Une grande entreprise a besoin de tout un tas de scripts pour un inventaire des installations informatiques. Cela est compréhensible: si l'organisation compte plus de 1 000 employés, la structure du domaine a une structure assez complexe. Et s'il y a plusieurs fois plus d'emplois?
Au bilan de notre client du secteur bancaire - une douzaine ou deux serveurs, une myriade de différents types d'imprimantes et de postes de travail. De plus, il est nécessaire de gérer le contrôle d'accès des employés et de fournir les ressources réseau selon les besoins. Un point distinct et important de cette architecture information-humaine est la sécurité de l'information.
Lorsque les ressources humaines du département de la sécurité de l'information étaient déjà à la limite, il est devenu clair que la banque avait besoin d'un système unifié et centralisé pour gérer la sécurité de l'information et les équipements de sécurité. Notre tâche était de créer un système qui prendrait en compte toutes les fonctionnalités de la banque et permettrait d'étendre les fonctionnalités en même temps que la croissance des besoins. Sur la façon dont nous avons décidé de ce cas, en commençant par des modules séparés, je vais le dire dans cet article.
SourceLa première chose que nous avons faite avec des collègues du département d'automatisation et de protection des systèmes d'information LANIT a été de créer un petit service - System Agent, pour faire face à l'ensemble de l'économie informatique de la banque. Distribué à tous les postes de travail et serveurs via la stratégie de domaine. Pour commencer, l'agent n'a collecté que des informations sur le matériel du PC et les logiciels installés. Les données de chaque PC ont afflué vers un serveur central. La main-d'œuvre requise pour créer un assistant est de quelques semaines, et le processus d'inventaire des équipements a considérablement diminué! Pour une communication confortable avec notre «système d'inventaire», une interface Web a été écrite. Ensuite, du travail avec des modèles de mots a été ajouté à l'interface - et avec l'aide de «quelques clics», un beau rapport sur le papier à en-tête de l'organisation a été envoyé à la tête.
Plus loin - plus!
L'agent s'est lié d'amitié avec un équipement de protection. Ils nous ont appris à collecter les journaux de Kaspersky, Docteur du Web, SecretNet et même Accord. Soit dit en passant, les journaux d'Accord sont stockés sous une forme binaire structurée, j'ai donc dû passer beaucoup de temps à rechercher les informations nécessaires et les «séparateurs» de ces informations. Voici quelles informations nous avons réussi à y trouver.
De 6 à 13 octets contiennent la date et l'heure. C'est le point de départ.
Plus loin de 44 octets, il y a des événements. L'événement a un en-tête dans lequel 4 octets sont le décalage temporel par rapport au point de départ, 2 octets du code de résultat et 2 octets du code d'opération. Leur position est fixe. Ce qui suit est le texte du message se terminant par un octet nul. Une partie des codes d'opération a deux lignes significatives avec le texte du message. Ainsi, les messages de journal d'Accord sont désassemblés en composants et traduits dans la norme interne de stockage des données de journal.
Une caractéristique de l'analyse des journaux consiste à se positionner sur de nouvelles informations qui n'ont pas encore été collectées par l'agent. Pour ce faire, nous avons utilisé soit des numéros d'événement uniques (pour les journaux Windows), soit la date et l'heure de l'événement.
Nous avons ajouté la partie serveur et l'interface, et maintenant l'état des différents types d'outils de sécurité peut être vu en un seul endroit. Où est l'incident de sécurité - et l'administrateur avec la tablette est déjà en place! Ils ont ajouté quelques modèles supplémentaires - et le rapport d'incident avec tous les détails par courrier ou sur papier.
SourceAprès quelques années, un workflow à part entière a été intégré au système. À l'heure actuelle, la comptabilisation de tout PC depuis sa mise au bilan jusqu'à sa radiation passe par une chaîne d'approbations et d'approbations. À tout moment, il est possible d'imprimer l'acte ou la demande rempli, de le signer avec le chef ou le service, puis de joindre la copie numérisée à leurs copies électroniques. En général, il est pratique et idéal pour gagner du temps.
Il y avait aussi une expérience intéressante dans la limitation des périphériques de stockage USB. Il existe des départements où l'utilisation de périphériques de stockage externes est limitée et vous ne pouvez travailler qu'avec des périphériques de stockage enregistrés. Maintenant, notre agent vérifie chaque fois que le lecteur est connecté, s'il est permis à un utilisateur spécifique sur un PC particulier d'utiliser ce lecteur. Si aucune application correspondante n'a été approuvée à l'avance (en d'autres termes, le lecteur n'est pas affecté à l'employé et n'est pas enregistré pour travailler sur un PC spécifique), l'agent bloque le lecteur et le gardien de sécurité reçoit une notification. La même chose se produit si l'application a expiré. Dans le même temps, l'administrateur est automatiquement invité à créer un acte sur l'utilisation non autorisée du lecteur. Les données sur le PC, l'employé et le lecteur sont saisies dans le document par le système.
Architecture du système
Le schéma structurel de notre système d'information (que nous avons appelé "Cobalt") en conséquence est le suivant:
Les modules de base sont l'interaction avec les postes de travail et les équipements de sécurité. Ils transmettent des informations au système automatisé et forment une image intégrale de l'état de la sécurité des informations dans le système protégé.
La structure du module d'interaction avec les postes de travail comprend un service spécial installé sur le lieu de travail de chaque utilisateur et des serveurs de l'organisation et collecte des données sur leur sécurité.
Le module d'interaction avec les fonctions de sécurité est un connecteur spécial pour les fonctions de sécurité des informations typiques. Il est conçu pour obtenir rapidement des données sur les incidents de sécurité de l'information.
Le module de workflow est une partie supplémentaire personnalisable du système. Les documents sont générés selon les modèles que nous avons entrés dans le système. Nous travaillerions avec un autre client - nous utiliserions ses modèles.
Processus modifiés sans changer de système
Le plus cool est que pour faciliter la vie de l'administrateur, nous n'avons pas eu à changer les outils SIEM et DLP existants. Nous avons simplement résumé les composantes techniques et organisationnelles de la sécurité de l'information. En conséquence, plusieurs problèmes ont disparu du service informatique de la banque.
Tout d'abord, les problèmes d'inventaire.
Maintenant, ils savent toujours où ils se trouvent, dans quel état se trouve l'équipement et peuvent appuyer sur ctrl + P à tout moment pour mettre un rapport sur le tableau du patron détaillant chaque élément du réseau.
Lorsqu'un nouvel ordinateur entre dans le personnel de la technologie informatique, l'administrateur, avec le logiciel utilisateur nécessaire, installe également l'agent Cobalt. Après avoir chargé le PC et l'avoir connecté au réseau local, le système reconnaîtra automatiquement le nouveau composant. L'administrateur sera invité à créer un document sur la mise en service d'un nouvel outil informatique. Dans ce cas, les champs contenant des informations techniques, par exemple une liste des configurations logicielles et matérielles installées, sont automatiquement remplis. L'administrateur indique également dans le système des employés de l'organisation à laquelle ce PC est affecté. L'administrateur recevra désormais des notifications en temps réel sur les modifications apportées aux logiciels, à la configuration matérielle et aux événements de sécurité des informations des outils de protection des informations installés sur l'ordinateur. Si un incident de sécurité se produit, l'administrateur sera invité à créer un document standard qui décrira automatiquement l'essentiel de l'événement.
Deuxièmement, la gestion de l'accès aux ressources du réseau local ne pose plus de problème.
Pour chaque employé, il est nécessaire d'élaborer et d'approuver une demande d'utilisation des dossiers réseau. Si un employé tente d'ouvrir l'une ou l'autre ressource dont l'accès n'est pas autorisé, l'administrateur recevra une notification concernant un incident de sécurité. AS «Cobalt» proposera de créer un document approprié - un acte d'accès non autorisé.
SourceTroisièmement, la prise en charge de grands systèmes certifiés ne pose aucun problème.
L'équipement et les logiciels des grands systèmes d'information changent assez souvent, ils doivent être modernisés en fonction de nouveaux besoins ou modifiés hors service. La prise en compte de ces changements est particulièrement critique pour les systèmes certifiés, car pour la recertification, un nouvel ensemble de documents doit être préparé. Et les modules du système suivent automatiquement les modifications et forment l'ensemble de documents nécessaire pour préparer la recertification.
* * *
Il reste des problèmes non résolus. Par exemple, lors du contrôle des lecteurs USB, il n'a pas encore été possible d'identifier un téléphone connecté à un poste de travail en tant que lecteur. Lors de la surveillance des ressources réseau, trop d'événements tombent dans le journal; dans la première approximation, «effondrement» de cinq événements du même type en un seul - il s'est avéré, mais cela nécessite encore une analyse plus approfondie et plus intelligente pour identifier les événements vraiment significatifs. Nous travaillons maintenant sur son algorithme.
De plus, il y a quelque temps, le client a décidé d'étendre les fonctionnalités de la plateforme. Il ne s'agit pas seulement de nouveaux rapports, mais aussi de contrôler l'accès des travailleurs aux systèmes automatisés installés sur leurs PC.
Les logiciels, conformément aux protocoles internes de la banque, sont installés par les employés uniquement sur la base de notes officielles. L'agent collecte des informations sur le logiciel installé et, par conséquent, sait quels systèmes automatisés sont installés. Le côté serveur vérifie s'il existe une application pour ce logiciel. Si le logiciel est installé mais qu'il n'y a pas d'application, l'administrateur devrait recevoir une notification. S'il existe une application valide, mais pas de logiciel, - de même.
J'espère que c'est loin d'être le dernier cycle de développement du système.
SourceN'oubliez pas nos offres d'emploi!