|
|
Обзор подготовлен
Развитие бизнеса и появление новых технологических решений неизбежно усложняют ИТ-инфраструктуру, которая становится все более разветвленной и многоуровневой. Рано или поздно в ходе ее эксплуатации выявляются проблемы, связанные с отсутствием контроля над процессами. Все это подталкивает ИТ и ИБ-специалистов к применению адекватных мер.
Залогом стабильного развития бизнеса является знание того, что происходит в ИТ-инфраструктуре. Ведь именно обладая такой информацией, специалисты могут полностью контролировать все системы и предотвращать опасные действия злоумышленников, нерадивых пользователей и менее опытных коллег.
Руководство некой производственной компании узнало, что конкуренты начинают модифицировать свой продукт в том же направлении, что и сама компания. Более того, точь-в-точь совпадали детали. Напрашивался вывод о похищении информации. После просмотра записей с камер видеонаблюдения стало ясно, что никакого проникновения на территорию не было, то есть речь идет об инсайде. Генеральный директор потребовал от системного администратора предоставить записи доступа к файлам, содержащим конфиденциальную информацию. При анализе списка контроля доступа обнаружилось, что в него включена группа доменных пользователей. Это означало, что любой пользователь в компании мог получить доступ к конфиденциальной информации. Видимо, ответственным за утечку был тот, кто включил группу в список. Однако у компании не было специальных инструментов, чтобы узнать, кто именно виноват в этом. Ситуация осложнялась еще и тем, что журналы безопасности, которые могли бы предоставить такую информацию, перезаписывались каждые два дня, и сведения о доступе к файлам в более ранний период отсутствуют. "Злоумышленник явно все спланировал. Сначала он изменил разрешения, а затем, когда информация об изменении была затерта в журнале безопасности, стал действовать. Копирование файлов стало незаметным, – рассказывает Михаил Ананьев, директор по продажам российского офиса компании NetWrix Corporation. – К тому же, в компании не осуществлялся аудит успешного доступа к каждому файлу – ведь это привело бы к еще более быстрому перезаписыванию журнала безопасности". Найти виновного не удалось.
Юридическая ответственность
Сергей Коношенко, директор департамента информационной безопасности компании "Кабест":
Выявление факта утечки данных – лишь первый шаг. Специалистам ИБ необходимо найти нарушителя, что порой непросто, если речь идет о заранее спланированной акции. Когда нарушитель определен, необходимо оперативно пресечь все его попытки передать защищаемую информацию и собрать доказательную базу, которая станет аргументом компании при принятии соответствующих мер к нарушителю.
Однако не все так просто. С одной стороны, каждый гражданин имеет конституционное право на тайну переписки, телефонных переговоров. С другой – гражданский кодекс защищает права компаний, разрешая им распоряжаться информацией на свое усмотрение. Трудовой кодекс диктует работнику исполнение обязанностей по договору и позволяет работодателю требовать от сотрудников соблюдения внутренних правил. Поэтому компаниям довольно трудно привлечь к юридической ответственности нарушителя. Как правило, инцидент закачивается увольнением виновного. На руку нерадивому сотруднику играет и то, что компании часто не желают предавать огласке факт утечки информации.
У крупного сетевого ритейлера переезд виртуальных серверов службы ServiceDesk привел к перерыву в работе. "Дело в том, что из-за переезда были изменены MAC-адреса оборудования и, как следствие, "слетели" лицензии на программное обеспечение", – поясняет Александр Зиновьев, руководитель практики ITSM компании "Астерос Консалтинг". Пока было выяснено, в чем же причина сбоя, прошло 2 долгих часа, в течение которых ритейлер не получал прибыль. Такого длительного перерыва удалось бы избежать, если бы причина стала известна сразу.
В одной международной корпорации "утекла" переписка генерального директора, в которой он говорил о своей будущей отставке. Информация, попав в руки аналитиков, способствовала падению курса акций компании. При попытке определить, кто же ответственен за несанкционированный доступ к почтовому ящику, выяснилось, что используя только нативные инструменты аудита изменений настроек почтовых разрешений, установить это невозможно. Ошибочно настроенные разрешения также не были зафиксированы администраторами из-за отсутствия специализированных решений. Приводить примеры можно бесконечно.
Вмешательство в ИТ-инфраструктуру чревато не только потерей ценных данных. Основатель и председатель совета директоров компании "Дымов" Вадим Дымов пояснил в интервью CNews, что дело даже не в том, что украдут рецептуру или финансовую информацию. "Если нарушить работу бизнес-систем, то предприятия просто встанут, у нас же датчики стоят через каждые 10 метров и все отчеты формируются по щелчку пальцев", – обосновал он свою точку зрения.
"Противоядием" от подобных ситуаций могло бы стать решение, которое производит аудит изменений и событий и сохраняет данные аудита в течение длительного времени.
За время развития информационных систем специалисты испробовали множество способов установления контроля над ними. Большинство наиболее уязвимых платформ предлагают встроенный инструментарий – логирование. Для расширения более чем аскетичного функционала нативных средств были разработаны решения класса SEM и SIEM (Security Event Management – управление событиями безопасности и Security Event and Incident Management – Управление событиями и инцидентами), которые успешно применяются во многих компаниях. Однако и у них есть свои недостатки, и в поисках более легкого и доступного ПО специалисты обращаются к специальным средствам аудита. Они предоставляют более подробную информацию об изменениях и обладают большими возможностями по долгосрочному хранению данных. Кроме того, многие разработчики подобного ПО предлагают возможности восстановления объектов и информации.
"При необходимости внесения каких-то изменений зачастую приходится проводить большую подготовительную работу по сбору информации о текущем состоянии ИТ, – отмечает Константин Бельцов, ведущий консультант по информационной безопасности компании Leta. – Если же используются специализированные решения, вся необходимая информация находится в едином месте и в актуальном состоянии". "Качественные решения для аудита изменений позволяют хранить данные в течение длительного периода времени, что позволяет установить тех, кто ответственен за те или иные события в прошлом, в том числе и утечку информации к конкурентам, – уверен Михаил Ананьев. – Более того, все несанкционированные изменения могут быть просто и быстро отменены, что позволяет восстановить первоначальное состояние того или иного объекта ИТ-инфраструктуры".
В компанию, где использовались инструменты аудита, пришли два новых системных администратора. Спустя несколько дней их руководитель увидел, что в группе администраторов домена появилась новая учетная запись. Причем пользователь под этой учетной записью начал активно ставить непонятного рода ПО на компьютеры, это уже был повод для беспокойства. "Руководитель увидел, что пользователя добавил в группу один из новичков. Видимо, ему не захотелось под конец рабочего дня заниматься установкой ПО на компьютере пользователя, вот он и делегировал ему такие расширенные права, – рассказывает Михаил Ананьев. – Созданный пользователь был исключен из группы, а установленное ПО – проанализировано, это оказались программы keylogger - перехватчики вводимого пользователем текста. Важная информация не попала в чужие руки".
Кроме собственных потребностей, к использованию инструментов аудита изменений подталкивают различные нормативы, например, закон №152 "О персональных данных", СТО БР ИББС, международные и отраслевые нормативы. Это означает, что компании будут вынуждены обратиться к аудиту изменений. Лидеры отраслей уже идут по этому пути, хотя все приведенные примеры касались крупных корпораций и относятся в 2011-2012 годам."Контроль изменений является одним из ключевых компонентов современных подходов к управлению информационной инфраструктурой, таких, как ITIL, СOBIT. Эти методики позволяют, проведя инвентаризацию и оценку ресурсов, оперативно сделать выводы о том, что стало причиной сбоя и как быстрее его устранить, – Денис Круглов, директор бизнес-направления информационной безопасности компании "Микротест".
Он приводит в пример недавние сбои, приведшие к серьезным убыткам: сбой в работе сайта Bank of America, вызванный некорректным обновлением; сбой в работе IP-сети "Вымпелкома", вызванный выходом оборудования из строя и изменением конфигурации сети. Подобные ситуации возникают довольно часто, но лишь часть из них попадает в СМИ."Аудит изменений будут внедрять компании, которые понимают, что ИБ для них превыше всего, и они должны обеспечить закрытие не только внутренних угроз, но и снизить риски возникновения человеческих ошибок внутри самой компании, – говорит Михаил Ананьев. – Обеспечение повсеместного и автоматического контроля над изменениями отличает профессионального администратора от бедолаги, который вынужден путем догадок определять, какие изменения были произведены в ИТ-инфраструктуре и какие из них привели к сбоям/утечкам".
По его мнению, осведомленность пользователей (как ИТ-специалистов, так и топ-менеджеров) растет, многие компании уже сформулировали для себя проблемы, опробовали различные решения. Все чаще рынок отдает предпочтение комплексным системам для аудита изменений всей ИТ-инфраструктуры, и в 2012 году целый ряд крупных российских компаний внедрит такие решения.
Наталья Анищук