Аудит действий ИТ-департамента при помощи Wallix AdminBastion

Аудит действий ИТ-департамента при помощи Wallix AdminBastion

Аудит действий ИТ-департамента при помощи Wallix AdminBastion

На крупных технологичных предприятиях управлением ИТ-инфраструктуры, как правило, занимается специальный сектор, отдел или бюро. При этом контроль над этой структурой часто осуществляется нерационально, что сказывается на продуктивности ее работы, а также на эффективности использования информационной системы предприятия в целом. Программно-аппаратный комплекс Wallix AdminBastion помогает существенно упростить контроль ИТ-руководства над привилегированными пользователями и сделать его более эффективным.

 

 

 

 

1. Введение

2. Человеческий фактор в ИТ

3. Источники первичной информации о проблемах

4. Возможности контроля над администраторами с помощью Wallix AdminBastion

5. Выводы

 

 

Введение

Мы продолжаем цикл публикаций о различных применениях Wallix AdminBastion при обеспечении и контроле доступа привилегированных пользователей к важным объектам ИТ-инфраструктуры предприятий.

Для подробного ознакомления с функциональностью данного программно-аппаратного можно обратиться к обзору актуальной версии Wallix AdminBastion. Ранее в цикле рассматривались применения этого продукта при защите автоматизированных банковских систем и при оптимизации работы ИТ-службы. В этой же заметке речь пойдёт о том, как ИТ-руководители могут контролировать с помощью Wallix AdminBastion действия подчинённых привилегированных пользователей.

Управление современными ИТ-инфрастуктурами связано со множеством проблем: обычно в таких системах есть множество объектов с разными свойствами, а политики часто меняются. Такими инфраструктурами управляет, как правило, не один человек, а множество привилегированных пользователей, у каждого из которых есть своя зона ответственности. Чем больше людей участвуют в управлении информационной системой, тем сильнее ощущается человеческий фактор. И иногда даже незначительные изменения в настройках определенной подсистемы могут заметно влиять на стабильность работы ИТ-инфраструкты в целом, вплоть до полного временного выхода ее из строя.

В крупных компаниях ИТ-отделы давно осознали необходимость формализировать свою работу, т. е. действовать строго по инструкциям, выдавать права пользователям на основании заявок и их тщательного рассмотрения, уничтожать оборудование и информацию по актам. Соответственно, если учет действий администраторов ведется прилежно, аудиты — как внутренние, так и внешние — проходят легче. Но, как показывает практика, не все действия администраторы предпочитают записывать и обнародовать.

Следует иметь в виду, что администратор лучше других пользователей знает устройство информационной системы предприятия. И так как сталкивается с необходимостью постоянного общения с пользователями, то выстраивание подобных отношений лежит в области психологии. Как следствие, такой специалист-психолог может быть не только ценным сотрудником, от которого зависит эффективность работы ИТ-инфраструктуры предприятия, но и способен нести ей серьезную угрозу.

В некоторых организациях разграничения между администраторами создаются как раз для того, чтобы они не могли использовать данные им полномочия в собственных целях. Например, делаются такие настройки, при которых один администратор может создавать ресурс, а другой — назначать права на его использование. Это ограждает от того, что один человек может создать ресурс, использовать его не по назначению, а затем бесследно удалить. Но такая мера в российских реалиях, скорее, редкость.

В СМИ редко можно увидеть информацию о том, кто был непосредственным виновником сбоя в информационной системе или утечки. Иногда это связано с невозможностью установить виновника, а чаще компании просто не хотят портить и так пошатнувшуюся репутацию. Но подчас утечки данных могут привести и к возвращению к бумажному документообороту, как это произошло в 2014 году в Луизиане. Но все же иногда конкретная информация просачивается. Например, в 2011 году один из бывших сотрудников фармацевтической компании Shionogi уничтожил после увольнения 15 хостов VMware, чем нанес серьезный урон ИТ-инфраструктуре компании. Выходит, на кону — очень многое.

Также следует учитывать фактор низкой грамотности администраторов, особенно в небольших населенных пунктах. Когда администратор не понимает последствий изменения настроек, его действия обычно приводят к техническим ошибкам. Часто даже используется «метод тыка», когда администратор включает или выключает какую-то настройку и смотрит, что и как изменилось — «заработало или нет».

К тому же, нужно помнить о позитивной стороне контроля над привилегированными пользователями. Чтобы поощрить того или иного администратора, желательно увидеть его работу, а лучше — не только в виде текстовых отчетов, в которых можно написать что угодно.

Wallix AdminBastion позволяет разграничить параметры доступа привилегированных пользователей к различным объектам информационной системы предприятия и, если необходимо, быстро выяснить причины возникновения проблемы и восстановить функционирование системы. В том числе этот комплекс может помочь, если причиной проблем становится человеческий фактор, когда угроза исходит от рядовых администраторов. С Wallix AdminBastion  легко «вычислить» и тех, кто непосредственно причастен к какому-либо успеху в развитии информационной системы компании: лавры достанутся тем, кто их заслужил, а не случайным людям или только руководителям отдела.

 

Человеческий фактор в ИТ

Ничто человеческое не чуждо администраторам. Известно, что если человеку дать власть, он заметно меняется — множество психологических экспериментов доказывают это. Кроме того, человек может испытывать неприязнь к другим людям и использовать для проявления агрессии все имеющиеся у него возможности.

В 1960-х годах Басс и Берковиц проводили исследования с так называемой машиной агрессии — испытуемые ставились в условия, когда якобы могли причинять вред другим. Эксперименты доказали, что многие люди, если они могут безнаказанно совершать деструктивное воздействие на окружающих, склонны к усилению этого влияния. Согласно другому исследованию, проведенному учеными Колумбийского университета и Университета Сан-Диего, власть меняет манеру общения человека и искажает его психологический портрет — изменения происходят на уровне личности. Со времен тотального распространения интернета проводятся исследования, показывающие, что анонимные пользователи от безнаказанности становятся куда более агрессивными, чем в жизни. И хотя сегодня многие понимают, что полной анонимности в сети не существует, администраторы в рамках своего «королевства», бывает, проявляют  подобные низменные качества. Хотя бы просто потому, что могут это сделать так, что никто не заметит.

Но и от простых ошибок администратор тоже не застрахован. Исходя из такой специфики работы администраторов, угрозы стабильному функционированию ИТ-инфраструктуры предприятия можно условно разделить на следующие типы.

Технические ошибки. К данному типу угроз можно отнести ошибки при плановом изменении настроек информационных систем предприятия. Причинами таких ошибок могут быть как механические ошибки при вводе новых параметров работы подсистем, так и недостаточный уровень квалификации администраторов, которые не всегда могут заранее определить последствия вносимых изменений.

Использование привилегий в личных целях. Нередки случаи, когда администраторы используют предоставленные им права не по назначению. Например, выделяют себе более широкий интернет-канал, чем другим пользователям, из-за чего остальные пользователи имеют затруднения при доступе к интернет-ресурсам. Также администраторы могут иметь доступ к информации, составляющей коммерческую или другую тайну, и не всегда только лишь для удовлетворения собственного любопытства — от промышленного шпионажа никто не застрахован.

Нанесение сознательного вреда. Бывает так, что администраторы используют свои права для того, чтобы навредить другим сотрудникам, к которым испытывают личную непрязнь, или даже предприятию в целом (например, при увольнении администраторов такие случаи встречаются с завидной регулярностью).

Да, популярные серверные операционные системы обладают возможностью вести множество журналов, включая аудит действий администраторов. Это позволяет в том числе и им удалять эти самые журналы. Часто при этом возникают ситуации, когда возникшую проблему нужно локализовать и исправить как можно оперативнее, а затем уже проводить расследование. Во многом здесь может помочь Wallix AdminBastion.

 

Источники первичной информации о проблемах

Существует несколько типов таких источников.

Сотрудники предприятия. Чаще всего о том, что что-то не так с ИТ-инфраструктурой, сигнализируют рядовые ее пользователи. Это может быть сообщение о том, что не работает интернет или какой-то ресурс локальной сети предприятия, что не функционирует ПО, распространяемое через групповые политики или посредством технологии тонкого клиента, и так далее.

Сообщения администраторов, отвечающих за определенный сектор ИТ-инфраструктуры. Администраторы, заметив аномальные параметры текущего состояния или нехарактерное поведение администрируемых объектов, обычно сообщают об этом руководителю ИТ-службы. Такая ситуация может стать основанием для проведения расследования недавних действий других администраторов.

Программы мониторинга ИТ-инфраструктуры. На многих предприятиях используется специализированное программное обеспечение, осуществляющее мониторинг состояния различных объектов информационной инфраструктуры предприятия. Как правило, пользователями данных программ являются собственно руководители ИТ-подразделений. И отклонения в показаниях могут быть основанием для проведения расследования.

 

Возможности контроля над администраторами с помощью Wallix AdminBastion

Wallix AdminBastion является комплексным программно-аппаратным решением для организации контроля над привилегированными пользователями, имеющими доступ к объектам информационной системы предприятия.

Если возникают проблемы в информационной сети предприятия, руководитель ИТ-службы может просмотреть видеозаписи сессий подключения администраторов к серверам — это поможет быстро выявить действия, которые могли привести к проблеме.

 

Рисунок 1. Просмотр записи сессии в WallixAdminBastion 4.2.0

Просмотр записи сессии в Wallix AdminBastion 4.2.0

 

Список записей в Wallix AdminBastion можно сортировать как по времени, так и по целям (в терминах Wallix AdminBastion это поле таблицы содержит информацию об имени пользователя и объекте, к которому производилось подключение), протоколу и продолжительности подключения. По косвенной информации от источника, а также по времени обращения сотрудника можно установить приблизительное время возникновения проблемы и предположительный ее источник. Далее при просмотре записей можно установить точную причину проблемы и оперативно ее исправить, а также определить ответственного администратора, чтобы информировать его о некорректных действиях и при необходимости принять административные меры.

Данные записи могут являться основанием для применения дисциплинарных мер согласно внутреннему распорядку предприятия или для обращения в суд. При этом следует понимать, что суды могут принять данную информацию лишь как косвенную, а не как прямое доказательство, потому что доказать подлинность записи и отношения ее к конкретному человеку может быть непросто.

 

Рисунок 2. Список видеозаписей сессий подключения к серверам в WallixAdminBastion 4.2.0

Список видеозаписей сессий подключения к серверам в Wallix AdminBastion 4.2.0

 

Немаловажной особенностью Wallix AdminBastion является предупреждение в начале сессии о том, что ведется запись ее запись. Далеко не каждый администратор станет сознательно вредить сотруднику или предприятию, если будет знать о том, что сессии записываются. Таким образом, данное решение фактически предотвращает ситуации, когда администраторы используют предоставленные привилегии для личных целей, а также пытаются нанести сознательный вред предприятию.

 

Рисунок 3. Настройка сообщения, отображаемого при подключении к объектам информационной сети предприятия через WallixAdminBastion 4.2.0

Настройка сообщения, отображаемого при подключении к объектам информационной сети предприятия через Wallix AdminBastion 4.2.0

 

Еще одной немаловажной (а возможно, одной из главных) функцией Wallix AdminBastion является технология единого входа (SSO), которая позволяет не выдавать привилегированным пользователям учетные записи от конечных систем, к которым осуществляется доступ. Это дает возможность сопоставить действия администраторов не учетным записям к каждому объекту ИТ-инфраструктуры, а конкретному человеку. Ведь по факту во многих локальных сетях один и тот же администратор может использовать множество различных учеток, а некоторыми пользуются многие администраторы. Поэтому Wallix AdminBastion лишает злоумышленников возможности переложить вину на другого человека.

 

Выводы

Wallix AdminBastion предоставляет множество дополнительных возможностей по контролю над действиями привилегированных пользователей информационной системы предприятия. Во многом Wallix AdminBastion предупреждает потенциально вредоносные действия администраторов, отображая сообщение о том, что все сессии записываются (надо отметить, что это требование законодательства некоторых стран).

Удобная сортировка записей сессий и возможность просмотреть видеозаписи позволяют в большинстве случаев значительно быстрее определить источник проблемы, возникшей в информационной системе, и произвести действия по исправлению ситуации. Реализация технологии единого входа на уровне Wallix AdminBastion — это удачная находка разработчиков, позволяющая определить, какой именно человек произвел те или иные действия, и не важно, под какой учетной записью.

В комплексе с другими средствами мониторинга и информирования ИТ-руководителя (например, с сообщениями о нештатных ситуациях от рядовых администраторов) Wallix AdminBastion позволяет оптимизировать работу предприятия таким образом, чтобы сократить время простоя производственных процессов до минимума. Во многих случаях это также приводит к значительной экономии бюджета предприятия, выделенного на поддержку ИТ-инфраструктуры и ее восстановление после перенесенных проблем.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru