Gestione IT: Controllo di Windows Server
Si potrebbe pensare che non sia necessario controllare la propria infrastruttura di sistemi Windows Server, ma in realtà lo è.
Tom Kemp
Ci sono molti business e tecnologia tendenze sul lavoro che aumentano la complessità della gestione ed assicurare la vostra infrastruttura IT. Virtualizzazione, la "consumerizzazione di esso" nella drammatica proliferazione di dispositivi mobili e di cloud computing sono gradualmente spostando risorse all'interno del firewall all'esterno del firewall. Il risultato finale è più di un datacenter ibrido, con meno diretto controllo dal reparto IT.
Allo stesso tempo, un "nuovo ufficio" modello è in continua evoluzione. Ci sono gli utenti più mobili, appaltatori e personale di off-shore — i quali richiedono l'accesso alla rete. Il reparto IT deve fornire che servizi IT per una più ampia sezione trasversale degli utenti. Molti utenti che non hanno storicamente avuto dispositivi (ad esempio, infermieri, addetti alle vendite al dettaglio e così via) di elaborazione ora richiedono questi dispositivi e applicazioni a nuovi livelli di unità di produttività.
Come avete a che fare con un sempre più ibrido dell'infrastruttura IT, sei di fronte anche significative onde di conformità alle normative richieste e problemi di sicurezza. Per garantire la difesa della informazioni proprietarie della vostra azienda contro all'interno o all'esterno di minacce, voi e il vostro reparto IT richiedono-to-end visibilità e il controllo sugli utenti, applicazioni, server e dispositivi.
È necessario assicurarsi che il business è protetto, pur rimanendo abbastanza agile per rispondere al cambiamento delle condizioni di business rapidamente. È inoltre necessario questo livello di visibilità per rispondere ai bisogni di qualsiasi revisori. Storicamente, questo livello di protezione ha coinvolto blindare di applicazioni, server e dispositivi locali. Ora è necessario applicare lo stesso livello di funzionalità di sicurezza per le risorse IT che sono di fuori del firewall e non direttamente sotto il controllo del reparto IT.
Microsoft Windows Server è il principale server OS e pesantemente viene distribuito come parte dell'infrastruttura come un'offerta di servizi (IaaS) da fornitori quali Microsoft, Rackspace USA Inc. e Amazon.com Inc. Pertanto, controllo un sistema business-critical, come ad esempio Windows Server è un must, se distribuito locale o nella nube.
Spesso, è difficile di articolare la giustificazione di affari per il controllo gli sforzi e le spese per alti dirigenti. Ci sono anche alcune organizzazioni IT che potrebbero pensare dettagliati revisione sforzi non sono appropriati o necessarie per i loro sistemi. Qui ci sono tre ragioni principali imprese perché si dovrebbe controllare i server Windows.
Requisiti di conformità
Ci sono alcuni personale IT che credono di industria e requisiti di conformità del governo potrebbero non applicarsi al loro organizzazioni. Questo è molto probabilmente falso. Se si lavora per una società pubblica, se si prendono gli ordini con carta di credito, se si memorizzano informazioni di salute del paziente, l'organizzazione è sul gancio per la conformità.
Ci sono una miriade di conformità norme che creare sfide in corso per le imprese in ogni settore. Molte aziende devono soddisfare le molteplici esigenze per controlli interni (Sarbanes-Oxley Act, o SOX), sicurezza dei dati per pagamenti con carta di credito (Payment Card Industry Data Security Standard, o PCI DSS), informazioni di salute del paziente (Health Insurance Portability e Accountability Act, HIPAA) e di altri requisiti specifici del settore (Gramm-Leach-Bliley Act o GBLA; Nordamericana elettrico affidabilità Corporation/Federal Energy Regulatory Commission, o NERC/FERC; e federale informazioni Security Management Act/National Institute of Standards e tecnologia o FISMA/NIST SP 800-53).
Ogni regolamento maggiore conformità e mandato industria richiede inoltre agli utenti di autenticarsi con un'identità univoca. Privilegi sono limitati solo a quelli necessari per eseguire le funzioni di lavoro. L'attività degli utenti è verificata con sufficiente dettaglio per determinare quali eventi si è verificato, che ha suonato quegli eventi e l'esito degli eventi.
Ecco uno sguardo ad alcune delle regole di conformità e i requisiti di controllo corrispondenti:
**SOX sezione 404 (2):**Deve contenere una valutazione … delle procedure dell'emittente e l'efficacia della struttura di controllo interno per la rendicontazione finanziaria.
**PCI DSS sezione 10.2.1-2:**Implementare gli itinerari di controllo automatizzato di ricostruire l'attività dell'utente, per tutti i componenti di sistema. Verificare tutti accesso individuale ai dati del titolare della carta. Verificare le azioni intraprese da qualsiasi individuo con radice o privilegi amministrativi.
**HIPAA 164.312(b) Audit controlli:**Implementare hardware, software e meccanismi procedurali che registrare ed esaminare le attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettronico o dati ePHI.
**NIST SP 800-53 (AU-14):**Il sistema informativo fornisce la capacità di cattura/registrazione e registrare tutti i contenuti relativi a una sessione utente e visualizzare in remoto tutti i contenuti relativi a una sessione utente stabiliti in tempo reale.
**R3 NERC CIP-005-1 (monitoraggio accesso elettronico):**Implementare e documentare un processo manuale o elettronico per il monitoraggio e la registrazione di accesso.
Attenuanti Insider attacca
Molte delle violazioni della sicurezza che hanno fatto notizia lo scorso anno sono state privilegiate attacchi, non di fuori di hack. Mitigare il rischio di attacchi privilegiate che può condurre a un'interruzione di violazione o sistema di dati è una questione fondamentale.
Ci sono diversi fattori che hanno portato ad un aumento in incidenti privilegiate, compresa la condivisione le credenziali dell'account utenti privilegiati con numerosi credenziali su sistemi e assegnazione dei privilegi che sono troppo ampi rispetto alla responsabilità di lavoro dell'utente. Molte organizzazioni hanno privilegiato gli utenti che sono geograficamente lontani, quindi quelle organizzazioni devono avere visibilità nelle attività degli utenti e degli amministratori locali e remoti.
Ad esempio, controllo attività utente può creare la responsabilità necessaria per la sicurezza e la conformità tra cui:
- Acquisizione e ricerca attività utente, quindi è possibile esaminare le azioni sospette per determinare se è in corso un attacco — prima che il danno è fatto.
- Cambiare il comportamento degli utenti privilegiati attraverso deterrenti, accertandosi che fidati dipendenti non sono prendere scorciatoie e garantendo dipendenti scontenti conoscono azioni dannose saranno registrati.
- Procedimento giudiziario e di risoluzione delle controversie, stabilendo un record chiaro e inequivocabile per prove.
Minacce non stanno andando via. Un rapporto dal United States Computer Emergency Readiness Team, o US-CERT (prodotto in collaborazione con gli Stati Uniti Servizio segreto), stima che l'86 per cento degli incidenti di sabotaggio computer interno sono perpetrata da una società possedere i lavoratori di tecnologia. Esso inoltre afferma che il 33 per cento dei partecipanti 2011 CyberSecurity Watch Survey ha risposto che privilegiate gli attacchi sono più costosi rispetto a quelli esterni.
Accesso a terze parti, risoluzione dei problemi e formazione
Contesto economico oggi è alla guida di imprese per trovare il costo di efficienza a tutti i livelli operativi. Esternalizzazione, offshoring e cloud computing stanno dando organizzazioni agilità, flessibilità e il controllo dei costi che richiedono per restare competitivi.
Tuttavia, voi e la vostra organizzazione sono ancora responsabile per la sicurezza e la conformità dei vostri sistemi informatici. Ciò è reso chiaro in requisiti di conformità appena rivisto che specificamente la chiamata fuori la vostra responsabilità quando contraenti fornitori di software indipendenti, fornitori di servizi e le imprese di esternalizzazione. In realtà, l'Health Information Technology per economico e clinici Health Act o Hi-Tech, miglioramenti a HIPAA chiuso uno l'ultimo lacune relative alla responsabilità di terzi.
Accesso utente a terze parti crea ancora più slancio per distribuire il controllo. Oltre a privilegiate gli attacchi e le esigenze di conformità, third party access aumenta la pressione di risolvere i problemi di malato sistemi, processi critici di auto-documento e creare procedure di formazione per personale degli interscambi rapidamente. Questi eventi si verificano più frequentemente con gli appaltatori e fornitori di servizi.
Tattiche di controllo
Ora che è chiaro si può giustificare la revisione infrastruttura Windows Server, quali sono alcune delle tattiche si può prendere, e quali sono i pro e i contro di ogni? La maggior parte dei regimi di controllo utilizzano sistemi e insieme di file di registro di protezione e di aggregazione.
Ci sono decine di venditori che offre la gestione dei log file e gestione di eventi di protezione. Uno svantaggio di affidarsi esclusivamente sulla gestione dei log per il vostro approccio revisione è che i file di registro spesso forniscono un quadro incompleto di ciò che è realmente accaduto. Le grandi quantità di dati di evento e gestione irrilevanti spesso non sono dettagliate sufficiente per determinare quale utente eseguita azioni specifiche su un sistema che ha provocato un errore di sistema o l'attacco.
Interpretazione dei file di registro richiede tempo e richiede competenze specializzate. I dati di log sono utili per avvisare di primo livello e di notifica, ma gli eventi registrati non è legati alle azioni di un utente specifico. Analisi della causa e la risoluzione dei problemi non fornirà la responsabilità che procedure consigliate per la protezione e conformità normativa domanda.
Un altro fattore critico è la mancanza di visibilità, perché alcune applicazioni hanno poco o nessun controllo interno. Questo è spesso il caso con applicazioni su misura. Le funzionalità di controllo potrebbe non essere la massima priorità e sviluppatori potrebbero non capire che ha bisogno di controllo dell'organizzazione, tra cui il livello di dettaglio richiesto e l'importanza della protezione dell'accesso a registrare dati stessa. Molte applicazioni aziendali sono anche altamente personalizzate, così si potrebbe finire per non registrazione eventi critici.
Un altro approccio è file di cambiamento di controllo. Una modifica di un file critico può talvolta riflettono un evento significativo come accesso improprio a qualcosa di simile a un foglio di calcolo sui salari. Specifici requisiti normativi chiamano per uso di modifica del file di rilevamento, tra cui sezioni HIPAA 164.312 e 164.316, come pure la sezione PCI 11.5. Questi stato si devono "distribuisce integrando file personale di software monitoraggio in allarme personale per modifiche non autorizzate di file di sistema critici, i file di configurazione o i file di contenuto."
Lo svantaggio di questo approccio è che un sacco di vostri dati critici è memorizzato all'interno del database di modifica del file specifiche del sistema operativo generico di rilevamento non è in grado di rilevare. L'overhead associato modifiche apportate ai file di controllo è spesso troppo proibitivo.
Un terzo e l'approccio più recente è il livello utente attività di monitoraggio. Soluzioni per questo tipo di monitoraggio, aumentano la visibilità e darvi una chiara comprensione delle intenzioni, azioni e risultati dell'attività dell'utente. Questo approccio può anche generare avvisi di livello superiore che faranno riferimento a dati più dettagliati su azioni, eventi e comandi che ha portato all'avviso.
È solo possibile raccogliere questi metadati importanti per l'acquisizione di dati critici incentrati sull'utenti. Non è possibile ricostruire questo dai dati di registro di sistema e delle applicazioni. Lo svantaggio di questo approccio comprende la necessità di acquisire vaste quantità di dati in un database centralizzato. Come alcuni altri approcci, questo probabilmente richiede un'infrastruttura aggiuntiva.
Alla fine, quando il controllo Server Windows più critici, è necessario utilizzare tutti e tre gli approcci: Registro-, livello di file e utente di revisione. Questo vi darà una visione a 360 gradi di quanto sta accadendo sul vostro server. I rischi di controllo non includono le violazioni della sicurezza dei dati; perdita di reputazione e di business; multe significative per mancanza di conformità; e perdita di visibilità per quanto riguarda ciò che stanno facendo sui sistemi di terze parti. L'espressione, "Meglio prevenire che curare," sicuramente si applica quando si tratta di un controllo server Windows.
.png)
Tom Kemp è co-fondatore e chief executive officer di provider di protezione Centrify Corp, un software e nube. Prima di Centrify, Kemp ha tenuto vari ruoli esecutivi, tecnici e di marketing presso NetIQ Corp, Compuware Corp, ecosistemi Software e Oracle Corp. Ha conseguito una laurea in informatica e nella storia della University of Michigan.