IT 管理:稽核 Windows 伺服器
您可能不認為您需要稽核 Windows Server 基礎結構,但是您實在應該這麼做。
湯姆 · 肯普
有很多業務和技術趨勢在工作,增加管理和保護您的 IT 基礎架構的複雜性。 虛擬化,"IT 消費化"的戲劇性和擴散的移動設備,雲計算逐步轉移它從防火牆外部的防火牆內的資產。 最終的結果是更多的混合資料中心,那麼直接控制的 IT 部門。
同時,"新辦公室"不斷變化的模型。 有更多的移動使用者、 承建商及離岸人員 — — 所有人都需要訪問網路。 IT 部門必須提供 IT 服務向更廣泛的使用者跨部分。 在歷史上沒有計算設備 (如護士,零售銷售人員等),現在的許多使用者需要這些設備和生產力實現新級別的應用程式。
如你處理日益混合的 IT 基礎結構,你也面臨重大波的法規遵從性要求和安全問題。 為確保您的公司專有資訊對內部或外部威脅的防禦,您和您的 IT 部門需要端到端的可見性和對使用者、 應用程式、 伺服器和設備的控制。
您必須確保業務得到了保護,同時保持足夠的應變回應快速不斷變化的商業環境。 您還需要這一級別的可見性,以滿足任何核數師的需要。 從歷史上看,這種級別的安全涉及對樓宇設備、 伺服器和應用程式鎖定。 現在你必須對防火牆外部的並不是直接在您的 IT 部門的控制下的 IT 資源應用相同級別的安全功能。
Microsoft Windows 伺服器是領先的伺服器作業系統和大量部署作為基礎設施的一部分作為服務 (雲計算模式將) 產品,從供應商如 Microsoft,機架美國公司。 和亞馬遜網站。 例如,Windows 伺服器是否是必需的因此,審計的關鍵業務系統部署對處所或在雲計算。
很多時候,很難清楚地表述業務審計的努力和費用,向高級管理層的理由。 亦有某些可能會認為詳細審計力度不適當或需要為其系統的 IT 組織。 這裡有三個主要的商業原因,為什麼您應該進行審核您的 Windows 伺服器。
法規遵從性要求
有一些人認為行業的 IT 人員和政府法規遵從性要求不可能適用于他們的組織。 這不是最有可能的事實。 如果你工作的公共公司,如果你拿信用卡訂單,如果您將存儲患者健康資訊,您的組織是針對法規遵從性鉤上。
有無數的法規,創建在每個行業的企業目前面臨的挑戰。 很多公司必須滿足內部控制 (薩班斯-奧克斯利法案或 SOX),多個要求的信用卡支付 (支付卡行業資料安全標準或 PCI DSS),資料安全健康保險可攜性與責任法案 (HIPAA) 的患者健康資訊和其他特定于行業的要求 (格拉姆金融行為或 GBLA ; 北美電力可靠性公司/聯邦能源管理委員會或運動/FERC ; 和聯邦資訊安全管理法案/國家研究所的標準和技術或安/NIST SP 800-53)。
每個主要法規遵從性監管和行業任務也需要使用者進行身份驗證具有唯一標識。 僅限於那些執行的作業功能所需的特權。 使用者活動進行審核的足夠細節,以確定發生了什麼事件,執行這些事件和事件的結果。
這裡是一些法規遵從性規則和相應的審計要求一看:
**SOX 第 404 (2):**必須包含評估 … … 的有效性的內部控制結構和程式的發行人的財務報告。
**PCI DSS 部分 10.2.1-2:**實施自動的審核重建使用者活動,為系統的所有元件。 驗證持卡人資料的所有個人訪問。 驗證以根使用者或管理許可權的任何個人所採取的行動。
**HIPAA 164.312(b) 的審核控制:**實施硬體、 軟體和程式性機制,記錄並檢查包含或使用電子保護的健康資訊或 ePHI 的資訊系統中的活動。
**NIST SP 800-53 (AU 14):**資訊系統提供了捕獲/記錄和登錄到使用者的會話,相關的所有內容和遠端查看相關的即時建立的使用者會話的所有內容的功能。
**運動 CIP-005-1 R3 (監控電子訪問):**實施和記錄電子或手動的過程,監測和日誌記錄的訪問。
減輕內幕攻擊
很多在頭條過去一年的安全性漏洞了內部攻擊,不外駭客攻擊。 降低內部攻擊,可導致資料違反或系統停機的風險是關鍵的關注。
有幾個因素,導致內幕交易事件,包括共用帳戶的憑據,用無數跨系統和對使用者的工作職責範圍太大的分配許可權的憑據的特權使用者的增加。 許多組織擁有的特權使用者的地理位置分散的因此這些組織必須具有的本地和遠端系統管理員和使用者活動的可見性。
例如,審核使用者活動可以創建所需的問責制安全和法規遵從性,其中包括:
- 捕獲和搜索使用者的活動,這樣就可以檢查可疑的行動,以確定是否發生攻擊 — — 損壞之前。
- 更改特權的使用者行為通過阻嚇作用,確保可靠的員工並不是以快捷方式,和確保心懷不滿的員工知道惡意操作將被記錄。
- 在法律訴訟程式和爭議解決建立清晰、 明確的記錄的證據。
內幕交易的威脅並不會消失。 從美國電腦應急小組或美國證書 (與美國合作編寫的一份報告 秘密服務),估計 86%的內部電腦破壞事件行為受到公司自己的技術工人。 它進一步指出,33%的 2011年網路安全觀察調查參與者作出回應內部攻擊是比外部的成本更高。
協力廠商訪問、 故障排除和培訓
今天的商業環境駕駛查找每個業務級別的成本效率的企業。 外包、 離岸外包和雲計算給予組織敏捷性、 靈活性和他們保持競爭力所需的成本控制。
不過,您和您的組織負責仍然安全和法規遵從性的您的 IT 系統。 這是作出明確的專門喊出你的責任時,獨立軟體廠商、 服務提供者和外包公司承包的新修訂的法規遵從性要求。 事實上,為 HIPAA 的經濟和臨床健康法或高術,增強健康資訊技術封閉與相關的協力廠商責任的最後一個漏洞之一。
協力廠商使用者訪問創建部署審計更多動力。 除了內部攻擊和法規遵從性要求,,協力廠商訪問增加壓力快速診斷境況不佳的系統,自動文檔關鍵流程並創建人員余量的培訓程式。 更頻繁發生的這些事件與承建商和服務提供者。
審計策略
現在,很明顯可以對齊審核您的 Windows 伺服器基礎架構、 一些可以採取的策略是什麼和什麼是每個的利弊? 大多數的審計方案使用系統和安全性記錄檔檔收集和聚合。
有幾十個供應商提供日誌檔管理和安全事件管理。 僅僅依靠日誌管理您的審計方法的一個缺點是日誌檔通常提供了不完整的圖片真的發生過。 無關緊要的事件和管理資料的大量詳細的不是常常不足以確定哪些使用者導致系統故障或攻擊的系統上執行特定操作。
解釋日誌檔非常耗時,並且需要專門的技能。 日誌資料非常有用的頂級警報和通知,但記錄的事件不綁定到特定使用者的操作。 故障排除和根本原因分析不會提供問責性,該安全最佳做法和法規遵從性的需求。
另一個關鍵因素是缺乏可視性,因為某些應用程式有很少或沒有的內部審計。 這往往是定制的應用程式的情況。 審核功能可能不是最高的優先順序和開發人員可能不了解審計組織的需要,包括所需的詳細程度和保護訪問日誌資料本身的重要性。 很多企業應用程式還高度定制,他們最終可能不記錄關鍵事件。
另一種方法是檔更改審核。 關鍵的檔的更改有時可以反映如工資單試算表的樣子的不當訪問的一個重要事件。 具體的法規要求檔更改跟蹤,包括 164.312 和 164.316,HIPAA 節以及第 11.5 條 PCI 的使用要求。 這些國家必須"部署檔集成監控軟體人員關鍵的系統檔、 設定檔或內容檔的未經授權的修改,警報人員。"
這種方法的缺點是很多您的關鍵資料存儲在泛型特定作業系統的檔更改跟蹤無法檢測到的資料庫內。 通常與審計檔的更改相關的開銷是過於高昂。
第三個和較新的做法是使用者級別活動監測。 這種類型的監測解決方案提高知名度,並給你清楚瞭解的意圖、 行動和使用者活動的結果。 這種方法還可以生成將指向上操作、 事件和警報導致的命令的更詳細資料的更高級別的警報。
您僅可以通過捕獲關鍵以使用者為中心的資料收集此重要的中繼資料。 您不能從系統和應用程式日誌資料重建這。 這種方法的缺點包括需要捕獲的大量資料集中的資料庫中。 像一些其它的方法,這可能需要額外的基礎架構。
最後,當審核您最關鍵的 Windows 伺服器時,您應該使用所有三種方法:日誌-,檔和使用者級審核。 這會給你一個 360 度視圖的您的伺服器上發生了什麼。 不審計的風險包括安全違規的資料 ; 損失的聲譽和業務 ; 高額罰款不足的法規遵從性 ; 和可見性損失關於協力廠商對您的系統做什麼。 運算式,"更好地安全比抱歉,"絕對適用審核您的 Windows 伺服器的時候。
.png)
湯姆 · 肯普 是聯合創始人兼首席執行官的 Centrify 公司、 軟體和雲安全提供程式。 之前,Centrify,肯普舉行各種行政、 技術和行銷的角色,在 NetIQ 公司、 康博軟體公司公司、 生態系統軟體和甲骨文公司 在電腦科學和歷史從密歇根大學,他擁有學士學位。