Сталкивались ли Вы с таким понятием “аудит изменений”? Google выдает 10 100 000 результатов по этому поисковому запросу, но получить ответ, что же такое “аудит изменений” из этих данных сложно. Википедия отсылает нас к скупому описанию на английском.
Что за собой скрывает аудит изменений IT-инфраструктуры? Чтобы ответить на этот вопрос, необходимо четко представлять какие цели перед ним стоят, и только потом давать определение. И без четко обозначенных целей невозможен и ответ на извечный вопрос: “А оно мне надо?”
Давайте попытаемся определить, что же является целями аудита изменений:
1. Повышения контроля за IT-инфраструктурой. От изменений никто не застраховал. «Change happens»©. Порой по неопытности, невнимательности или случайности пользователи или администраторы что-то удаляют или изменяют, что в дальнейшем сказывается на функционировании всей IT-инфраструктуры. Например, удаляют учетную запись пользователя Exchange, что ведет за собой и удаление пользователя из Active Directory. Или бухгалтер по неопытности случайно удаляет важный документ, а потом забывает об этом. Поиск информации о том, что было изменено должен быть проактивным, т.е. администратор должен получать информацию как можно скорее о критических изменениях. В том случае, если даже аудит изменений встроенными средствами Windows Server включен, попытка найти нужные значения в журнале безопасности отнимет в лучшем случае несколько часов напряженной работы. Контроль же подразумевает необходимость своей автоматизации. Упустить изменение очень легко, если администратор пока не знает о нем, да и сами последствия изменения пока не проявляются.
2. Предотвращение нарушений информационной безопасности. Все чаще звучат из уст (и из под пальцев) пентестетров разговоры про backdoor в Active Directory, который позволяет проникнуть в систему управления IT-инфраструктурой, используя учетную запись администратора AD. Подобные нарушения ИБ могут привести к плачевным последствиям. В данном случае, специалисту, ответственному за информационную безопасность, на помощь может прийти аудит изменений, а именно такая его особенность, как уведомления в режиме реального времени о критических изменениях IT-инфраструктуры. Прежде, чем “что-то отвалиться” и это оставит работу подразделения или целой компании, необходимо как можно скорее исправить нежелательные изменения.
3. Выполнение требований нормативов в сфере информационной безопасности. Для того чтобы обеспечить информационную безопасность как организаций, так и персональных данных пользователей, принимаются нормативные акты различного уровня – от внутриотраслевых нормативов до федеральных законов. Стоит указать на то, что обеспечение информационной безопасности организации и подтверждение того, что компания на самом деле должным образом обеспечивают ее – не одно и то же. Проверяющим органам требуются вполне четкие доказательства того, что организация в своей IT-деятельности, обеспечивают должную защиту данных, фиксирует события доступа к ресурсам, входы/выходы из системы и т.п. Подтвердить выполнение требований с помощью встроенных инструментов аудита крайне сложно – они ведь и не предназначались для того, чтобы быть продемонстрированными как результат аудита изменений. В этом случае администраторы организаций должны писать сложные скрипты, извлекающие данные о событии, либо использовать решения сторонних разработчиков.
4. Достижение непрерывности бизнес-процессов. Когда что-то в IT-инфраструктуре не работает – это ад для администратора. Помимо того, что он пытается найти причину этого, со всех сторон раздаются недовольные голоса пользователей, которые не могут нормально выполнять свою работу. Особенно неприятно, когда “отваливается” что-то, что до этого работало нормально. Очевидно, что это “что-то” было “кем-то» изменено. И чтобы своевременно восстановить работоспособность, необходимо быть в курсе произошедших изменений. Желательно сразу, а то возникают казусы, когда придя на работу с праздников, администраторы обнаруживают, что система информационной безопасности была взломана, а они об этом не имели малейшего представления.
5. Централизация всей информации об изменениях. Вполне возможно, что конкретно Ваша организация полагается на журнал событий для извлечения информации об изменениях. До какого-то предела это возможно. Однако на каждом контроллере домена имеется свой журнал событий, что влечет за собой значительные усилия по воссозданию целостной картины изменений. Да и к тому же, большинство изменений не являются несанкционированными. Централизация всей информации об изменениях в одном месте позволяет не допустить изменений в журналах, которые могут осуществлять администраторы, чтобы “закрыть” информацию о тех или иных изменениях.
6. Долгосрочное хранение информации. Также одной из целей аудита изменений является обеспечение долгосрочного хранения информации. Журналы событий перезаписываются, как правило, каждые 30 дней, чтобы не занимать излишнее место. Однако в случаях, когда это предписано нормативами, организации должны хранить данные в течение нескольких лет по отдельным изменениям IT-инфраструктуры, чтобы продемонстрировать, что требования нормативов в сфере информационной безопасности выполняются.
Попробуем теперь дать определение аудиту изменений. При первом приближении можно сказать, что аудит изменений – это комплексный процесс постоянного отслеживания изменений, происходящих в различных платформах IT-инфраструктуры, осуществляемый в формализованном и автоматическом режиме. Однако дальнейшие совершенствования этого определения приветствуются.
Подводя итог, необходимо сказать, что аудит изменений IT-инфраструктуры – это очередной шаг к тому, чтобы сделать функционирование современной организации безопасным и в то же время максимально открытым. Имеет место также и момент сведения к минимуму последствий “человеческой ошибки”, которую администраторы и специалисты по информационной безопасности теперь могут зафиксировать в автоматическом режиме и в автоматическом режиме обработать.
Среди решений для аудита изменений IT-инфраструктуры выделяется пакет программ NetWrix Change Reporter Suite, с помощью которого администраторы и специалисты по информационной безопасности могут осуществлять непрерывный аудит изменений IT-инфраструктуры. Этот пакет программ обеспечивает широкое покрытие различных платформ IT-инфраструктуры из представленных на рынке.
NetWrix Change Reporter Suite — интегрированное решение для автоматизированного отслеживания и оповещения о любых критичных изменениях во всей ИТ-инфраструктуре. Неважно, кто, где, когда и что именно изменил – в Active Directory, файловых и Microsoft Exchange серверах, файловых системах типа NetApp и EMC, виртуальной или физической инфраструктуре, базах данных SQL Server — все компоненты централизованно контролируются, а полученные данные объединяются и предоставляются в виде удобных для восприятия отчетов, которые в соответствии с графиком отправляются службам информационной безопасности и внутренним или внешним аудиторам.
Узнать больше о программе и скачать триал можно на нашем сайте
Автор: NetWrixRU