Uma grande empresa precisa de vários scripts para fazer um inventário das instalações de computadores. Isso é compreensível: se a organização tiver mais de 1000 funcionários, a estrutura de domínio terá uma estrutura bastante complexa. E se houver várias vezes mais empregos?
No balanço de nossos clientes do setor bancário - uma dúzia ou dois servidores, uma infinidade de tipos diferentes de impressoras e estações de trabalho. Além disso, é necessário gerenciar o controle de acesso dos funcionários e fornecer recursos de rede conforme necessário. Um ponto separado e importante dessa arquitetura humana da informação é o fornecimento de segurança da informação.
Quando os recursos humanos do departamento de segurança da informação já estavam no limite, ficou claro que o banco precisava de um sistema unificado e centralizado para gerenciar os equipamentos de proteção e segurança da informação. Nossa tarefa era criar um sistema que levasse em consideração todos os recursos do banco e permitisse expandir a funcionalidade juntamente com o crescimento das necessidades. Sobre como decidimos esse caso, começando com módulos separados, contarei neste artigo.
FonteA primeira coisa que fizemos com colegas do departamento de automação e proteção dos sistemas de informação LANIT foi criar um pequeno serviço - System Agent, para lidar com toda a economia computacional do banco. Distribuí-lo para todas as estações de trabalho e servidores através da política de domínio. Para começar, o Agente coletou apenas informações sobre o hardware do PC e o software instalado. Os dados de cada PC reuniram-se em um servidor central. O trabalho necessário para criar um assistente é de algumas semanas, e o processo de inventário de equipamentos diminuiu significativamente! Para uma comunicação confortável com nosso "sistema de inventário", uma interface da web foi escrita. Em seguida, o trabalho com modelos de palavras foi adicionado à interface - e com a ajuda de "alguns cliques", um belo relatório no papel timbrado da organização foi enviado à cabeça.
Mais - mais!
O agente fez amizade com equipamentos de proteção. Eles nos ensinaram a coletar os logs do Kaspersky, Doctor of the Web, SecretNet e até Accord. A propósito, os logs do Accord são armazenados em uma forma binária estruturada, então eu tive que gastar muito tempo procurando as informações necessárias e os "separadores" dessas informações. Aqui está a informação que conseguimos encontrar lá.
De 6 a 13 bytes contêm a data e a hora. Este é o ponto de partida do tempo.
Além dos 44 bytes, existem eventos. O evento possui um cabeçalho no qual 4 bytes são o deslocamento de tempo em relação ao ponto inicial, 2 bytes do código de resultado e 2 bytes do código de operação. Sua posição é fixa. A seguir, o texto da mensagem que termina com um byte nulo. Parte dos códigos de operação possui duas linhas significativas com o texto da mensagem. Assim, as mensagens de log do Accord são desmontadas em componentes e convertidas no padrão interno para armazenamento de dados de log.
Um recurso da análise de qualquer registro é o posicionamento em novas informações que ainda não foram coletadas pelo Agente. Para fazer isso, usamos números de eventos exclusivos (para logs do Windows) ou a data e hora do evento.
Adicionamos a parte do servidor e a interface, e agora o estado de vários tipos de ferramentas de segurança pode ser visto em um só lugar. Onde está o incidente de segurança - e o administrador com o tablet já está no lugar! Eles adicionaram mais alguns modelos - e o relatório do incidente com todos os detalhes no correio ou no papel.
FonteDepois de alguns anos, um fluxo de trabalho completo foi integrado ao sistema. No momento, a contabilização de qualquer PC, desde que seja incluída no balanço patrimonial até a baixa, passa por uma cadeia de aprovações e aprovações. Em qualquer etapa, é possível imprimir o ato ou aplicativo concluído, assiná-lo com o chefe ou departamento e anexar a cópia digitalizada às cópias eletrônicas. Em geral, é conveniente e ótimo economizar tempo.
Também houve uma experiência interessante na restrição de dispositivos de armazenamento USB. Existem departamentos em que o uso de dispositivos de armazenamento externo é limitado e você só pode trabalhar com dispositivos de armazenamento gravados. Agora, nosso agente verifica cada vez que a unidade é conectada, se é permitido que um usuário específico em um PC específico use essa unidade. Se não houver um aplicativo correspondente previamente aprovado (em outras palavras, a unidade não estiver atribuída ao funcionário e não estiver registrada para funcionar em um PC específico), o Agente bloqueará a unidade e o segurança receberá uma notificação. O mesmo acontece se o aplicativo expirou. Ao mesmo tempo, o administrador é automaticamente convidado a criar um ato de uso não autorizado da unidade. Os dados no PC, funcionário e unidade são inseridos no documento pelo sistema.
Arquitetura do sistema
O diagrama estrutural do nosso sistema de informação (que chamamos de "cobalto") como resultado é o seguinte:
Os módulos básicos são a interação com estações de trabalho e equipamentos de segurança. Eles transmitem informações para o sistema automatizado e formam uma imagem integral do estado de segurança das informações no sistema protegido.
A estrutura do módulo de interação com as estações de trabalho inclui um serviço especial instalado no local de trabalho de cada usuário e nos servidores da organização e coleta dados sobre sua segurança.
O módulo para interagir com os recursos de segurança é um conector especial para os recursos típicos de segurança da informação. Ele foi projetado para obter rapidamente dados sobre incidentes de segurança da informação.
O módulo de fluxo de trabalho é uma parte adicionalmente personalizável do sistema. Os documentos são gerados de acordo com os modelos que inserimos no sistema. Trabalharíamos com outro cliente - usaríamos seus modelos.
Processos alterados sem alterar os sistemas
O mais interessante é que, para facilitar a vida do administrador, não precisamos alterar as ferramentas SIEM e DLP existentes. Simplesmente resumimos os componentes técnicos e organizacionais da segurança da informação. Como resultado, vários problemas desapareceram do serviço de TI do banco.
Em primeiro lugar, problemas de inventário.
Agora eles sempre sabem onde estão, em que condições estão os equipamentos e podem pressionar ctrl + P a qualquer momento para colocar um relatório na tabela do chefe detalhando cada elemento da rede.
Quando um novo computador entra na equipe de tecnologia da computação, o administrador, juntamente com o software de usuário necessário, também instala o agente Cobalt. Após carregar o PC e conectá-lo à rede local, o sistema reconhecerá automaticamente o novo componente. O administrador será solicitado a criar um documento sobre o comissionamento de uma nova ferramenta de computador. Nesse caso, os campos com informações técnicas, por exemplo, uma lista de configuração de software e hardware instalada, são preenchidos automaticamente. O administrador também indica no sistema de funcionários da organização à qual este PC está atribuído. Agora, o administrador receberá notificações em tempo real sobre alterações nos eventos de software, configuração de hardware e segurança das informações das ferramentas de proteção de informações instaladas no computador. Se ocorrer um incidente de segurança, o Administrador será solicitado a criar um documento padrão que descreva automaticamente a essência principal do evento.
Em segundo lugar, não há mais problemas com o gerenciamento de acesso aos recursos da rede local.
Para cada funcionário, é necessário elaborar e aprovar um aplicativo para o uso de pastas de rede. Se um funcionário tentar abrir um ou outro recurso cujo acesso não é permitido, o administrador receberá uma notificação sobre um incidente de segurança. AS “Cobalt” irá propor a criação de um documento apropriado - um ato de acesso não autorizado.
FonteEm terceiro lugar, não há problemas com o suporte de grandes sistemas certificados.
O equipamento e o software de grandes sistemas de informação mudam com frequência, precisam ser modernizados em conexão com novas necessidades ou alterados fora de ordem. A contabilização de tais mudanças é especialmente crítica para sistemas certificados, porque para a recertificação é necessário preparar um novo conjunto de documentos. E os módulos do sistema rastreiam automaticamente as alterações e formam o conjunto de documentos necessário para se preparar para a recertificação.
* * *
Ainda existem problemas não resolvidos. Por exemplo, ao controlar unidades USB, ainda não foi possível identificar um telefone conectado a uma estação de trabalho como uma unidade. Ao monitorar os recursos de rede, muitos eventos caem no log; na primeira aproximação, "colapso" de cinco eventos do mesmo tipo em um - resultou, mas ainda requer uma análise mais profunda e inteligente para identificar eventos realmente significativos. Agora estamos trabalhando em seu algoritmo.
Além disso, há algum tempo, o cliente decidiu expandir a funcionalidade da plataforma. Não se trata apenas de novos relatórios, mas também de controlar o acesso dos trabalhadores a sistemas automatizados instalados em seus PCs.
O software, de acordo com os protocolos internos do banco, é instalado pelos funcionários apenas com base em notas oficiais. O agente coleta informações sobre o software instalado e, portanto, sabe quais sistemas automatizados estão instalados. O lado do servidor verifica se há um aplicativo para este software. Se o software estiver instalado, mas não houver aplicativo, o administrador deverá receber uma notificação. Se houver um aplicativo válido, mas não houver software, - da mesma forma.
Espero que isso esteja longe da última rodada de desenvolvimento do sistema.
FonteNão se esqueça das nossas vagas!