Una gran empresa necesita un montón de scripts para un inventario de las instalaciones informáticas. Esto es comprensible: si la organización tiene más de 1000 empleados, la estructura del dominio tiene una estructura bastante compleja. ¿Y si hay varias veces más empleos?
En el balance de nuestros clientes del sector bancario: una docena o dos servidores, una miríada de diferentes tipos de impresoras y estaciones de trabajo. Además, es necesario gestionar el control de acceso para los empleados y proporcionar recursos de red según sea necesario. Un punto separado e importante en esta arquitectura de información humana es la provisión de seguridad de la información.
Cuando los recursos humanos del departamento de seguridad de la información ya estaban en el límite, quedó claro que el banco necesitaba un sistema unificado y centralizado para administrar la seguridad de la información y el equipo de seguridad. Nuestra tarea consistía en crear un sistema de este tipo que tuviera en cuenta todas las características del banco y permitiera ampliar la funcionalidad junto con el crecimiento de las necesidades. Sobre cómo decidimos este caso, comenzando con módulos separados, lo contaré en este artículo.
FuenteLo primero que hicimos con colegas del departamento de automatización y protección de sistemas de información LANIT fue crear un pequeño servicio: System Agent, para hacer frente a toda la economía informática del banco. Lo distribuyó a todas las estaciones de trabajo y servidores a través de la política de dominio. Para empezar, el Agente solo recopiló información sobre el hardware de la PC y el software instalado. Los datos de cada PC se reunieron en un servidor central. ¡La mano de obra requerida para crear un asistente es un par de semanas, y el proceso de inventario de equipos ha disminuido significativamente! Para una comunicación cómoda con nuestro "sistema de inventario", se escribió una interfaz web. Luego, se agregó el trabajo con plantillas de palabras a la interfaz, y con la ayuda de "un par de clics", se envió un hermoso informe con el membrete de la organización al encabezado de la tabla.
Además, ¡más!
El agente se hizo amigo del equipo de protección. Nos enseñaron a recolectar los registros de Kaspersky, Doctor of the Web, SecretNet e incluso Accord. Por cierto, los registros de Accord se almacenan en una forma binaria estructurada, por lo que tuve que pasar mucho tiempo buscando la información necesaria y los "separadores" de esta información. Aquí está la información que logramos encontrar allí.
De 6 a 13 bytes contienen la fecha y la hora. Este es el punto de partida del tiempo.
Además de 44 bytes hay eventos. El evento tiene un encabezado en el que 4 bytes son el desplazamiento de tiempo relativo al punto de partida, 2 bytes del código de resultado y 2 bytes del código de operación. Su posición es fija. El siguiente es el texto del mensaje que termina con un byte nulo. Parte de los códigos de operación tiene dos líneas significativas con el texto del mensaje. Por lo tanto, los mensajes de registro de Accord se desarman en componentes y se traducen al estándar interno para almacenar datos de registro.
Una característica del análisis de cualquier registro es posicionarse en nueva información que aún no ha sido recopilada por el Agente. Para hacer esto, utilizamos números de evento únicos (para registros de Windows) o la fecha y hora del evento.
Agregamos la parte del servidor y la interfaz, y ahora se puede ver el estado de varios tipos de herramientas de seguridad en un solo lugar. ¿Dónde está el incidente de seguridad, y el administrador de la tableta ya está en su lugar? Agregaron un par de plantillas más, y el informe del incidente con todos los detalles, ya sea por correo o en papel.
FuenteDespués de un par de años, se integró un flujo de trabajo completo en el sistema. Por el momento, la contabilización de cualquier PC, desde su inclusión en el balance general hasta la cancelación, pasa por una cadena de aprobaciones y aprobaciones. En cualquier paso, es posible imprimir el acto o la solicitud completa, firmarlo con el jefe o departamento, luego adjuntar la copia escaneada a sus copias electrónicas. En general, es conveniente y excelente para ahorrar tiempo.
También hubo una experiencia interesante para frenar los dispositivos de almacenamiento USB. Hay departamentos donde el uso de dispositivos de almacenamiento externo es limitado y solo puede trabajar con dispositivos de almacenamiento grabados. Ahora, nuestro Agente verifica cada vez que se conecta la unidad, si está permitido que un usuario específico en una PC en particular use esta unidad. Si no hay una solicitud correspondiente que haya sido aprobada de antemano (en otras palabras, la unidad no está asignada al empleado y no está registrada para trabajar en una PC específica), el Agente bloquea la unidad y el guardia de seguridad recibe una notificación. Lo mismo sucede si la aplicación ha expirado. Al mismo tiempo, se invita automáticamente al administrador a crear un acto sobre el uso no autorizado de la unidad. El sistema ingresa los datos en la PC, el empleado y la unidad en el documento.
Arquitectura del sistema
Como resultado, el diagrama estructural de nuestro sistema de información (que llamamos "Cobalto") es el siguiente:
Los módulos básicos son la interacción con estaciones de trabajo y equipos de seguridad. Transmiten información al sistema automatizado y forman una imagen integral del estado de la seguridad de la información en el sistema protegido.
La estructura del módulo de interacción con las estaciones de trabajo incluye un servicio especial que se instala en el lugar de trabajo de cada usuario y los servidores de la organización y recopila datos sobre su seguridad.
El módulo para interactuar con las características de seguridad es un conector especial para las características típicas de seguridad de la información. Está diseñado para obtener rápidamente datos sobre incidentes de seguridad de la información.
El módulo de flujo de trabajo es una parte adicionalmente personalizable del sistema. Los documentos se generan de acuerdo con las plantillas que ingresamos en el sistema. Trabajaríamos con otro cliente, usaríamos sus plantillas.
Procesos modificados sin cambiar los sistemas.
Lo mejor es que, para facilitarle la vida al administrador, no tuvimos que cambiar las herramientas SIEM y DLP existentes. Simplemente resumimos los componentes técnicos y organizativos de la seguridad de la información. Como resultado, varios problemas han desaparecido del servicio de TI del banco.
En primer lugar, problemas de inventario.
Ahora siempre saben dónde tienen lo que es, en qué condición se encuentra el equipo, y pueden presionar ctrl + P en cualquier momento para colocar un informe en la tabla del jefe que detalle cada elemento de la red.
Cuando una nueva computadora ingresa al personal de tecnología informática, el administrador, junto con el software de usuario necesario, también instala el agente Cobalt. Después de cargar la PC y conectarla a la red de área local, el sistema reconocerá automáticamente el nuevo componente. Se le pedirá al administrador que cree un documento sobre la puesta en marcha de una nueva herramienta informática. En este caso, los campos con información técnica, por ejemplo, una lista de software instalado y configuración de hardware, se completan automáticamente. El administrador también indica en el sistema de empleados de la organización a la que está asignada esta PC. Ahora el administrador recibirá notificaciones en tiempo real sobre los cambios en el software, la configuración del hardware y los eventos de seguridad de la información de las herramientas de protección de la información instaladas en la computadora. Si ocurre un incidente de seguridad, se le pedirá al Administrador que cree un documento estándar que describirá automáticamente la esencia principal del evento.
En segundo lugar, no hay más problemas con la administración del acceso a los recursos de la red local.
Para cada empleado, es necesario elaborar y aprobar una aplicación para usar carpetas de red. Si un empleado intenta abrir uno u otro recurso, cuyo acceso no está permitido, el administrador recibirá una notificación sobre un incidente de seguridad. AS "Cobalt" propondrá crear un documento apropiado, un acto de acceso no autorizado.
FuenteEn tercer lugar, no hay problemas con el soporte de grandes sistemas certificados.
El equipo y el software de los grandes sistemas de información cambian con bastante frecuencia, debe modernizarse en relación con las nuevas necesidades o cambiarse fuera de servicio. La contabilidad de dichos cambios es especialmente crítica para los sistemas certificados, porque para la recertificación se debe preparar un nuevo conjunto de documentos. Y los módulos del sistema rastrean automáticamente los cambios y forman el conjunto de documentos necesarios para prepararse para la recertificación.
* * *
Todavía hay problemas sin resolver. Por ejemplo, mientras se controlan las unidades USB, todavía no ha sido posible identificar un teléfono conectado a una estación de trabajo como una unidad. Al monitorear los recursos de la red, demasiados eventos caen en el registro; en la primera aproximación, "colapsó" de cinco eventos del mismo tipo en uno, resultó, pero aún requiere un análisis más profundo e inteligente para identificar eventos verdaderamente significativos. Ahora estamos trabajando en su algoritmo.
Además, hace algún tiempo, el cliente decidió ampliar la funcionalidad de la plataforma. No se trata solo de nuevos informes, sino también de controlar el acceso de los trabajadores a los sistemas automatizados instalados en sus PC.
El software, de acuerdo con los protocolos internos del banco, es instalado por los empleados solo sobre la base de notas oficiales. El agente recopila información sobre el software instalado y, por lo tanto, sabe qué sistemas automatizados están instalados. El lado del servidor verifica si hay una aplicación para este software. Si el software está instalado, pero no hay una aplicación, el administrador debe recibir una notificación. Si hay una aplicación válida, pero no hay software, de manera similar.
Espero que esto esté lejos de la última ronda de desarrollo del sistema.
Fuente¡No te olvides de nuestras vacantes!