Обзор подготовлен

версия для печати
Как организовать аудит изменений в ИТ-инфраструктуре

Как организовать аудит изменений в ИТ-инфраструктуре

Для контроля изменений в корпоративной ИТ-инфраструктуре в первую очередь используют встроенные инструменты - такие, как журналы событий (EventLogs). Но в большинстве случаев этого бывает недостаточно, и тогда применяют специализированные системы аудита изменений.

Использование встроенных инструментов для аудита ИТ-инфраструктуры имеет ряд недостатков и ограничений. Данные аудита распределены по всей инфраструктуре – они хранятся на большом количестве различных систем в разных форматах и папках. Не предусмотрено создание отчетов и уведомлений. Полученную разрозненную информацию трудно анализировать. Нет возможности долгосрочного хранения данных.

С ростом бизнеса эти ограничения приводят к существенным проблемам. В компании со штатом около 20-ти человек было решено провести миграцию на ActiveDirectory (AD) и использовать встроенные инструменты Windows для отслеживания изменений. Вначале для контроля AD было достаточно периодически просматривать журналы событий безопасности. Но компания начала расширяться, открылись новые филиалы, и объем информации стал лавинообразно расти. Это привело к тому, что состояние ИТ-инфраструктуры стало очень сложно контролировать. "То не нашли, кто удалил файлы, то не смогли выяснить, кто и когда изменял системный реестр, – рассказывает Михаил Ананьев, директор по продажам российского офиса компании NetWrix Corporation. – Потом вдруг выяснилось, что в группе доменных администраторов уже месяц находится учетная запись пользователя, которой там быть не должно. И под этой записью кто-то необоснованно раздал множество прав другим пользователям". В результате директор по информационным технологиям решил использовать специализированную систему аудита изменений ActiveDirectory. "А так как ИТ-инфраструктура компании включала множество различных компонентов, которые также требовали аудита изменений, руководство компании стало интересоваться комплексными решениями", –дополняет Михаил Ананьев.

Среди основных причин внедрения систем аудита изменений – стремление снизить неоправданно высокие затраты на обслуживание и развитие ИТ-инфраструктуры,  сократить длительный срок расследования инцидентов и восстановления системы после сбоев, перечисляет Денис Круглов, директор бизнес-направления информационной безопасности компании "Микротест". Денис Остапчик, руководитель практики систем мониторинга ИТ-инфраструктуры компании "Астерос Консалтинг", рассказывает, что сегодня в большинстве российских предприятий в той или иной мере ведется контроль изменений.Но зачастую для отдельных компонентов используются разные инструменты. Кроме того, имеющиеся решения редко учитывают связь между ИТ-сервисами и бизнес-процессами, которые они поддерживают. "В результате ИТ-инфраструктура функционирует приемлемо, но в бизнес-процессах имеются проблемы", – говорит он.

Правила игры

Требования компаний к комплексной системе аудита измененийзачастую совпадают. Нужны развитая система отчетов и уведомлений об изменениях; возможность долгосрочного хранения данных аудита; программа должна отнимать минимум системных ресурсов; средства аудита различных компонентов ИТ-инфраструктуры должны быть интегрированы в единую систему.

В ответ на эти потребности появились SIEM-решения (Security Information and Event Management), основной задачей которых является сбор, анализ и хранение журналов событий. Но и у SIEM-решений есть недостатки. В основном они связаны с тем, что записи журналов событий далеко не всегда содержат достаточно полную информацию, часто дублируются или их создается слишком много для одного действия пользователя. К тому жедля некоторых действий пользователя записи вообще не создаются. Более того, существуют системы, которые не используют журналы событийдля записи данных аудита и нуждаются в сторонних инструментах контроля изменений. Таким образом, в SIEM-решениях формируется множество записей для одного действия, при этом исчерпывающей информации об изменениях  в ИТ-инфраструктуре не предоставляется. Пользователь получает слишком большой объем информации, значительная часть которой бесполезна, а действительно необходимая информация отсутствует.

Новый этап

Преодолеть описанные недостатки призваны системы аудита изменений (ChangeAuditing) для различных компонентов ИТ-инфраструктуры. Это новый подход, который включает в себя все плюсы SIEM-решений с точки зрения аудита изменений, и в дополнение предлагает возможности, которые не могут предоставить SIEM-решения.

Во-первых, организацию тотального контроля событий, происходящих в ИТ-инфраструктуре. Изменения, пропущенные встроенными инструментами контроля, или неполная информация о них, как, например, отсутствие аудита изменений групповых политик, – потенциальная угроза безопасности и управляемости системы. Во-вторых, создание только одной записи для одного изменения. Информация о важных изменениях должна быть легко доступной и не теряться в больших объемах неактуальных данных.В-третьих, отображение в едином интерфейсе полной информации, собранной из различных источников для различных компонентов ИТ-инфраструктуры. Данные группируются и отбираются по необходимым параметрам в отчеты.В-четвертых, детализация данных. Информация об изменениях должна быть максимально подробной и полной.

В прошлом году директор по информационным технологиям одного известного предприятия обнаружил, что на серверах компании уже полгода как функционировалавредоносная программа. Более того, она была написана специально для работы в ИТ-инфраструктуре организации и поэтому не могла быть обнаружена антивирусами. Как узнать, кто запустил ее на сервере? Записи в журналах событий обновляются в течение месяца, да и администраторы обладают правами на их удаление. "Чтобы получить ответ на этот вопрос, в компании должны быть внедрены системы аудита таких локальных событий, как установка ПО, редактирование реестра Windows, изменение файлов и многих других, – рассказывает Михаил Ананьев. – С помощью встроенных инструментов отследить это практически невозможно". В этой ситуации могла бы помочь система аудита изменений.

Перспективы

Системы аудита изменений появились сравнительно недавно. В США к ним стали обращаться 6-8 лет назад в сходной с российской ситуации, когда компании почувствовали необходимость в контроле изменений ИТ-инфраструктуры и их перестали устраивать результаты работы встроенных инструментов контроля и SIEM-решения. Отечественный рынок сегодня находится в состоянии, когда системы аудита изменений становятся все более и более востребованными. В США этот рынок вырос в десятки раз за последние годы, и Россию ждет аналогичная динамика.

Пока что отечественный бизнес только приходит к мысли о необходимости комплексного аудита. "80% российских заказчиков не готовы к внедрению решений для мониторинга ИТ-инфраструктуры, тем более мониторинга в разрезе качества предоставляемых ИКТ-сервисов", – констатирует начальник отдела решений OSS/BSS/ITSMдепартамента прикладных решений интегратора "Техносерв" Илья Шутов.Однако Михаил Ананьев заявляет: "Мы видим повышенный интерес к системам аудита изменений. Если еще недавно о подобных решениях задумывались только самые продвинутые специалисты, то в течение прошедшего года произошли серьезные изменения в отношении к безопасности. Многие компании уже используют те или иные средства аудита изменений. Мы наблюдали эту же картину на рынках разных стран и можем уверенно сказать: в ближайшие годы комплексный аудит изменений станет процессом, без которого не будет обходиться ни одна компания с развитой ИТ-инфраструктурой".

Наталья Анищук

Toolbar | КПК-версия | Подписка на новости  | RSS