, они здесь довольно давно, но выглядит так, что они все были запущены всего пару минут
назад. Они все работают на Windows 7? – спросил другой администратор. – Когда эти серверы стали частью
виртуальной инфраструктуры?”
“Да никогда! – закричал Джон. – Виртуальные серверы запущены только здесь. А вот это наш Exchange сервер, к
сожалению. Сейчас все отрезаны от электронной почты”.
“Ни у кого также нет доступа к корпоративным приложениям, – процедил Хуан, смотря в консоль. – На этом хосте
сотня лишних виртуальных машин, и все они не отвечают. Я пытаюсь остановить их, но ничего не происходит”.
Пару часов спустя, когда работа хостов была налажена, администраторы обсуждали происшедшее. “Откуда все
эти машины? – начал обсуждение Джон. Все замотали головами; этого никто не знал. – Разве в журналах этого
не найти?” Движение повторилось. “Нам нужно выяснить, у кого были разрешения на создание виртуальных
машин, и поговорить с каждым из них”.
“Никто не признается, - сказал Хуан. – Они знают, что это именно их вина”.
“А что мы еще можем сделать? Руководство требует ответа, и ничего другого, как пообщаться с каждым – а это,
кстати, более 60 человек – мы не можем предложить”. Да, неделька предстоит еще та…
Им нужно было решение, которое бы позволяло осуществлять аудит журналов на этих виртуальных хостах.
Централизованный, объединенный журнал, который мог бы быстро показать, кто создал сотни виртуальных
машин на этих хостах, и, что не менее важно, кто запустил их практически одновременно.
7
8. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones
История №4. Халатность… или должностное
преступление?
- Том, мне только что звонили из Комиссии по ценным бумагам и биржам. У них к нам пара вопросов .
Том напрягся. Он был в офисе генерального директора, а технический и финансовый директора сидели рядом.
- Пара вопросов относительно чего?
- Они обвиняют нас в серьезных нарушениях, включая инсайдерский трейдинг. Эта информация
конфиденциальна, но я собираюсь подать в отставку в следующем месяце. Никто, кроме здесь присутствующих, –
генеральный директор повернулся к техническому и финансовому, - не знал об этом. Я еще не представлял мое
заявление об отставке совету акционеров. И тем не менее акционеры уже знают об этом, новости дошли до
аналитиков, и наши акции акции сейчас падают, потому что мы не смогли представить все это в выгодном для
нас свете.
- Ага, понятно, –пробормотал Том.
- Дело в том, что мы обсуждали это только лично и по почте, - вступил в разговор технический директор. – Мог ли
кто-нибудь получить доступ к этим письмам без нашего ведома?
Том утвердительно покачал головой:
- Конечно. На Exchange сервере неразбериха с настройками. Вы же сами попросили дать разрешения на доступ к
вашим почтовым ящикам своим помощникам, когда вас нет в офисе, и эти разрешения для ваших ящиков
довольно сложные. Возможно, один из них получил доступ к вашей почте.
- Мы доверяем нашим помощникам, - сказал финансовый директор. – А у кого еще были разрешения?
Том пожал плечами.
- Можно взглянуть, но не я один могу изменять эти разрешения. Можно внести пользователей в список
разрешенных на какое-то время, что позволяет получать доступ к вашим почтовым ящикам. А потом вернуть
первоначальные настройки. Вы просили сделать так, когда вам нужно было получить удаленный доступ.
Технический директор вздохнул:
- Ну мы же можем посмотреть в журналах, кто получил доступ к нашим почтовым ящикам?
Том заерзал.
- Мы не собираем такую информацию в журналах. Это достаточно сложно сделать встроенными средствами.
Сформировать отчет или что-нибудь извлечь из них практически невозможно.
Директора переглянулись.
- Думаю, что с тем, что сейчас произошло, мы разберемся, – сказал генеральный директор. – Но, Том, начинай
искать решение, которое не позволило бы подобному случиться в будущем. И исправь настройки почтовых
разрешений.
Том был твердо настроен на то, чтобы приобрести решения для аудита изменений, которое не только бы
фиксировало несанкционированный доступ к почтовым ящикам, но и быстро и точно сводило информацию о
таком доступе в отчеты. Ему также нужно было что-то, что фиксировало бы изменения настроек разрешений
почтовых ящиков, возможно, даже с уведомлениями, когда настройки доступа к почтовым ящикам изменятся в
будущем.
8
9. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones
История №5: Троян для всех
“Линда, я позвал именно тебя, потому что ты давно работаешь в компании. Я могу тебе доверять. То, о чем мы
сейчас будем говорить, должно остаться между нами”.
Линда кивнула. Они никогда не видела IT-директора таким серьезным. “В чем дело?”
“Мы заметили, что в нашей инфраструктуре творятся непонятные вещи. Что-то меняется, разрешения удаляются
– подобного рода события. Мы смотрели в журналах событий, и все это делают наши же администраторы. Даже
ты”.
Линда хотела было возразить, но директор ее остановил. “Ты вне подозрений. К нам прислали консультанта по
безопасности из центрального офиса, и он обнаружил что-то вроде трояна, установленного на наших серверах.
Он был написан специально под нашу компанию, поэтому наши антивирусы не нашли его. В конечном счете,
когда кто-то подключается к серверу, он запускается и что-нибудь делает, используя ваши разрешения. Похоже, в
нем прописан четкий набор действий, хотя по большей части он выполняет какие-то случайные изменения,
видимо, чтобы запутать нас”.
“И как долго этот троян находится на наших серверах?”
“Точно не знаем, хотя предполагаем, что где-то месяцев шесть. Помнишь, как в прошлом апреле на машинах SQL
сервера были созданы фиктивные учетные записи? Это было его первое проявление. Все выглядело так, как
будто Стейси сделала эти изменения, но она клялась, что не имеет к этому никакого отношения. Теперь мы
понимаем, что это был троян. Сейчас его уже удалили, но теперь нам нужно узнать, кто его туда запустил”.
Линда уже успела подумать об этом. “В журналах показывается только то, кто подключался к консоли сервера.
Мы все это делаем, несколько раз в день. Это мог быть любой из нас. Когда кто-нибудь подключился, мы
прекращаем отслеживать локальные действия ”.
Директор понимающе закивал. “Я этого и боялся. И в прошлом году 10 человек ушли из компании, и это могло
быть и их рук дело. Сейчас мы уже разобрались с трояном и его больше нет. Служба безопасности хочет, чтобы
мы приняли меры и чтобы подобного не повторилось. Начинай поиски решений”.
Линда вышла из офиса директора. Мысли бешено вертелись в ее голове. У себя в кабинете она успокоилась и
стала думать о том, как фиксировать те действия, которые локально осуществляет администратор, когда
подключается к серверу. Может быть, нужен скрипт, который бы при входе в систему запускал агента для
мониторинга? Но установка дополнительного софта не позволила бы решить эту проблему. Может, просто искать
изменения файловой системы и реестра? Но запись такой информации в журнал событий не лучшее решение,
ведь администраторы могут “подчистить” записи и удалить следы своих действий. Вздохнув, она открыла
браузер и стала искать, надеясь понять, как же другие справляются с подобной ситуацией.
9
10. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones
Линда искала решение, которое бы могло записывать действия, осуществляемые локально – установка ПО,
изменение ключей реестра и другие локальные настройки конфигурации. Подобное решение должно хранить
данные централизованно, а не в разбросанных по разным местам журналам. В довершение всего уведомления в
режиме реального времени были бы как нельзя кстати, если бы осуществлялись какие-нибудь подозрительные
действия.
10
11. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones
Освоение пространства аудита
Многие думают, что с помощью встроенных инструментов аудита можно избежать проблем с безопасностью.
Как же они неправы!
Потребности организаций опережают возможности, которые имеются у встроенных инструментов. Конечно,
журналы событий Windows, SQL сервера, SharePoint, Exchange и других систем фиксирует огромные объемы
информации, но они бесполезны в тех ситуациях, в которых Вы оказались вместе с нашими героями. Им нужно
нечто более целостное. Особенно им необходимы:
Консолидированный аудит, который бы фиксировал КТО, ЧТО, ГДЕ и КОГДА изменил в рамках всей IT-
инфраструктуры: Windows, файловые сервера, Active Directory, VMware, Exchange Server, SQL Server,
групповые политик, SharePoint и System Center Virtual Machine Manager, сетевые устройства, Unix и другие
системы;
Единый централизованный журнал аудита, который бы обладал возможностями долгосрочного хранения
данных;
Функция формирования отчетов, позволяющая вычислять отдельные действия за пару секунд, отвечая на
вопросы КТО, ЧТО, ГДЕ и КОГДА изменил;
Уведомления в режиме реального времени, чтобы моментально быть в курсе критических изменений;
Записи аудита, которые не могут быть исправлены теми же администраторами, которые осуществляют
мониторинг – то, что отсутствует в журнале событий Windows.
Наши герои отправились на поиски такой информации, которая бы фиксировалась не в журналах события, но
через специально созданные для этих целей программные решения.
Какие же у них есть варианты дальнейших действий? Они могут все также использовать журналы событий. Они
могут написать свои собственные скрипты. Или же они могут скачать пробную версию NetWrix Change Reporter
Suite, пакета программ, который удовлетворит их потребности в аудите изменений. Технология AuditAssurance™
фиксирует КТО, ЧТО, ГДЕ и КОГДА изменил. Для каждого изменения фиксируются значения “до” и “после”, что
позволяет просто отменять то, что не должно было быть изменено. Они получат простые в понимании отчеты,
которые упростят процесс разрешения проблем, сделают его быстрым.
Можете не сомневаться. Теперь им подвластно пространство аудита.
11
12. Пространство аудита: 5 историй об информационной безопасности Автор – Don Jones
О компании NetWrix
NetWrix Corporation – узкоспециализированный разработчик программных решений для аудита
изменений IT-инфраструктуры. Аудит изменений – ключевая компетенция компании NetWrix, и никто из
других разработчиков настолько не сфокусирован на этой области. NetWrix предлагает решения для
аудита изменений IT-инфраструктуры, которые были признаны профессионалами по всему миру, о чем
свидетельствуют многочисленные награды компании. Основанная в 2006 году, компания занимает
первое место в сфере аудита изменений, и тысячи удовлетворенных клиентов по всему миру тому
подтверждение. Штаб-квартира компании находится в США, Нью-Джерси, Парамус, а ее региональные
подразделения в Лос-Анжелесе, Майами, Тампе, Бостоне, Санкт-Петербурге и Великобритании.
О авторе
У Дона Джонса за плечами более 15 лет опыта работы в IT. Он является одним из
лидирующих мировых экспертов в технологиях Microsoft. Им написано свыше 35
книг, включая: Windows PowerShell: TFM, Windows Administrator’s Scripting Toolkit
и многие другие. Дон – профессионал высокого уровня, который часто выступает
на таких конференциях как Microsoft TechEd, и выдающийся журналист, который
ведет колонки в TechNet Magazine, Redmond Magazine и TechTarget. Дон является
Most Valuable Professional (MVP) Microsoft уже на протяжении многих лет.
12