IT-Management: Prüfung von Windows-Servern
Möglicherweise denken Sie, dass Sie Ihre Windows Server-Infrastruktur nicht prüfen müssen. Sie sollten dies aber sehr wohl tun.
Tom Kemp
Es gibt viele geschäftlicher und technologischer Trends bei der Arbeit, die die Komplexität der Verwaltung und Sicherung Ihrer IT-Infrastruktur zu erhöhen. Virtualisierung, die "Verbraucherorientierung von IT" in der dramatischen Verbreitung mobiler Geräte und Cloud-computing-schrittweise verschieben es Vermögenswerte von innerhalb der Firewall, außerhalb der Firewall. Das Ergebnis ist eher ein Hybrid-Datencenter, mit weniger direkte Kontrolle durch die IT-Abteilung.
Zur gleichen Zeit, ein "neues Büro" Modell entwickelt sich weiter. Gibt es mehr mobile Benutzer, Auftragnehmer und Offshore-Personal — von denen alle erfordern Zugriff auf das Netzwerk. Die IT-Abteilung hat sorgen, dass IT-Dienstleistungen für einen breiteren Querschnitt der Benutzer. Viele Benutzer, die nicht historisch hatten nun DV-Geräte (z. B. Krankenschwestern, Einzelhandel Verkäufer und so weiter) müssen diese Geräte und Anwendungen mit dem neuen Maß an Produktivität.
Wie Sie mit einer zunehmend Hybrid IT-Infrastruktur, Sie sind auch mit Blick auf erhebliche Wellen der regulatorischen Compliance-Anforderungen und der Sicherheit. Um die Verteidigung Ihres Unternehmens proprietäre Informationen gegen innerhalb oder außerhalb der Bedrohungen zu gewährleisten, benötigen Sie und Ihre IT-Abteilung Ende-zu-End-Transparenz und Kontrolle über Benutzer, Anwendungen, Servern und Geräten.
Sie müssen sicherstellen, dass das Geschäft geschützt ist, während die übrigen schnell genug reagieren, sich schnell ändernden Geschäftsbedingungen. Sie benötigen auch diese Ebene der Sichtbarkeit für alle Rechnungsprüfer Bedürfnisse. Dieses Maß an Sicherheit engagiert sich in der Vergangenheit Sperren auf lokale Geräte, Server und Anwendungen. Jetzt müssen Sie das gleiche Maß an Sicherheit auf IT-Ressourcen anwenden, die außerhalb der Firewall und nicht direkt unter der Kontrolle Ihrer IT-Abteilung.
Microsoft Windows Server ist die führende Server-OS und stark als Teil der Infrastruktur bereitgestellt wird, als ein Service (IaaS) Angebote von Herstellern wie Microsoft, Rackspace US Inc. und Amazon.com Inc. Daher einem geschäftskritischen System überwachen, wie z. B. Windows Server ist ein muss, ob lokale bereitgestellt oder in der Wolke.
Oft ist es schwierig, die geschäftliche Rechtfertigung für die Überwachung von Anstrengungen und Aufwendungen senior Management zu artikulieren. Es gibt auch bestimmte IT-Organisationen, die denken vielleicht, detaillierte Überwachung Bemühungen sind nicht passend oder für notwendig für ihre Systeme. Hier sind drei wichtige Gründe warum Sie Ihren Windows-Servern überwachen sollte.
Compliance-Anforderungen
Es gibt einige IT-Mitarbeiter, die glauben, Industrie und Regierung Compliance-Anforderungen gelten möglicherweise nicht für ihr Unternehmen. Das ist wahrscheinlich falsch. Wenn Sie für ein öffentliches Unternehmen, arbeiten nehmen Sie Kreditkarten-Bestellungen, wenn Sie geduldig Gesundheitsinformationen speichern, ist Ihre Organisation auf den Haken für Compliance.
Es gibt unzählige Compliance-Regelungen, die laufende Herausforderungen für Unternehmen in jeder Branche zu erstellen. Viele Unternehmen müssen mehrere Anforderungen für interne Kontrollen (Sarbanes-Oxley Act oder SOX), Datensicherheit für Kreditkarten-Zahlungen (Payment Card Industry Data Security Standard, oder PCI DSS), geduldig Gesundheitsinformationen (Health Insurance Portability und Accountability Act, HIPAA) und anderen branchenspezifischen Anforderungen (Gramm-Leach-Bliley Act oder GBLA; Nordamerikanischen elektrischen Zuverlässigkeit Corporation/Federal Energy Regulatory Commission oder NERC/FERC; und Federal Information Security Management Act/Nationales Institut für Standards und Technologie oder FISMA/NIST SP 800-53).
Jede wichtige Compliance-Verordnung und Industrie Mandat erfordert auch Benutzer mit eine eindeutige Identität zu authentifizieren. Privilegien sind beschränkt sich nur auf die benötigten Funktionen ausführen. Benutzer-Aktivität wird mit genügend Details, um zu bestimmen, welche Ereignisse aufgetreten ist, überwacht, die diese Ereignisse und das Ergebnis der Ereignisse durchgeführt.
Hier ist ein Blick auf einige der Compliance-Vorschriften und die entsprechenden Prüfungspflichten:
**SOX Section 404 (2):**Muss eine Bewertung der Wirksamkeit der internen Struktur und Verfahren des Emittenten … für die finanzielle Berichterstattung enthalten.
**PCI DSS Abschnitt 10.2.1-2:**Implementieren Sie automatisierte Audit-Trails, die Benutzeraktivität, für alle Systemkomponenten zu rekonstruieren. Stellen Sie sicher alle individuellen Zugang zu Daten des Karteninhabers. Überprüfen Sie die Aktionen von jeder Person mit Stamm- oder Administratorprivilegien.
**HIPAA 164.312(b) Audit-Steuerelemente:**Implementieren Sie Hardware, Software und verfahrenstechnischen Mechanismen, die aufzeichnen und untersuchen Aktivitäten in Informationssystemen, die enthalten oder ePHI-Daten oder Daten ePHI.
**NIST SP 800-53 (AU-14):**Das System bietet die Möglichkeit, Erfassung/Aufnahme melden alle Inhalte mit Bezug zu einer Benutzersitzung und Einsicht in alle Inhalte mit Bezug zu einer etablierten Benutzersitzung in Echtzeit.
**NERC CIP-005-1 R3 (Überwachung elektronischen Zugang):**Implementieren und dokumentieren ein elektronische oder manuelle Verfahren zur Überwachung und Protokollierung von Zugriff.
Verhindern von Insider-Angriffen
Viele Sicherheitsverletzungen, die Schlagzeilen im vergangenen Jahr machten wurden Insider-Angriffe, nicht außen Kerben. Die Risikominimierung Insider-Angriffe, die auf eine Daten-Verletzung oder System Ausfall führen kann, ist ein wichtiges Anliegen.
Es gibt mehrere Faktoren, die geführt haben, zu einer Zunahme von Insider-Vorfällen, einschließlich Austausch von Anmeldeinformationen, privilegierte Benutzer mit zahlreichen Anmeldeinformationen über Systeme und Zuweisen von Berechtigungen, die in Bezug auf Verantwortlichkeiten des Benutzers zu breit sind. Viele Organisationen haben privilegierte Benutzer, die geografisch verteilt sind, müssen Organisationen, die Einblick in die Aktivitäten der lokalen und remote-Administratoren und Benutzer verfügen.
Z. B. Überwachung der Benutzeraktivität kann erstellen die erforderliche Rechenschaftspflicht für Sicherheit und Compliance, einschließlich:
- Erfassung und Benutzeraktivitäten zu suchen, damit Sie verdächtige Aktionen untersuchen können zu bestimmen, ob ein Angriff vorliegt — bevor der Schaden entstanden ist.
- Privilegierte Benutzerverhalten durch Abschreckung ändern, wird sicherstellen, dass vertrauenswürdige Mitarbeiter sind nicht Verknüpfungen, und dafür zu sorgen, dass unzufriedene Mitarbeiter wissen, böswillige Aktionen aufgezeichnet werden.
- Zur Gründung eines klaren, eindeutigen Datensatzes für Beweismittel in Gerichtsverfahren und Streitschlichtung.
Insider-Bedrohungen gehen nicht weg. Ein Bericht aus der United States Computer Emergency Readiness Team oder dem US-CERT (produziert in Zusammenarbeit mit den USA Secret Service), schätzt, dass 86 Prozent der internen Computer Sabotage Vorfälle von eines Unternehmens begangen werden eigene Technologie. Weiter heißt es, dass 33 Prozent der 2011 CyberSecurity Watch Befragten antworteten, dass Insider-Angriffe teurer als externe sind.
Netzzugang Dritter, Problembehandlung und Training
Heutigen Geschäftswelt treibt Unternehmen zu Kosteneffizienz auf allen operativen Ebenen finden. Outsourcing, Offshoring und Cloud-computing, geben Organisationen Beweglichkeit, Flexibilität und die Kostenkontrolle, die sie benötigen, um wettbewerbsfähig zu bleiben.
Dennoch sind Sie und Ihre Organisation noch verantwortlich für die Sicherheit und die Einhaltung Ihrer IT-Systeme. Dies ist in der neu überarbeiteten Compliance-Anforderungen deutlich gemacht, die speziell aus Ihrer Verantwortung zu rufen, wenn Auftraggeber unabhängige Softwareanbieter, Dienstleister und Outsourcing-Firmen. In der Tat geschlossen Gesundheit Information Technology für Wirtschafts- und klinische Health Act oder HITECH, Verbesserungen der HIPAA eine der letzten Lücken im Zusammenhang mit der Haftung gegenüber Dritten.
Drittanbieter-Benutzerzugriff schafft noch mehr Schwung zu Überwachung bereitstellen. Neben Insider-Angriffe und Compliance-Anforderungen erhöht Third Party Access den Druck schnell beheben marode Systeme, Auto-Dokument kritischen Prozesse und Trainingsverfahren für Personal Hand-Offs zu erstellen. Diese Ereignisse treten immer häufiger mit Lieferanten und Dienstleistern.
Taktik-Überwachung
Nun, da es klar ist, können Sie die Überwachung Ihrer Windows-Server-Infrastruktur, was sind einige der Taktiken, die Sie ergreifen können, und was sind die vor- und Nachteile der einzelnen rechtfertigen? Die meisten Überwachung Behandlungsschemen verwenden Systeme und Sicherheit Protokoll Datei-Auflistung und Aggregation.
Es gibt Dutzende von Anbietern bietet Protokoll-Datei-Management und Security Eventmanagement. Ausschließlich auf Protokoll-Management für Ihre Überwachung Ansatz ein Nachteil ist, dass Log-Dateien oft ein unvollständiges Bild dessen, was wirklich geschehen ist. Die großen Datenmengen belanglos Ereignis und Management sind nicht oft detailliert genug, um zu bestimmen, welche Benutzer bestimmte Aktionen auf einem System ausgeführt, die zu einem Systemausfall oder Angriff geführt.
Interpretieren von Protokolldateien ist zeitaufwändig und erfordert spezielle Kenntnisse. Log-Daten eignet sich zum obersten Alarmierung und Benachrichtigung, aber protokollierten Ereignisse sind nicht gebunden an die Aktionen eines bestimmten Benutzers. Fehlerbehebung und Ursachen-Analyse wird nicht der Verantwortlichkeit, die bewährten Sicherheitsmethoden und Compliance-Vorschriften gefordert bieten.
Ein weiterer wichtiger Faktor ist die mangelnde Sichtbarkeit, da einige Anwendungen wenig oder keine interne Revision haben. Dies ist häufig der Fall mit maßgeschneiderte Anwendungen. Auditing-Funktionen möglicherweise nicht die höchste Priorität und Entwickler konnten nicht verstehen, dass die Organisation Audit muss einschließlich der Einzelheiten verlangt und die Bedeutung der Sicherung des Zugangs zu Daten selbst anmelden. Viele Enterprise-Anwendungen sind auch sehr angepasst, so dass sie könnte am Ende nicht kritische Ereignisse protokollieren.
Ein weiterer Ansatz ist Datei-Änderungsüberwachung. Eine Änderung an einer kritischen Datei kann manchmal ein bedeutendes Ereignis wie unsachgemäße Zugang zu so etwas wie eine Lohn-und Gehaltsabrechnung-Tabelle wiedergeben. Spezifische Vorschriften für die Verwendung der Datei Änderungsnachverfolgung, einschließlich HIPAA § § 164.312 und 164.316, sowie PCI Abschnitt 11.5 aufrufen. Diesen Zustand, Sie "Datei-Integration Software Überwachungspersonal Alarm Personal nicht autorisierte Änderung der kritischen System Akten, Konfigurationsdateien oder Inhaltsdateien bereitgestellt werden müssen."
Der Nachteil dieses Ansatzes ist, dass viele Ihrer kritischen Daten in Datenbanken gespeichert ist, die generische OS-spezifische Datei Änderungsnachverfolgung nicht erkennen kann. Oft ist der Aufwand mit der Überwachung von Änderungen zu unerschwinglich.
Eine dritte und neuere Ansatz ist auf Benutzerebene Aktivität überwachen. Lösungen für diese Art von Überwachung Sichtbarkeit zu erhöhen und Ihnen ein klares Verständnis der Absichten, Maßnahmen und Ergebnisse der Benutzeraktivität. Dieser Ansatz kann auch übergeordnete Warnungen generieren, die mehr detaillierte Daten über die Befehle, die auf die Warnung haben geführt, die Aktionen und Veranstaltungen zeigen wird.
Sie können diese wichtige Metadaten nur durch die Erfassung kritischer benutzerzentrierte Daten sammeln. Sie können nicht das von System- und Protokolldaten rekonstruieren. Der Nachteil dieses Ansatzes zählt die Unmengen an Daten in einer zentralen Datenbank zu erfassen. Wie einige andere Ansätze ist dies wahrscheinlich zusätzlichen Infrastruktur erforderlich.
Am Ende, wenn Sie Ihre geschäftskritischen Windows Server überwachen sollten Sie alle drei Ansätze: Protokoll-Datei - und Benutzer-Ebene überwachen. Dadurch erhalten Sie eine 360-Grad-Ansicht des Geschehens auf Ihren Servern. Die Risiken der nicht Überwachung umfassen Daten Sicherheitsverletzungen; Verlust der Reputation und Geschäft; erhebliche Geldstrafen für mangelnde Compliance; und Verlust an Sichtbarkeit bezüglich was Dritte auf Ihre Systeme tun. Der Ausdruck, "Sicher besser als Nachsicht," gilt auf jeden Fall, wenn es darum geht, Ihre Windows-Server-Überwachung.
.png)
Tom Kemp ist Mitbegründer und Chief Executive Officer von Centrify Corp., eine Software und Cloud-Sicherheit-Anbieter. Vor bekleidete Centrify Kemp verschiedene Vorstand, technische und marketing-Rollen bei NetIQ Corp., Compuware Corp., Ökosysteme Software und Oracle Corp. Er hält einen Bachelor Of Science-Abschluss in Informatik und Geschichte an der University of Michigan.