Ein großes Unternehmen benötigt eine ganze Reihe von Skripten für eine Bestandsaufnahme der Computereinrichtungen. Dies ist verständlich: Wenn die Organisation mehr als 1000 Mitarbeiter hat, ist die Domänenstruktur ziemlich kompliziert strukturiert. Und wenn es mehrmals mehr Jobs gibt?
In der Bilanz unserer Kunden aus dem Bankensektor - ein Dutzend oder zwei Server, eine Vielzahl verschiedener Arten von Druckern und Arbeitsstationen. Darüber hinaus ist es erforderlich, die Zugriffskontrolle für Mitarbeiter zu verwalten und bei Bedarf Netzwerkressourcen bereitzustellen. Ein separater und wichtiger Punkt in dieser informationsmenschlichen Architektur ist die Bereitstellung von Informationssicherheit.
Als die Humanressourcen der Abteilung für Informationssicherheit bereits am Limit waren, wurde klar, dass die Bank ein einheitliches, zentrales System für die Verwaltung der Informationssicherheits- und Sicherheitsausrüstung benötigte. Unsere Aufgabe war es, ein solches System zu schaffen, das alle Merkmale der Bank berücksichtigt und es ermöglicht, die Funktionalität zusammen mit dem wachsenden Bedarf zu erweitern. Wie wir diesen Fall entschieden haben, beginnend mit separaten Modulen, werde ich in diesem Artikel erzählen.
QuelleDas erste, was wir mit Kollegen aus der Abteilung für Automatisierung und Schutz von Informationssystemen LANIT gemacht haben, war die Schaffung eines kleinen Dienstes - System Agent -, der sich mit der gesamten Computerökonomie der Bank befasst. Verteilt es über Domänenrichtlinien an alle Arbeitsstationen und Server. Zunächst sammelte der Agent nur Informationen über die Hardware des PCs und die installierte Software. Daten für jeden PC flossen auf einen zentralen Server. Der Arbeitsaufwand für die Erstellung eines Assistenten beträgt einige Wochen, und der Prozess der Inventarisierung der Ausrüstung hat sich erheblich verringert! Für eine komfortable Kommunikation mit unserem „Inventarsystem“ wurde eine Webschnittstelle geschrieben. Anschließend wurde der Benutzeroberfläche die Arbeit mit Wortvorlagen hinzugefügt - und mithilfe von „ein paar Klicks“ wurde ein schöner Bericht über den Briefkopf der Organisation an den Kopf der Tabelle gesendet.
Weiter - mehr!
Der Agent freundete sich mit Schutzausrüstung an. Sie haben uns beigebracht, die Protokolle von Kaspersky, Doctor of the Web, SecretNet und sogar Accord zu sammeln. Übrigens, die Protokolle von Accord werden in einer strukturierten binären Form gespeichert, so dass ich viel Zeit damit verbringen musste, nach den erforderlichen Informationen und den "Trennzeichen" dieser Informationen zu suchen. Hier ist, welche Informationen wir dort gefunden haben.
6 bis 13 Bytes enthalten Datum und Uhrzeit. Dies ist der Ausgangspunkt.
Weiter von 44 Bytes gibt es Ereignisse. Das Ereignis hat einen Header, in dem 4 Bytes der Zeitversatz relativ zum Startpunkt, 2 Bytes des Ergebniscodes und 2 Bytes des Operationscodes sind. Ihre Position ist festgelegt. Das Folgende ist der Text der Nachricht, die mit einem Null-Byte endet. Ein Teil der Operationscodes enthält zwei signifikante Zeilen mit dem Nachrichtentext. Daher werden die Protokollnachrichten von Accord in Komponenten zerlegt und in den internen Standard zum Speichern von Protokolldaten übersetzt.
Ein Merkmal der Analyse von Protokollen ist die Positionierung auf neuen Informationen, die vom Agenten noch nicht erfasst wurden. Zu diesem Zweck haben wir entweder eindeutige Ereignisnummern (für Windows-Protokolle) oder Datum und Uhrzeit des Ereignisses verwendet.
Wir haben den Serverteil und die Schnittstelle hinzugefügt, und jetzt kann der Status verschiedener Arten von Sicherheitstools an einer Stelle angezeigt werden. Wo ist der Sicherheitsvorfall - und der Administrator mit dem Tablet ist bereits vorhanden! Sie fügten ein paar weitere Vorlagen hinzu - und den Vorfallbericht mit allen Details entweder per Post oder auf Papier.
QuelleNach einigen Jahren wurde ein vollwertiger Workflow in das System integriert. Im Moment durchläuft die Bilanzierung eines PCs von der Bilanzierung bis zur Abschreibung eine Kette von Genehmigungen und Genehmigungen. In jedem Schritt ist es möglich, die ausgefüllte Handlung oder den Antrag auszudrucken, mit dem Leiter oder der Abteilung zu unterschreiben und die gescannte Kopie ihren elektronischen Kopien beizufügen. Im Allgemeinen ist es bequem und großartig, Zeit zu sparen.
Es gab auch eine interessante Erfahrung bei der Eindämmung von USB-Speichergeräten. Es gibt Abteilungen, in denen die Verwendung externer Speichergeräte begrenzt ist und Sie nur mit aufgezeichneten Speichergeräten arbeiten können. Jetzt überprüft unser Agent jedes Mal, wenn das Laufwerk angeschlossen ist, ob es einem bestimmten Benutzer auf einem bestimmten PC gestattet ist, dieses Laufwerk zu verwenden. Wenn es keinen entsprechenden Antrag gibt, der im Voraus genehmigt wurde (mit anderen Worten, das Laufwerk ist dem Mitarbeiter nicht zugewiesen und nicht für die Arbeit an einem bestimmten PC registriert), blockiert der Agent das Laufwerk und der Sicherheitsbeamte erhält eine Benachrichtigung. Das gleiche passiert, wenn die Anwendung abgelaufen ist. Gleichzeitig wird der Administrator automatisch aufgefordert, eine Handlung bei nicht autorisierter Verwendung des Laufwerks zu erstellen. Die Daten auf dem PC, dem Mitarbeiter und dem Laufwerk werden vom System in das Dokument eingegeben.
Systemarchitektur
Das Strukturdiagramm unseres Informationssystems (das wir "Cobalt" genannt haben) lautet daher wie folgt:
Die Grundmodule sind die Interaktion mit Arbeitsstationen und Sicherheitsausrüstung. Sie übertragen Informationen an das automatisierte System und bilden ein integrales Bild des Zustands der Informationssicherheit im geschützten System.
Die Struktur des Interaktionsmoduls mit Arbeitsstationen umfasst einen speziellen Dienst, der am Arbeitsplatz jedes Benutzers und auf den Servern des Unternehmens installiert wird und Daten zu deren Sicherheit sammelt.
Das Modul für die Interaktion mit Sicherheitsfunktionen ist ein spezieller Anschluss an typische Informationssicherheitsfunktionen. Es wurde entwickelt, um schnell Daten zu Informationssicherheitsvorfällen abzurufen.
Das Workflow-Modul ist ein zusätzlich anpassbarer Teil des Systems. Dokumente werden gemäß den Vorlagen generiert, die wir in das System eingegeben haben. Wir würden mit einem anderen Kunden zusammenarbeiten - wir würden seine Vorlagen verwenden.
Geänderte Prozesse ohne Systemwechsel
Das Coolste ist, dass wir die vorhandenen SIEM- und DLP-Tools nicht ändern mussten, um dem Administrator das Leben zu erleichtern. Wir haben einfach die technischen und organisatorischen Komponenten der Informationssicherheit zusammengefasst. Infolgedessen sind einige Probleme aus dem IT-Service der Bank verschwunden.
Erstens Inventarprobleme.
Jetzt wissen sie immer, wo sie haben, was es ist, in welchem Zustand sich die Ausrüstung befindet, und können jederzeit Strg + P drücken, um einen Bericht auf die Tabelle des Chefs zu legen, in dem jedes Netzwerkelement aufgeführt ist.
Wenn ein neuer Computer in das Personal der Computertechnologie aufgenommen wird, installiert der Administrator zusammen mit der erforderlichen Benutzersoftware auch den Cobalt-Agenten. Nach dem Laden des PCs und dem Anschließen an das lokale Netzwerk erkennt das System die neue Komponente automatisch. Der Administrator wird aufgefordert, ein Dokument zur Inbetriebnahme eines neuen Computerwerkzeugs zu erstellen. In diesem Fall werden Felder mit technischen Informationen, z. B. eine Liste der installierten Software- und Hardwarekonfigurationen, automatisch ausgefüllt. Der Administrator gibt auch im Mitarbeitersystem der Organisation an, der dieser PC zugeordnet ist. Jetzt erhält der Administrator Echtzeitbenachrichtigungen über Änderungen der Software, der Hardwarekonfiguration und der Informationssicherheitsereignisse von auf dem Computer installierten Informationsschutz-Tools. Wenn ein Sicherheitsvorfall auftritt, wird der Administrator aufgefordert, ein Standarddokument zu erstellen, das automatisch das Wesentliche des Ereignisses beschreibt.
Zweitens gibt es keine Probleme mehr bei der Verwaltung des Zugriffs auf lokale Netzwerkressourcen.
Für jeden Mitarbeiter muss ein Antrag für die Verwendung von Netzwerkordnern erstellt und genehmigt werden. Wenn ein Mitarbeiter versucht, die eine oder andere Ressource zu öffnen, auf die kein Zugriff zulässig ist, erhält der Administrator eine Benachrichtigung über einen Sicherheitsvorfall. AS „Cobalt“ wird vorschlagen, ein geeignetes Dokument zu erstellen - ein Akt des unbefugten Zugriffs.
QuelleDrittens gibt es keine Probleme mit der Unterstützung großer zertifizierter Systeme.
Die Ausstattung und Software großer Informationssysteme ändert sich häufig, sie muss im Zusammenhang mit neuen Anforderungen modernisiert oder außer Betrieb gesetzt werden. Die Berücksichtigung solcher Änderungen ist für zertifizierte Systeme besonders wichtig, da für die Rezertifizierung ein neuer Satz von Dokumenten vorbereitet werden muss. Die Systemmodule verfolgen Änderungen automatisch und bilden die erforderlichen Dokumente, um die Rezertifizierung vorzubereiten.
* * *
Es gibt noch ungelöste Probleme. Während der Steuerung von USB-Laufwerken war es beispielsweise noch nicht möglich, ein an eine Workstation angeschlossenes Telefon als Laufwerk zu identifizieren. Bei der Überwachung von Netzwerkressourcen fallen zu viele Ereignisse in das Protokoll. in erster Näherung: "Zusammenbruch" von fünf Ereignissen des gleichen Typs zu einem - es stellte sich heraus, aber es erfordert immer noch eine tiefere und intelligentere Analyse, um wirklich signifikante Ereignisse zu identifizieren. Wir arbeiten jetzt an seinem Algorithmus.
Darüber hinaus hat der Kunde vor einiger Zeit beschlossen, die Funktionalität der Plattform zu erweitern. Es geht nicht nur um neue Berichte, sondern auch darum, den Zugriff der Mitarbeiter auf automatisierte Systeme zu steuern, die auf ihren PCs installiert sind.
Software wird gemäß den internen Protokollen der Bank von Mitarbeitern nur auf der Grundlage offizieller Notizen installiert. Der Agent sammelt Informationen über die installierte Software und weiß daher, welche automatisierten Systeme installiert sind. Die Serverseite prüft, ob es eine Anwendung für diese Software gibt. Wenn die Software installiert ist, aber keine Anwendung vorhanden ist, sollte der Administrator eine Benachrichtigung erhalten. Wenn es eine gültige Anwendung gibt, aber keine Software, - ähnlich.
Ich hoffe, dies ist weit von der letzten Runde der Systementwicklung entfernt.
QuelleVergessen Sie nicht unsere offenen Stellen!