Perusahaan besar membutuhkan sejumlah skrip untuk inventaris fasilitas komputer. Ini dapat dimengerti: jika organisasi memiliki lebih dari 1000 karyawan, struktur domain memiliki struktur yang agak rumit. Dan jika ada beberapa kali lebih banyak pekerjaan?
Di neraca pelanggan kami dari sektor perbankan - selusin atau dua server, berbagai jenis printer dan workstation. Selain itu, perlu untuk mengelola kontrol akses untuk karyawan dan menyediakan sumber daya jaringan sesuai kebutuhan. Poin terpisah dan penting dalam arsitektur informasi-manusia ini adalah penyediaan keamanan informasi.
Ketika sumber daya manusia dari departemen keamanan informasi sudah pada batasnya, menjadi jelas bahwa bank membutuhkan sistem terpusat, terpusat untuk mengelola keamanan informasi dan peralatan keamanan. Tugas kami adalah menciptakan sistem yang akan memperhitungkan semua fitur bank dan memungkinkan perluasan fungsionalitas seiring dengan pertumbuhan kebutuhan. Tentang bagaimana kami memutuskan kasus ini, dimulai dengan modul terpisah, saya akan memberi tahu dalam artikel ini.
SumberHal pertama yang kami lakukan dengan rekan-rekan dari departemen otomatisasi dan perlindungan sistem informasi LANIT, adalah menciptakan layanan kecil - System Agent, untuk menangani seluruh ekonomi komputer bank. Mendistribusikannya ke semua workstation dan server melalui kebijakan domain. Untuk mulai dengan, Agen hanya mengumpulkan informasi tentang perangkat keras PC dan perangkat lunak yang diinstal. Data untuk setiap PC berbondong-bondong ke server pusat. Tenaga kerja yang diperlukan untuk membuat asisten adalah beberapa minggu, dan proses inventarisasi peralatan telah menurun secara signifikan! Untuk komunikasi yang nyaman dengan "sistem inventaris" kami, antarmuka web ditulis. Kemudian, bekerja dengan templat kata ditambahkan ke antarmuka - dan dengan bantuan "beberapa klik" laporan indah pada kop surat organisasi dikirim ke kepala.
Selanjutnya - lebih lanjut!
Agen berteman dengan peralatan pelindung. Mereka mengajarkan kami untuk mengumpulkan log Kaspersky, Doctor of the Web, SecretNet, dan bahkan Accord. Omong-omong, log Persetujuan disimpan dalam bentuk biner terstruktur, jadi saya harus menghabiskan banyak waktu mencari informasi yang diperlukan dan "pemisah" informasi ini. Inilah informasi yang berhasil kami temukan di sana.
Dari 6 hingga 13 byte berisi tanggal dan waktu. Ini adalah titik awal waktu.
Lebih jauh dari 44 byte ada acara. Peristiwa memiliki header di mana 4 byte adalah waktu offset relatif ke titik awal, 2 byte kode hasil dan 2 byte kode operasi. Posisi mereka tetap. Berikut ini adalah teks dari pesan yang diakhiri dengan byte nol. Bagian dari kode operasi memiliki dua baris signifikan dengan teks pesan. Dengan demikian, pesan log Accord dibongkar menjadi komponen dan diterjemahkan ke dalam standar internal untuk menyimpan data log.
Fitur analisis setiap log adalah penentuan posisi pada informasi baru yang belum dikumpulkan oleh Agen. Untuk melakukan ini, kami menggunakan nomor acara unik (untuk log Windows) atau tanggal dan waktu acara.
Kami menambahkan bagian server dan antarmuka, dan sekarang keadaan berbagai jenis alat keamanan dapat dilihat di satu tempat. Di mana insiden keamanan - dan administrator dengan tablet sudah ada! Mereka menambahkan beberapa templat lagi - dan laporan kejadian dengan semua detailnya baik di pos atau di atas kertas.
SumberSetelah beberapa tahun, alur kerja yang lengkap diintegrasikan ke dalam sistem. Saat ini, akuntansi untuk PC mana pun mulai dari menempatkannya di neraca hingga dihapuskan melalui serangkaian persetujuan dan pernyataan. Pada langkah apa pun, dimungkinkan untuk mencetak tindakan atau aplikasi yang sudah selesai, menandatanganinya dengan kepala atau departemen, kemudian melampirkan salinan yang dipindai ke salinan elektronik mereka. Secara umum, nyaman dan hebat menghemat waktu.
Ada juga pengalaman menarik dalam membatasi perangkat penyimpanan USB. Ada departemen di mana penggunaan perangkat penyimpanan eksternal terbatas dan Anda hanya dapat bekerja dengan perangkat penyimpanan yang direkam. Sekarang, Agen kami memeriksa setiap kali drive terhubung, apakah diizinkan untuk pengguna tertentu pada PC tertentu untuk menggunakan drive ini. Jika tidak ada aplikasi yang sesuai yang telah disetujui sebelumnya (dengan kata lain, drive tidak ditugaskan untuk karyawan dan tidak terdaftar untuk bekerja pada PC tertentu), Agen memblokir drive dan penjaga keamanan menerima pemberitahuan. Hal yang sama terjadi jika aplikasi telah kedaluwarsa. Pada saat yang sama, administrator secara otomatis diundang untuk membuat tindakan pada penggunaan drive yang tidak sah. Data pada PC, karyawan dan drive dimasukkan ke dalam dokumen oleh sistem.
Arsitektur sistem
Diagram struktural sistem informasi kami (yang kami sebut "Cobalt") sebagai hasilnya adalah sebagai berikut:
Modul dasar adalah interaksi dengan workstation dan peralatan keamanan. Mereka mengirimkan informasi ke sistem otomatis dan membentuk gambaran integral dari keadaan keamanan informasi dalam sistem yang dilindungi.
Struktur modul interaksi dengan workstation termasuk layanan khusus yang diinstal di tempat kerja setiap pengguna dan server organisasi dan mengumpulkan data pada keamanan mereka.
Modul untuk berinteraksi dengan fitur keamanan adalah konektor khusus untuk fitur keamanan informasi tipikal. Ini dirancang untuk dengan cepat mendapatkan data tentang insiden keamanan informasi.
Modul alur kerja adalah bagian tambahan yang dapat disesuaikan dari sistem. Dokumen dihasilkan sesuai dengan templat yang kami masukkan ke dalam sistem. Kami akan bekerja dengan pelanggan lain - kami akan menggunakan templatnya.
Proses yang berubah tanpa mengubah sistem
Yang paling keren adalah bahwa untuk membuat hidup lebih mudah bagi administrator, kami tidak harus mengubah alat SIEM dan DLP yang ada. Kami hanya merangkum komponen teknis dan organisasi keamanan informasi. Akibatnya, beberapa masalah telah hilang dari layanan TI bank.
Pertama, masalah inventaris.
Sekarang mereka selalu tahu di mana mereka memiliki apa itu, dalam kondisi apa peralatan itu, dan dapat menekan ctrl + P kapan saja untuk meletakkan laporan di meja bos merinci setiap elemen jaringan.
Ketika komputer baru memasuki staf teknologi komputer, administrator, bersama dengan perangkat lunak pengguna yang diperlukan, juga menginstal agen Cobalt. Setelah memuat PC dan menghubungkannya ke jaringan area lokal, sistem akan secara otomatis mengenali komponen baru. Administrator akan diminta untuk membuat dokumen tentang commissioning alat komputer baru. Dalam kasus ini, bidang dengan informasi teknis, misalnya, daftar perangkat lunak yang diinstal dan konfigurasi perangkat keras, secara otomatis diisi. Administrator juga menunjukkan dalam sistem karyawan organisasi tempat PC ini ditugaskan. Sekarang administrator akan menerima pemberitahuan waktu nyata tentang perubahan dalam perangkat lunak, konfigurasi perangkat keras, dan peristiwa keamanan informasi dari alat perlindungan informasi yang diinstal pada komputer. Jika insiden keamanan terjadi, Administrator akan diminta untuk membuat dokumen standar yang secara otomatis akan menjelaskan esensi utama dari peristiwa tersebut.
Kedua, tidak ada lagi masalah dengan mengelola akses ke sumber daya jaringan lokal.
Untuk setiap karyawan, perlu membuat dan menyetujui aplikasi untuk menggunakan folder jaringan. Jika seorang karyawan mencoba untuk membuka satu atau sumber daya lain, akses yang tidak diizinkan, administrator akan menerima pemberitahuan tentang insiden keamanan. SEBAGAI "Cobalt" akan mengusulkan untuk membuat dokumen yang sesuai - tindakan akses yang tidak sah.
SumberKetiga, tidak ada masalah dengan dukungan sistem bersertifikasi besar.
Peralatan dan perangkat lunak dari sistem informasi yang besar sering berubah, harus dimodernisasi sehubungan dengan kebutuhan baru atau perubahan yang tidak teratur. Akuntansi untuk perubahan seperti itu sangat penting untuk sistem bersertifikat, karena untuk sertifikasi ulang set dokumen baru perlu disiapkan. Dan modul sistem secara otomatis melacak perubahan dan membentuk set dokumen yang diperlukan untuk mempersiapkan sertifikasi ulang.
* * *
Masih ada masalah yang belum terpecahkan. Misalnya, saat mengendalikan drive USB, masih belum memungkinkan untuk mengidentifikasi ponsel yang terhubung ke workstation sebagai drive. Saat memantau sumber daya jaringan, terlalu banyak peristiwa jatuh ke dalam log; dalam perkiraan pertama, "runtuh" ββdari lima peristiwa dari jenis yang sama menjadi satu - ternyata, tetapi masih membutuhkan analitik yang lebih dalam dan lebih cerdas untuk mengidentifikasi peristiwa yang benar-benar signifikan. Kami sekarang sedang mengerjakan algoritmanya.
Selain itu, beberapa waktu lalu, pelanggan memutuskan untuk memperluas fungsionalitas platform. Ini bukan hanya tentang laporan baru, tetapi juga tentang mengontrol akses bagi pekerja ke sistem otomatis yang diinstal pada PC mereka.
Perangkat lunak, sesuai dengan protokol internal bank, dipasang oleh karyawan hanya berdasarkan catatan resmi. Agen mengumpulkan informasi tentang perangkat lunak yang diinstal dan, oleh karena itu, tahu sistem otomatis mana yang diinstal. Sisi server memeriksa apakah ada aplikasi untuk perangkat lunak ini. Jika perangkat lunak diinstal, tetapi tidak ada aplikasi, administrator harus menerima pemberitahuan. Jika ada aplikasi yang valid, tetapi tidak ada perangkat lunak, - sama.
Saya harap ini jauh dari putaran terakhir pengembangan sistem.
SumberJangan lupakan lowongan kami!