تحتاج الشركة الكبيرة إلى مجموعة كاملة من البرامج النصية للحصول على قائمة بمرافق الكمبيوتر. هذا أمر مفهوم: إذا كان لدى المنظمة أكثر من 1000 موظف ، فإن بنية المجال بها بنية معقدة إلى حد ما. وإذا كان هناك عدة مرات وظائف أكثر؟
في الميزانية العمومية لعملائنا من القطاع المصرفي - عشرات أو اثنين من الخوادم ، عدد لا يحصى من أنواع مختلفة من الطابعات ومحطات العمل. بالإضافة إلى ذلك ، من الضروري إدارة التحكم في الوصول للموظفين وتوفير موارد الشبكة حسب الحاجة. هناك نقطة منفصلة وهامة في هذه البنية المعلوماتية البشرية هي توفير أمن المعلومات.
عندما كانت الموارد البشرية لقسم أمن المعلومات في حدود بالفعل ، أصبح من الواضح أن البنك بحاجة إلى نظام موحد مركزي لإدارة معدات أمن المعلومات والأمن. كانت مهمتنا إنشاء مثل هذا النظام من شأنه أن يأخذ في الاعتبار جميع ميزات البنك ويسمح بتوسيع الوظائف جنبا إلى جنب مع نمو الاحتياجات. حول الكيفية التي قررنا بها هذه الحالة ، بدءًا من الوحدات النمطية المنفصلة ، سأقول في هذه المقالة.
مصدرأول ما فعلناه مع زملائنا من قسم التشغيل الآلي وحماية نظم المعلومات LANIT ، هو إنشاء خدمة صغيرة - وكيل النظام ، للتعامل مع الاقتصاد الكلي للكمبيوتر في البنك. توزيعها على جميع محطات العمل والخوادم من خلال سياسة المجال. بادئ ذي بدء ، قام العامل بتجميع المعلومات حول أجهزة الكمبيوتر والبرامج المثبتة فقط. توافد البيانات لكل جهاز كمبيوتر إلى خادم مركزي. العمل المطلوب لإنشاء مساعد هو بضعة أسابيع ، وقد انخفضت عملية جرد المعدات بشكل كبير! للتواصل المريح مع "نظام الجرد" الخاص بنا ، تمت كتابة واجهة ويب. بعد ذلك ، تمت إضافة العمل باستخدام قوالب الكلمات إلى الواجهة - وبمساعدة "بضع نقرات" ، تم إرسال تقرير جميل عن ترويسة المؤسسة إلى الرأس.
مزيد - أكثر!
قام الوكيل بعمل صداقات مع معدات الحماية. علمونا جمع سجلات Kaspersky و Doctor of the Web و SecretNet وحتى Accord. بالمناسبة ، يتم تخزين سجلات أكورد في شكل ثنائي منظم ، لذلك اضطررت لقضاء الكثير من الوقت في البحث عن المعلومات الضرورية و "فواصل" هذه المعلومات. هنا هي المعلومات التي تمكنا من العثور عليها هناك.
من 6 إلى 13 بايت تحتوي على التاريخ والوقت. هذه هي نقطة الانطلاق من الوقت.
أبعد من 44 بايت هناك أحداث. يحتوي الحدث على رأس تكون فيه 4 بايت هي إزاحة الوقت بالنسبة لنقطة البداية و 2 بايت من رمز النتيجة و 2 بايت من رمز العملية. موقفهم ثابت. التالي هو نص الرسالة التي تنتهي بـ بايت فارغة. يحتوي جزء من رموز التشغيل على سطرين مهمين مع نص الرسالة. وبالتالي ، يتم تفكيك رسائل سجل Accord إلى مكونات وترجمتها إلى المعيار الداخلي لتخزين بيانات السجل.
تتمثل ميزة تحليل أي سجلات في وضع معلومات جديدة لم يقم الوكيل بجمعها بعد. للقيام بذلك ، استخدمنا أرقام أحداث فريدة (لسجلات Windows) أو تاريخ ووقت الحدث.
لقد أضفنا جزء الخادم والواجهة ، والآن أصبحت حالة أنواع الأدوات الأمنية المختلفة مرئية في مكان واحد. أين تقع الحادثة الأمنية - والمسؤول مع الجهاز اللوحي موجود بالفعل! لقد أضافوا المزيد من النماذج - وتقرير الحادث مع كل التفاصيل سواء في البريد أو على الورق.
مصدربعد بضع سنوات ، تم دمج سير عمل كامل في النظام. في الوقت الحالي ، يمر حساب أي كمبيوتر شخصي من وضعه على الميزانية العمومية لشطبه عبر سلسلة من الموافقات والموافقات. في أي خطوة ، يمكن طباعة التصرف أو التطبيق المكتمل وتوقيعه مع الرئيس أو القسم ، ثم إرفاق النسخة الممسوحة ضوئيًا بنسخها الإلكترونية. بشكل عام ، أنها مريحة وكبيرة لتوفير الوقت.
كانت هناك أيضًا تجربة مثيرة للاهتمام في كبح أجهزة تخزين USB. هناك أقسام يكون فيها استخدام أجهزة التخزين الخارجية محدودًا ويمكنك العمل فقط مع أجهزة التخزين المسجلة. يقوم وكيلنا الآن بالتحقق في كل مرة يتم فيها توصيل محرك الأقراص ، ما إذا كان يجوز لمستخدم معين على جهاز كمبيوتر معين استخدام محرك الأقراص هذا. إذا لم يكن هناك أي تطبيق مقابل تمت الموافقة عليه مسبقًا (وبعبارة أخرى ، لم يتم تعيين محرك الأقراص للموظف ولم يتم تسجيله للعمل على جهاز كمبيوتر معين) ، يقوم الوكيل بحظر محرك الأقراص ويتلقى حارس الأمن إشعارًا. يحدث الشيء نفسه إذا انتهت صلاحية التطبيق. في الوقت نفسه ، تتم دعوة المسؤول تلقائيًا لإنشاء إجراء بشأن الاستخدام غير المصرح به لمحرك الأقراص. يتم إدخال البيانات الموجودة على جهاز الكمبيوتر والموظف ومحرك الأقراص في المستند بواسطة النظام.
بنية النظام
المخطط الهيكلي لنظام المعلومات لدينا (الذي أطلقنا عليه "الكوبالت") نتيجة لذلك هو كما يلي:
الوحدات الأساسية هي التفاعل مع محطات العمل والمعدات الأمنية. إنها تنقل المعلومات إلى النظام الآلي وتشكل صورة متكاملة لحالة أمن المعلومات في النظام المحمي.
يتضمن هيكل وحدة التفاعل مع محطات العمل خدمة خاصة مثبتة في مكان العمل لكل مستخدم وخوادم المؤسسة وتجميع البيانات حول أمانهم.
الوحدة النمطية للتفاعل مع ميزات الأمان هي رابط خاص لميزات أمان المعلومات النموذجية. وهي مصممة للحصول بسرعة على البيانات المتعلقة بحوادث أمن المعلومات.
وحدة سير العمل هي جزء قابل للتخصيص بشكل إضافي من النظام. يتم إنشاء المستندات وفقًا للقوالب التي أدخلناها في النظام. سوف نعمل مع عميل آخر - سوف نستخدم قوالبه.
العمليات المتغيرة دون تغيير النظم
أروع شيء هو أنه من أجل جعل الحياة أسهل للمسؤول ، لم يكن لدينا لتغيير أدوات SIEM و DLP الحالية. لقد لخصنا ببساطة العناصر التقنية والتنظيمية لأمن المعلومات. نتيجة لذلك ، اختفت العديد من المشكلات من خدمة تكنولوجيا المعلومات بالبنك.
أولا ، قضايا المخزون.
الآن يعرفون دائمًا مكان وجودهم ، وفي أي حالة تكون المعدات ، ويمكنهم الضغط على ctrl + P في أي وقت لوضع تقرير على طاولة رئيسه يفصل كل عنصر من عناصر الشبكة.
عندما يدخل كمبيوتر جديد موظفي تكنولوجيا الكمبيوتر ، يقوم المسؤول ، بالإضافة إلى برنامج المستخدم اللازم ، بتثبيت وكيل الكوبالت. بعد تحميل الكمبيوتر وتوصيله بالشبكة المحلية ، سيتعرف النظام تلقائيًا على المكون الجديد. سيُطلب من المسؤول إنشاء مستند حول تشغيل أداة كمبيوتر جديدة. في هذه الحالة ، يتم تلقائيًا ملء الحقول التي تحتوي على معلومات فنية ، على سبيل المثال ، قائمة بتكوين البرامج والأجهزة المثبتة. يشير المسؤول أيضًا في نظام موظفي المؤسسة الذي تم تعيين هذا الكمبيوتر عليه. سيتلقى المسؤول الآن إعلامات في الوقت الفعلي حول التغييرات في البرنامج وتكوين الأجهزة وأحداث أمان المعلومات من أدوات حماية المعلومات المثبتة على الكمبيوتر. في حالة حدوث حادث أمني ، سيُطلب من المسؤول إنشاء مستند قياسي يصف تلقائيًا الجوهر الرئيسي للحدث.
ثانياً ، لا توجد مشاكل أخرى في إدارة الوصول إلى موارد الشبكة المحلية.
لكل موظف ، من الضروري إعداد تطبيق والموافقة عليه لاستخدام مجلدات الشبكة. إذا حاول أحد الموظفين فتح مورد أو آخر ، ولا يُسمح بالوصول إليه ، فسيتلقى المسؤول إشعارًا بحادث أمان. ستقترح AS "Cobalt" إنشاء مستند مناسب - فعل الوصول غير المصرح به.
مصدرثالثًا ، لا توجد مشاكل مع دعم الأنظمة المعتمدة الكبيرة.
تتغير المعدات والبرامج الخاصة بأنظمة المعلومات الكبيرة في كثير من الأحيان ، ويجب تحديثها فيما يتعلق باحتياجات جديدة أو تغييرها خارج النظام. يعد حساب هذه التغييرات أمرًا مهمًا بشكل خاص للأنظمة المعتمدة ، لأنه من أجل إعادة التأهيل ، يجب إعداد مجموعة جديدة من المستندات. تقوم وحدات النظام تلقائيًا بتتبع التغييرات وتشكيل المجموعة اللازمة من المستندات للتحضير لإعادة التأهيل.
* * *
لا تزال هناك مشاكل لم يتم حلها. على سبيل المثال ، أثناء التحكم في محركات أقراص USB ، لم يكن من الممكن بعد تحديد هاتف متصل بمحطة عمل كمحرك أقراص. عند مراقبة موارد الشبكة ، تقع أحداث كثيرة جدًا في السجل ؛ في التقريب الأول ، تحول "انهيار" خمسة أحداث من نفس النوع إلى حدث واحد - لكنه لا يزال يتطلب تحليلات أعمق وأكثر ذكاءً لتحديد الأحداث المهمة حقًا. نحن نعمل الآن على خوارزمية لها.
بالإضافة إلى ذلك ، منذ بعض الوقت ، قرر العميل توسيع وظائف النظام الأساسي. لا يتعلق الأمر فقط بالتقارير الجديدة ، بل يتعلق أيضًا بالتحكم في وصول العمال إلى الأنظمة الآلية المثبتة على أجهزة الكمبيوتر الخاصة بهم.
يتم تثبيت البرامج ، وفقًا للبروتوكولات الداخلية للبنك ، بواسطة الموظفين فقط على أساس الملاحظات الرسمية. يجمع الوكيل معلومات حول البرنامج المثبت ، وبالتالي يعرف الأنظمة الآلية المثبتة. يتحقق جانب الخادم مما إذا كان هناك تطبيق لهذا البرنامج. إذا تم تثبيت البرنامج ، ولكن لا يوجد تطبيق ، يجب أن يتلقى المسؤول إشعارًا. إذا كان هناك تطبيق صحيح ، ولكن لا يوجد برنامج ، - بالمثل.
آمل أن يكون هذا بعيدًا عن الجولة الأخيرة من تطوير النظام.
مصدرلا تنسى الشواغر لدينا!