Приветствуем всех!
Мы начинаем серию постов, в которых вполне себе художественным языком будет рассказано, с какими проблемами может столкнуться IT-специалист в отсутствие подходящих инструментов для мониторинга и аудита изменений различных платформ IT-инфраструктуры.
Итак, история первая "Полуденный вор, или Кто изменил настройки доступа к файлам?".
Мартин понял, что неделька будет еще та, когда руководство уже в понедельник забегало по офисам, говоря о чем-то на повышенных тонах. В среду все прояснилось: каким-то образом информация о деталях еще не выпущенного на рынок продукта попала в руки к конкурентам, которые теперь быстро модифицировали свой продукт. Конкурентное преимущество, которым могла бы обладать компания, в которой работал Мартин, испарилось. Акционеры требовали найти виновных, и руководство всячески их искало.
Сначала были просмотрены записи всех камер безопасности. После нескольких дней увлекательнейшего просмотра пришли к выводу, что, наверное, информация утекла через инсайдера. Слухи стремительно распространялись по офису, и Мартин знал, что будет дальше.
“Мартин, — раздался голос начальника, заходящего к нему в кабинет. – Нам нужно поговорить. Это насчет утечки”.
Мартин зашел в кабинет начальника и, удостоверившись, что его никто не слышит, признался, что установить, кто последним имел доступ к этим файлам, невозможно. “Проблема в том, — сказал Мартин, – что текущий список контроля доступа к файлам содержит группу пользователей домена, которой там быть не должно”. Получается, что любой работник в компании мог обратиться к этим файлам. И установить, кто именно изменил это список, невозможно. У компании попросту отсутствуют необходимые для этого программы.
“Разве все это не фиксируется в журналах?” – начальник был раздосадован.
“Да, фиксируется, — ответил Мартин. – Но изменение списка произошло достаточно давно, и журнал уже был перезаписан”.
Он объяснил, что в Windows-сервере, который они используют, просто отсутствуют возможности долгосрочного хранения записей журналов безопасности. На практике, события остаются в журнале несколько дней. Кто бы это ни был, он планировал данный шаг достаточно долго. Сначала он изменил разрешения, и, дождавшись, когда информация об изменении будет перезаписана, стал использовать уже новые разрешения. С новыми разрешениями файлы можно было спокойно копировать куда угодно – прямо в рабочее время – и поймать такого человека будет невозможно. В настоящий момент в компании в журналы не записывается каждое событие успешного доступа к файлам, ведь это будет генерировать такой объем трафика, что журналы будут перезаписываться еще быстрее.
Мартин вышел из офиса начальника с четким указанием исправить ситуацию и не допускать ее возникновения в будущем. Ему нужно было решение, которое бы позволяло архивировать записи событий безопасности, и он надеялся найти программу, которая бы как можно скорее оповещала его о том, когда изменяются разрешения и критические группы. И поиск среди множества записей в каждом журнале безопасности определенного события был совсем не лишним.
Какие возможные решения существуют, чтобы не допускать такого впредь?
Дисклеймер: У NetWrix имеется программа для аудита файловых серверов и устройств хранения. Ознакомиться с ней Вы можете здесь.
Автор: NetWrixRU