一家大公司需要一堆脚本来存储计算机设施清单。 这是可以理解的:如果组织有1000多名员工,则域结构具有相当复杂的结构。 如果还有更多的工作呢?
在我们来自银行业的客户的资产负债表上-一打或两台服务器,无数种不同类型的打印机和工作站。 另外,有必要管理员工的访问控制并根据需要提供网络资源。 在这种信息人体系结构中,另一个重要的方面是信息安全性的提供。
当信息安全部门的人力资源已经达到极限时,很明显银行需要一个统一的集中式系统来管理信息安全和安全设备。 我们的任务是创建一个这样的系统,该系统应考虑银行的所有功能,并允许我们随着需求的增长来扩展功能。 关于我们如何决定这种情况,从单独的模块开始,我将在本文中讲述。
来源我们与LANIT自动化和信息系统保护部门的同事所做的第一件事是创建一个小型服务-System Agent,以处理银行的整个计算机经济。 通过域策略将其分发到所有工作站和服务器。 首先,代理仅收集有关PC硬件和已安装软件的信息。 每台PC的数据都聚集到中央服务器。 创建助理所需的工作需要几个星期,并且库存设备的过程已大大减少! 为了与我们的“库存系统”进行舒适的通信,编写了一个Web界面。 然后,在界面上添加了使用单词模板的功能-借助“几次单击”,有关表格抬头的漂亮报告就发送到了表格的开头。
进一步-更多!
特工用防护装备交了朋友。 他们教我们收集卡巴斯基,网络博士,SecretNet甚至Accord的日志。 顺便说一下,Accord日志以结构化的二进制格式存储,因此我不得不花费大量时间来搜索必要的信息和该信息的“分隔符”。 这是我们设法在此处找到的信息。
从6到13个字节包含日期和时间。 这是时间的起点。
除了44个字节以外,还有一些事件。 该事件具有一个标头,其中4个字节是相对于起点的时间偏移量,2个字节的结果代码和2个字节的操作代码。 他们的位置是固定的。 以下是消息的文本,以空字节结尾。 部分操作代码的消息文本有两行有效。 因此,雅阁的日志消息被分解为组件,并转换为用于存储日志数据的内部标准。
分析任何日志的功能是定位在尚未由代理收集的新信息上。 为此,我们使用了唯一的事件编号(对于Windows日志)或事件的日期和时间。
我们添加了服务器部分和接口,现在可以在一处看到各种类型的安全工具的状态。 安全事件在哪里-平板电脑的管理员已经就位! 他们添加了更多模板-事件报告以及所有详细信息,无论是邮件还是书面形式。
来源几年后,将完善的工作流程集成到系统中。 目前,对从计入资产负债表到注销的所有PC的核算都要经过一系列批准和批准。 在任何步骤,都可以打印出已完成的操作或申请,与主管或部门签字,然后将扫描后的副本附加到其电子副本上。 通常,这很方便而且省时。
在限制USB存储设备方面也有有趣的经历。 在某些部门中,外部存储设备的使用受到限制,您只能使用录制的存储设备。 现在,我们的代理会在每次连接驱动器时检查是否允许特定PC上的特定用户使用该驱动器。 如果没有事先获得批准的相应应用程序(换句话说,驱动器未分配给员工,并且未注册为在特定PC上工作),则代理会阻止该驱动器,并且安全卫士会收到通知。 如果应用程序已过期,也会发生相同的情况。 同时,系统会自动邀请管理员对驱动器进行未经授权的使用。 PC,员工和驱动器上的数据由系统输入到文档中。
系统架构
结果,我们的信息系统(我们称为“钴”)的结构图如下:
基本模块是与工作站和安全设备的交互。 它们将信息传输到自动化系统,并形成受保护系统中信息安全状态的完整图片。
工作站交互模块的结构包括一项特殊服务,该服务安装在每个用户的工作场所和组织的服务器上,并收集有关其安全性的数据。
与安全功能交互的模块是典型信息安全功能的特殊连接器。 它旨在快速获取有关信息安全事件的数据。
工作流程模块是系统的另一个可自定义部分。 根据我们输入系统的模板生成文档。 我们将与另一位客户合作-我们将使用他的模板。
无需更改系统即可更改流程
最酷的事情是,为了使管理员的工作变得更轻松,我们不必更改现有的SIEM和DLP工具。 我们仅概述了信息安全的技术和组织组成部分。 结果,银行的IT服务中出现了一些问题。
首先,库存问题。
现在,他们总是知道设备的位置,设备的状况,并且可以随时按ctrl + P在老板的桌子上放一份报告,详细说明每个网络元素。
当一台新计算机进入计算机技术人员手中时,管理员以及必要的用户软件也将安装Cobalt代理。 加载PC并将其连接到局域网后,系统将自动识别新组件。 将要求管理员在调试新的计算机工具时创建一个文档。 在这种情况下,具有技术信息的字段(例如,已安装的软件和硬件配置的列表)将自动填充。 管理员还在该PC分配到的组织的员工系统中指出。 现在,管理员将从安装在计算机上的信息保护工具接收有关软件,硬件配置和信息安全事件的实时通知。 如果发生安全事件,将要求管理员创建一个标准文档,该文档将自动描述事件的主要本质。
第二,管理对本地网络资源的访问不再存在问题。
对于每个员工,有必要草拟和批准使用网络文件夹的应用程序。 如果员工尝试打开一个或另一个资源(不允许访问该资源),则管理员将收到有关安全事件的通知。 AS“ Cobalt”将建议创建适当的文档-未经授权的访问。
来源第三,大型认证系统的支持没有问题。
大型信息系统的设备和软件经常更改,因此必须根据新的需求进行现代化改造或无序更改。 对于经过认证的系统,考虑此类更改尤为重要,因为要进行重新认证,需要准备一套新的文档。 系统模块会自动跟踪更改并形成必要的文档集以准备重新认证。
* * *
仍然有未解决的问题。 例如,在控制USB驱动器时,尚无法将连接到工作站的电话识别为驱动器。 监视网络资源时,太多事件会落入日志中。 在第一种近似中,事实证明,将五个相同类型的事件“折叠”为一个,但它仍然需要更深入,更智能的分析来识别真正重要的事件。 我们现在正在研究其算法。
此外,不久前,客户决定扩展该平台的功能。 它不仅涉及新报告,还涉及控制工作人员对他们PC上安装的自动化系统的访问。
员工仅根据官方说明安装符合银行内部协议的软件。 该代理收集有关已安装软件的信息,因此,知道安装了哪些自动化系统。 服务器端检查是否有该软件的应用程序。 如果已安装软件,但没有应用程序,则管理员应收到通知。 如果有有效的应用程序,但没有软件,则类似。
我希望这离上一轮系统开发还很远。
来源不要忘记我们的空缺!