КОМПЬЮТЕР-ИНФОРМ Главная страница || Статьи 11'2002 (17 - 28 июня) || Новости СПб || Новости России || Новости мира
Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
Сергей Полехин,
s_polehin@eureca.ru
C чем ассоциируется слово аудит у большинства наших соотечественников? Не читайте дальше текст! Задумайтесь!
А теперь самое время, перефразировав известную поговорку, сделать вывод о том, какова ваша профессия и где вы живете Скажи мне, что ты представил при слове аудит, и я скажу кто ты!. Вы представили себе лицо страшного налогового инспектора, наставившего на вас указующий перст, с требованием заплатить налоги? Вы нейтральны к этому слову? Вы задумались о положительном эффекте, связанном с работой консалтинговой компании, выполняющей аудиторскую проверку для выявления качества управления и степени управляемости вашей компании с целью выработки рекомендаций по наиболее предпочтительному направлению развития вашего бизнеса?
Если вы оказались ближе всего к первому ответу поздравляю! Вы являетесь одним из 78% общей массы людей нашей страны, запуганных современной действительностью и основная рекомендация, которую вы способны сейчас воспринять отдохните и подумайте над смыслом своей жизни. Если ваш ответ близок ко второму варианту, то вы либо прилетели с другой планеты, либо обладаете великолепным даром не замечать окружающее вас. Хорошо это или плохо вам виднее! Ну а если вы склонны к ответу в виде предложенного третьего варианта Теперь поздравляю искренне! Во-первых, вы оптимист, а это уже хорошо! Во-вторых, вы можете трезво смотреть на вещи и способны видеть хорошее даже в тех вещах, которые не всегда обладают такими характеристиками. В-третьих, вы почти эксклюзив попали в 12% от общей массы населения! Аможет, вы просто не из нашей страны?
Ну а теперь шутки в сторону. Для кого эта статья? Если честно, то в большей мере для тех, кто попал в эти 12%. Ибо тем, кто причислил себя к первым 78% сначала надо отдохнуть, а не забивать свою голову дополнительными техническими деталями, бесполезными для вас из-за постоянной нехватки времени, уплывающего неизвестно куда.
Фраза каждому пользователю минимум свободы является очевидной для любого администратора, в течение хотя бы одного года ощущавшего на себе все прелести управления сотрудниками любой организации, насчитывающей в сети более 30 пользователей. Однако, несмотря на существование встроенной в ОС еще с версии WindowsNT3.51 системы аудита, по статистике лишь 57% администраторов знают о ее существовании и менее 34% ежедневно используют в своей работе инструментарий, обеспечивающий слежение за действиями, выполняемыми любыми сотрудниками организации.
А ведь прописные истины говорят, что при правильном подходе к проектированию и эксплуатации сети, система аудита должна занимать одно из главенствующих положений среди остальных элементов системы управления. Столь высокий приоритет объясняется тем, что правильное использование всех ее компонентов обеспечивает администратора средствами:
•независимого контроля корректности выполнения своих обязанностей другими
администраторами, их ассистентами и штатными пользователями;
•своевременного обнаружения узких мест в системе безопасности, вызванных
некорректными действиями администраторов и пользователей;
•статистического анализа эффективности использования компьютерных ресурсов
организации с целью оптимизации предоставления доступа к этим ресурсам;
•своевременного обнаружения атак или их подготовки злоумышленниками с
целью дальнейшего предотвращения подобных атак.
Несомненным преимуществом правильно настроенной системы аудита является независимость ее отчетов от желания какого-либо пользователя. Такая независимость обеспечивается тем, что построение отчетов выполняет сама ОС, исключая возможность влияния на результаты слежения действий даже недобросовестного администратора.
Но если система аудита решает такое количество задач, связанных с системой безопасности, то чем объясняется столь низкий процент статистики ее использования? Ответ дает та же статистика. Она показывает, что виной всему является лень технического персонала и низкий уровень требований, предъявляемых к эффективности его работы руководством компаний. Зачастую в разговоре с администратором, затрагивая проблему аудита, сталкиваешься с тем, что администратор знает принципы настройки и использования системы, возможно, даже пробовал ее применять, однако в итоге отказался от нее. Стандартная фраза таких администраторов, пытающихся скрыть свою некомпетентность, звучит обычно так: Я ее включил (систему аудита), а она за час навалила такое море информации, что мне ее за неделю не проанализировать.
Основная проблема таких администраторов давно известна хорошим службам безопасности это нежелание администраторов (а иногда и руководства компании) навести порядок на своем рабочем месте, а прежде всего, в своей голове. Так как система аудита является частью системы информационной безопасности, то ее использование возможно лишь при четком планировании. Апланирование, в свою очередь, будет успешным только при четком понимании того, что и как должно происходить в информационной системе компании, исходя из ранее оговоренных правил и должностных обязанностей каждого сотрудника организации.
Результат же некорректного планирования можно отразить известной всем поговоркой За двумя зайцами погонишься ни одного не поймаешь. Бездумное включение системы аудита действительно приведет лишь к появлению шквального потока информации, переварить который не способен даже опытный администратор. Для осознания важности такого планирования представьте себе задачу опознания преступника сотрудником правоохранительных органов. Если приметы преступника, сообщенные в сводке, будут слишком поверхностны, то на улице можно будет хватать каждого прохожего, тратить на его опознание силы и время, но тем не менее, никогда не обнаружить преступника из-за расплывчатости признаков и усталости сотрудника правоохранительных органов. Как говорится, все работают, а толку нет. Примером такого сотрудника и будет являться администратор, не спланировавший заранее режим использования системы аудита.
Из чего же состоит процесс правильного планирования системы аудита?
Первой задачей является четкое выявление тех ресурсов, за которыми вы хотите следить. Вторая задача определение тех действий, слежение за которыми вы хотите возложить на операционную систему. Третья определение тех сотрудников организаций или приложений, за которыми требуется наблюдение. Для всех этих трех задач вы сможете найти оптимальное решение только тогда, когда сможете сказать, что система аудита собирает для вас минимум информации, достаточной для анализа ситуации.
Четвертая задача анализ собранных данных. Несмотря на кажущуюся простоту, эта задача для некоторых организаций является более сложной, чем первые три, решаемые техническими специалистами, и, как правило, однократно. Четвертая значительно усложняется существованием проблемы организационного характера сотрудник организации, на которого возложили функции аудитора, обязан выполнять этот анализ вне зависимости от своего сиюминутного желания. Более того, этот анализ должен быть представлен двумя видами: краткосрочным и долгосрочным. Краткосрочный анализ позволяет быстро выявить существующие узкие места с точки зрения правильности настройки системы безопасности по отношению к штатным пользователям организации. Долгосрочный же ориентирован на выявление попыток подготовки атак злоумышленниками, а также анализ действенности подобных атак.
Для увеличения гибкости в настройке системы аудита разработчики Microsoft выделили девять типов событий, отслеживаемых системой аудита:
•Logon events события, связанные с формированием маркера доступа
пользователя на локальной станции;
•Account Logon events события, связанные с регистрацией и аутентификацией
пользователя в домене;
•Account Management события, связанные с созданием, удалением
или модификацией учетных записей пользователей или групп;
•Object Access события, связанные с доступом к ресурсам, например,
принтерам, а также файлам и каталогам в файловой системе NTFS. Отслеживание
данного типа событий предполагает явное определение администратором тех видов
операций, которые при выполнении пользователями будут зафиксированы в отчете
аудита. Например, для файлов это могут быть операции чтения содержимого, чтения
атрибутов или прав доступа, операции удаления, модификации ит.д.;
•Directory Service Access события, связанные с доступом к объектам
службы каталога Active Directory). Отслеживание данного типа событий предполагает
явное определение администратором тех видов операций, которые при выполнении
пользователями будут зафиксированы в отчете аудита. Например, операции чтения
или изменения определенного свойства объекта;
•Privilege Use события, связанные с использованием дополнительных
привилегий, например, операции смены владельца ресурса, операции резервного
копирования ит.п.;
•Process tracking события, связанные с запуском, выполнением
или прекращением работы каких-либо сервисов или приложений;
•System events события, связанные с выполнением общесистемных
операций, например, старт или прекращение работы операционной системы;
•Policy change события, связанные с изменениями системных политик,
прав доступа на выполнение общесистемных операций и изменением режимов работы
самой системы аудита.
Дополнительная гибкость в настройке отслеживаемых типов событий обеспечивается существованием двух категорий событий: Success (успешное событие аудита) или Failure (неуспешное событие аудита). По каждому из вышеперечисленных типов администратор вправе сделать самостоятельный выбор категорий интересующих его событий: только Success, только Failure или обе категории одновременно.
Такая гибкость настройки обеспечивает администратора возможностью отслеживания только необходимых типов событий, достаточных для принятия решения о корректности работы системы безопасности в каждом интересующем его случае.
Однако, следует заметить, что сама категория (Success или Failure) не несет в себе строгой информативности о корректности работы системы безопасности информационной системы. Приведем простой пример, демонстрирующий принципы анализа событий указанных категорий. Предположим, что администратор настроил систему аудита для слежения за попытками удаления некоторого важного файла и указал обе категории интересующих его событий (Success и Failure). Ниже приведем примеры анализа событий, отслеженных системой аудита.
Вариант1. Предположим, пользователь пытается выполнить операцию удаления этого файла и ему это не удается. Итог файл не удален, пользователь получил сообщение о невозможности выполнения данной операции. Системой аудита это событие будет отслежено как неуспешное (Failure).
Вариант анализа событий1.1. Если пользователю, исходя из его должностных обязанностей, операция удаления этого файла не была разрешена, то зафиксированное событие указывает администратору на а)корректность настройки прав доступа для этого пользователя и б)дает повод задуматься о мотивах действий пользователя.
Вариант анализа событий1.2. Если пользователю, исходя из его должностных обязанностей, операция удаления этого файла должна быть разрешена, то зафиксированное событие указывает администратору на а)некорректность настройки прав доступа для этого пользователя и б)сигнализирует о необходимости внесения корректив в схему предоставления прав доступа пользователя к этому файлу.
Вариант2. Предположим, пользователь пытается выполнить операцию удаления файла и ему это удается. Итог файл удален. Системой аудита это событие будет отслежено как успешное (Success).
Вариант анализа событий2.1. Если пользователю, исходя из его должностных обязанностей, операция удаления этого файла не была разрешена, то зафиксированное событие указывает администратору на а)некорректность настройки прав доступа для этого пользователя (обнаруживается дыра в системе безопасности); б)сигнализирует о необходимости внесения корректив в схему предоставления прав доступа пользователя к этому файлу и в)дает повод задуматься о мотивах действий, выполненных пользователем.
Вариант анализа событий2.2. Если пользователю, исходя из его должностных обязанностей, операция удаления этого файла должна быть разрешена, то зафиксированное событие указывает администратору на корректность настройки прав доступа к файлу для этого пользователя.
Описанная выше функциональность системы аудита предоставляет администратору возможность повысить результативность работы существующей системы безопасности за счет введения системы предварительного оповещения о попытках выполнения несанкционированных действий или подготовки таких действий сотрудниками организации или злоумышленниками. Но даже и в тех сетях, где система безопасности может обойтись без аудита, применение результатов аудита является незаменимым при выявлении фактических изменений режимов работы с ресурсами в процессе развития организации. Иэта информация при правильном использовании может обеспечить инженеров входными данными, используемыми для оптимизации предоставления доступа к сервисам и ресурсам организации.
Дополнительную информацию по техническим аспектам настройки системы аудита и справочную информацию по расшифровке идентификаторов событий аудита вы можете найти по адресу: http://www.microsoft.com/technet/security/prodtech/windows2000serv/staysecure/default.asp
КОМПЬЮТЕР-ИНФОРМ
Рубрики || Работа
|| Услуги || Поиск
|| Архив || Дни
рождения
О "КИ" || График
выхода || Карта сайта || Подписка
Рассылка анонсов газеты по электронной почте
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл 77-4461 от 2 апреля 2001 г.
Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru