Без автоматизирани инструменти за одитиране на ИТ средата администраторите трудно могат да следят адекватно къде какво се случва, казва Евгения Изотова, регионален мениджър на Netwrix
(снимка: Мария Малцева / TechNews.bg)
Процесът на дигитализация на организациите неизменно води до натрупване на все по-голям брой различни технологични системи, а с това и на генериране на все по-големи обеми данни. Логично е човек да си мисли, че отговорниците по сигурността знаят във всеки момент къде какво се случва в тези усложнени и „оплетени” ИТ среди. Но това не всякога е точно така.
Видимостта към „пълния пейзаж” в дадена техническа инфраструктура е критична във време, когато организациите боравят с чувствителна лична и финансова информация и един-единствен пробив може да доведе до съсипването на целия бизнес.
Броят на компютърните системи в съвременните организации нараства, като и взаимовръзките между тях стават все по-сложни. Част от тези системи са вътрешни, други са в облака, някои лицензирани, други се ползват като услуга. Всяка от тях свой „регистър” на събитията, които потребителите и администраторите извършват.
За отговорниците по сигурността обаче е важно да имат пълен поглед къде какво се случва. Това мотивира развитието на нов вид системи за управление на сигурността на информацията и събитията в ИТ инфраструктурата и тяхното постоянно наблюдение и одитиране, стана ясно по време на представяне на платформата Netwrix, организирано от дистрибутора Компютър 2000 България.
Работата на подобна платформа е да „гледа” едновременно всички логове в ИТ средата: разрешения, промени, грешки, събития, активности на потребителите – всичко. Събитията се пречупват през „призма”, която превръща разнообразните и разнородни данни от различните системи в цялостен „пейзаж”, разбираем и лесен за обхващане с един поглед.
На тази база може да се наблюдава цялостната ИТ среда и то по различни начини: може да се прави търсене по зададен критерий, да се генерират периодични отчети, да се извеждат визуализации, да се сигнализира в реално време за появата на конкретен вид събития.
Така, както всяка камера за видеонаблюдение има „сиви зони”, в които не „вижда” какво се случва, защото те попадат извън полезрението й, така и всяка организация има по едно „тъмно петно” в своята ИТ инфраструктура, за което няма достатъчно яснота, казва Вихрен Славчев, управител на Мнемоника, съорганизатор на представянето.
По наблюдения на мениджъра, обичайно това тъмно петно са дейностите през нощта – най-вече отдалеченото логване в корпоративната ИТ система. Малко отговорници по сигурността знаят колко фирмени служители се включват в корпоративната мрежа през нощта, колко пъти си сбъркват паролите, какво теглят. „Нямате представа колко много се бъркат паролите през нощта”, намекна Славчев.
Разбира се, възможно е в системите за сигурност да се зададат сигнализации за определени събития, които биха могли да са потенциално опасни – например, ако през нощта започне процес на изтегляне на голям обем данни. Това е подозрителна дейност и системите за сигурност навярно ще „свирят аларма”. Но ако някой служител бавно, методично, без много шум „работи” – например всяка вечер в 1 през нощта изтегля малък обем данни, това най-вероятно ще остане незабелязано за системите за сигурност.
Именно платформите за одит като Netwrix дават възможност да се забележи известна връзка между определени, наглед невинни, събития, и да се алармира, че има нещо нередно, казва Славчев. Netwrix прави това на база вградения в него „изкуствен интелект”.
Разбира се, изкуственият интелект е понятие, с което много се злоупотребява в последно време. „Трябва да сме наясно, че става дума за машинно самообучение”, подчерта Мартин Раков, системен инженер в Компютър 2000 България. Алгоритъмът има нужда да бъде „трениран” от хората, но когато този процес на обучение напредне, може да се разчита, че платформата за одит ще сигнализира нередности по-добре от който и да е компютърен администратор.
За отговорниците по сигурността да имат пълен поглед над пейзажа в своята ИТ инфраструктура и да правят одити на средата по всяко време е огромно „оръжие”. Навременното откриване на атаки все по-често е ключово за оцеляването на организациите в условията на свирепа конкуренция и взискателни потребителски очаквания.
В частност, подобно средство е изключително важно от гледна точка на изискванията за сигурността в светлината на регулации като GDPR, които изискват безпощадно опазване на личните данни в организации от държавната администрация, банките и застрахователите, телекомите и всички, които боравят с лична информация.
От друга страна, одитирането става особено важно на фона на увеличаващия се брой дигитални устройства, които се свързват в дадена корпоративна среда. Освен компютрите в нея все по-често се включват смартфони, умни часовници и IoT системи със съответните сензорни датчици. В много предприятия е факт и усилена роботизация – машини (в т.ч. дори само софтуерни) се заемат да извършват рутинните, повторяеми дейности, досега изпълнявани от хората.
Всичко това значително увеличава броя на потенциално слабите места, които могат да бъдат използвани злонамерено за пробив в ИТ средата. Пълната видимост е крайно необходима, категорични са специалистите.
Без автоматизирани инструменти за одитиране на ИТ средата администраторите трудно могат да следят адекватно къде какво се случва – те са принудени да „четат логове”; и макар че добрите специалисти добре знаят как да търсят конкретно нещо в лог, това все пак отнема много време и не дава цялостна картина на случващото се, казва Евгения Изотова, регионален мениджър на Netwrix.
„В нашата практика сме срещали и случаи, когато добри администратори сами са написали скриптове, с които да следят постоянно много или всички логове в корпоративната инфраструктура – просто, за да си улеснят работата”, разказа Изотова. „Точно по този начин всъщност е родена и самата платформа”.
Ако обаче добрият администратор със скрипта напусне организацията, приемникът му трябва да започне от нулата. За сметка на това автоматизираните средства за ИТ одитиране остават – и са лесни за научаване и управление.
