Аудит событий безопасности

Аудит безопасности в Windows

Что такое аудит безопасности в Windows?

Аудит безопасности Windows — это технические средства и мероприятия, направленные на регистрацию и систематический регулярный анализ событий, влияющих на безопасность информационных систем предприятия. Технически, аудит безопасности в Windows реализуется через настройку политик аудита и настройку аудита объектов. Политика аудита определяет какие события и для каких объектов будут генерироваться в журнал событий Безопасность. Регулярный анализ данных журнала безопасности относится к организационным мерам, для поддержки которых может применяться различное программное обеспечение. В самом простом случае можно обходиться приложением Просмотр событий. Для автоматизации задач анализа событий безопасности могут применяться более продвинутые программы и системы управления событиями безопасности (SIEM), обеспечивающие постоянный контроль журналов безопасности, обнаружение новых событий, их классификацию, оповещение специалистов при обнаружении критических событий. Наша программа Event Log Explorer также содержит набор функций для автоматизации мониторинга событий для любых журналов событий.

Как установить и настроить аудит безопасности в Windows?

Аудит безопасности Windows включается через Групповую политику (Group Policy) в Active Directory или Локальную политику безопасности. Чтобы настроить аудит на отдельном компьютере, без Active Directory, выполните следующие шаги:

Откройте Панель управления Windows, выберите Администрирование (Administrative Tools), и затем запустите Локальная политика безопасности (Local Security Policy)
Откройте ветвь Локальные политики и выберите Политика Аудита
В правой панели окна Локальная политика безопасности (Local Security Policy) вы увидите список политик аудита. Двойным кликом на интересующей вас политике откройте параметры и установите флажки Аудит успехов или Аудит отказов (Success or Failure).

Так настраиваются базовые политики аудита.

Начиная с Windows 2008 R2/Windows 7, вы можете использовать Расширенные политики (Advanced Security Audit Policy):
Local Security Policy -> Advanced Audit Policy Configuration -> System Audit Policies.
Подробная информация про расширенные политики (Advanced Security Audit Policy) доступна тут https://technet.microsoft.com/en-us/library/dn319056.aspx

Как контролировать события входа в Windows?

Аудит безопасности Windows позволяет контроллировать события входа в систему и обнаруживать неудачные попытки входа. Система Windows генерирует такие события не только при непосредственной попытке входа в систему, но и при удаленном доступе с другого компьютера к ресурсам с общим доступом. Аудит событий входа помогает обнаруживать подозрительную активность или потенциальные атаки при администрировании и расследовании инцидентов

Для отдельного компьютера (без Active Directory) аудит событий входа настраивается так:

Откройте ветвь Локальные политики (Local Policies) в Локальная политика безопасности (Local Security Policy)
Выберите Audit Policy.
Двойным кликом откройте Аудит событий входа (Audit logon events) и включите опции аудита успехов и отказов (Success и Failure).

После этого все попытки входа — успешные и неудачные будут протоколироваться в журнал событий Безопасность

Список кодов важных событий входа в систему

Аудит событий безопасности в операционных системах Microsoft Windows и Unix: определение параметров аудита, просмотр файлов аудита, достоинства и недостатки

Аудит безопасности в ОС Windows

Журнал аудита содержится в файле windows System32 Config secevent.evt, а доступ к нему осуществляется с помощью административной функции «Просмотр событий» Панели управления Windows.

o Вход пользователей в систему;

o доступ субъектов к объектам;

o доступ к службе каталогов Active Directory;

o изменение политики безопасности;

o использование привилегий;

o отслеживание процессов;

o системные события;

o попытки входа в систему;

o управление учетными записями пользователей и групп;

o доступ к глобальным системным объектам;

o использование прав на архивацию и восстановление объектов.

o Для каждой категории регистрируемых событий администратор может указать тип события (успешное и (или) неудачное завершение) либо отменить его регистрацию в журнале аудита.

Аудит использования привилегий

o Регистрируются попытки использования не всех возможных привилегий, а лишь тех, которые считаются потенциально опасными с точки зрения разработчиков подсистемы безопасности защищенных версий Windows (например, создание маркерного объекта или создание журналов безопасности). Следует отметить, что не все объективно опасные привилегии входят в этот список.

Аудит системных событий

К системным событиям, которые могут регистрироваться в журнале аудита, относятся:

o перезагрузка операционной системы;

o завершение работы операционной системы;

o загрузка пакета аутентификации;

o запуск процесса входа (Winlogon);

o сбой при регистрации события в журнале аудита;

o очистка журнала аудита;

o загрузка пакета оповещения об изменении в списке пользователей.

Другие параметры аудита

o Максимальный размер журнала аудита.

o Реакция операционной системы на его переполнение:

n затирать старые события при необходимости;

n затирать старые события, которые произошли ранее установленного количества дней (в этом случае новые события не регистрируются, пока не истечет заданное количество дней с момента регистрации самого старого события) − реакция по умолчанию;

n не затирать события (очистка журнала вручную).

Аудит событий безопасности в ОС Unix

Системные журналы в Unix-системах сохраняются в каталогах /usr/adm (старые версии), /var/adm (более современные версии) или /var/log (некоторые версии Solaris, Linux и др.) в файлах:

o acct – регистрация команд, выполненных пользователем;

o loginlog – регистрация неудачных попыток входа;

o sulog – регистрация использования команды su;

o wtmp – регистрация входов и выходов пользователей, загрузки и завершения работы ОС;

o security – сообщения подсистемы безопасности;

o vold.log – регистрация ошибок внешних устройств и др.

— Для регулярного архивирования и сохранения файлов системных журналов могут использоваться командные сценарии.

— В других Unix-системах каждый файл системного журнала из каталога /var/log обновляется в соответствии со своим набором правил.

— Многие Unix-системы имеют средства централизованного сбора информации о событиях (сообщениях) безопасности (сервис syslog).

Сообщение аудита в ОС Unix:

o дата и время генерации сообщения;

o имя компьютера;

o имя программы, при выполнении которой было сгенерировано сообщение;

o источник сообщения (модуль операционной системы);

o приоритет (важность) сообщения;

o содержание сообщения.

Параметры аудита в ОС Unix:

Каждая строка конфигурационного файла /etc/syslog.conf состоит из двух частей, разделяемых символом табуляции:

o селектора, в котором указываются приоритеты и источники регистрируемых сообщений (например, все сообщения об ошибках или все отладочные сообщения ядра системы);

o описания действия, которое должно быть выполнено при поступлении сообщения указанного типа (например, записать в системный журнал или отослать на терминал указанного пользователя).

Пример параметра аудита:

Сообщения приоритета err от всех служб, приоритета debug от ядра операционной системы, сообщения службы авторизации приоритета notice, а также сообщения приоритета crit почтовых программ выводятся на системную консоль.

Просмотр файлов аудита:

o Для просмотра файлов системных журналов может применяться программа Swatch, работа которой также управляется конфигурационным файлом.

o Программа Swatch способна обнаруживать определенные события и выполнять различные действия на их основе. Кроме того, она в состоянии удалять из файла ненужные записи, которые просто занимают место в нем.

Бронируем Windows. Комплексный аудит безопасности — от файрвола до Active Directory

Содержание статьи

Особенности аудита безопасности Windows-систем

Если ты еще не читал, то в нашей прошлой статье мы разбирали схожие утилиты, служащие для оценки исходного уровня защищенности и форсирования native-опций безопасности в Linux. Сегодня же в материале речь пойдет о десктопных и серверных версиях Windows-систем. И прежде чем перейдем непосредственно к обзору, мы отметим несколько очень важных особенностей аудита безопасности всем известных «окон».

Винда «дырявая»

Давно бытует мнение, будто Windows-системы менее надежны и безопасны по сравнению с Linux. Это мнение, безусловно, небеспочвенно. Но Microsoft в последние несколько лет прилагает большие усилия для того, чтобы продукты компании были не только красивы, но и достаточно безопасны. Наглядный тому пример — Windows 10, операционная система, впитавшая в себя все самое лучшее от ее предшественников (к примеру, UAC, DEP, BitLocker, DirectAccess, WFP и NAP, AppLocker, бывший Restrict Policy) и предлагающая передовые опции технологии безопасности.

Читать еще: Код безопасности вк

Речь прежде всего идет о таких фичах, как обновленный SmartScreen, защита ядра Credential Guard, Device Guard, технологии аутентификации (в том числе биометрической) Windows Hello и Microsoft Passport, изоляция процессов IUM, Advanced Threat Protection в «Защитнике Windows», облачная аналитика Windows Analytics, а также дополнительные опции защиты от нашумевших в прошлом году вирусов шифровальщиков WannaCry, Petya и Bad Rabbit. Подробный обзор всех нововведений в технологиях безопасности Windows 10 можно почитать на официальном ресурсе Microsoft.

Однако, как показывает практика, большинство обычных пользователей домашних систем после первого запуска ОС сразу же отключают если не все, то уж точно половину опций безопасности, надеясь в основном на установленное антивирусное ПО. Другая же часть пользователей и вовсе устанавливает на свой компьютер неофициальные сборки Windows, в которых зачастую уже вырезаны отдельные компоненты ОС или дефорсированы политики безопасности еще на этапе инсталляции. Но даже те, кто использует какие-то native-технологии безопасности, редко вникают в подробности и тем более занимаются тонкой настройкой.

Отсюда и рождается часть мифов о том, что Windows по защищенности извечно проигрывает в противостоянии с Linux.

Windows 10 обладает большим количеством технологий обеспечения безопасности. Это и доставшиеся от предков UAC, DEP, BitLocker, DirectAccess, NAP, AppLocker (бывший Restrict Policy), WFP, и совершенно новые SmartScreen, Credential Guard, Device Guard, Hello, Microsoft Passport, Advanced Threat Protection или Windows Analytics. Есть даже дополнительные опции защиты от изменения папок, полезные, к примеру, в борьбе с вирусами-шифровальщиками типа WannaCry, Petya или Bad Rabbit.

Универсальность против лицензионной политики

Если Linux по сути универсальная система, в которую в любой момент можно доустановить нужные пакеты, активировать сетевые службы, настроить маршрутизацию и получить из «домашней версии» настоящий сервер, то с Windows такой трюк в чистом виде не пройдет. Лицензионная политика Microsoft разделяет пользовательский домашний и корпоративные сегменты. Поэтому и инструменты, и чек-листы проверки тоже будут разниться.

К примеру, если стандартный набор проверок для домашней системы будет включать такие вещи, как контроль учетных записей, настройки файрвола, установка обновлений и разделение привилегий для учетных записей, то аудит безопасности Windows Server потребует гораздо большего внимания. К примеру, в него стоит отнести:

контроль изменений ключевых объектов Active Directory (OU, GPO и так далее);
аккаунты доменных пользователей с просроченными паролями;
аккаунты доменных пользователей с паролями, которые никогда не истекают;
обезличенные (неперсонифицированные) административные учетные записи на серверах Windows Server, MS SQL Server и подобных;
некоторые настройки MS Exchange Server и SharePoint, зависающие от установленной в AD политики безопасности;
членство в группах безопасности.

Поскольку Windows Server — продукт проприетарный, то в отличие от Linux большинство Enterprise-утилит для аудита безопасности Active Direcroty и других инфраструктурных элементов будут коммерческими (а значит, платными).

Что касается настроек безопасности, рекомендованных Microsoft, то они существуют для всех актуальных сегодня версий Windows — 7, 8, 10, Server 2012, Server 2016. Помимо этого, внимание также можно обратить на набор CIS-рекомендаций для десктопов и серверных редакций операционных систем.

Обзор инструментов

Переходим к самой интересной, практической части — обзору основных инструментов аудита и настройки native-опций безопасности Windows. В первой части нашего обзора мы сконцентрируем свое внимание на бесплатных или open source инструментах, которые будут доступны абсолютно каждому.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Аудит и журналы безопасности

Отслеживание событий является обычной и необходимой частью работы системных администраторов (или менеджеров веб-сайтов). Для этого в Windows 2000 и IIS используются журналы и аудит . Процедуры управления сайтом включают в себя регулярную проверку, анализ и просмотр зафиксированной информации для выявления неудавшихся или успешных атак, направленные на сайт . При обнаружении проблемы следует выполнить аудит безопасности для определения нанесенного ущерба и способа проникновения в систему.

В любой политике безопасности имеются процедуры и стандартные приемы для этих случаев. Даже и не думайте о работе сайта, если такая политика еще не разработана. В лекции рассказывается о том, как настраивать журнал, осуществлять аудит , создавать резервные копии и производить восстановление. Все эти действия необходимы для обеспечения безопасной и надежной работы сервера и веб-сайта.

Отслеживание событий сайта

События, происходящие на веб-сервере Windows 2000/ IIS , отслеживаются при помощи просмотра и анализа журнала, в который отправляются сообщения от других служб, приложений или операционной системы. Эти сообщения учитывают события, происходящие в системе: выключение, запуск , создание новой учетной записи и т.д. IIS дополнительно отслеживает события собственного набора служб, например, запросы от посетителей сайта, отправленные на сервер для осуществления анонимного входа.

В Windows 2000 имеются журналы шести различных типов. Если вы имеете опыт системного администрирования Windows 2000, то уже знакомы с некоторыми из них. IIS ведет свой собственный отдельный журнал. Ниже приведен полный перечень журналов, работающих на сервере.

Системный журнал. Фиксирует события компонентов: остановку и запуск службы или возникновение ошибки.
Журнал безопасности. Записывает события, связанные с безопасностью: вход пользователей и использование ресурсов, например, создание, открытие и удаление файлов.
Журналы приложений. Фиксируют события, связанные с приложениями, выполняемыми на сервере.
Журнал службы каталогов. Фиксирует информацию о работе службы Active Directory, например, проблемы с подключением к глобальному каталогу.
Журнал сервера DNS. Записывает события, связанные с работой службы Windows 2000 DNS в Active Directory.
Журнал службы репликации файлов. Фиксирует значимые события, происходящие при попытке контроллера домена обновить другие контроллеры домена.
Журнал IIS. Фиксирует события, происходящие при работе служб IIS (WWW, FTP и т.д.).

Читать еще: Hp запуск в безопасном режиме

Для веб-сервера IIS не требуется работа всех без исключения журналов, например, не нужны журналы сервера DNS и службы репликации файлов. Журнал службы каталогов включается, если сервер является частью домена Windows Active Directory , причем ведется он на другом сервере. Веб- сервер работает с системным журналом, журналом приложений, журналом безопасности и журналом IIS .

Системный журнал Windows 2000 и журнал приложений активируются по умолчанию при установке IIS для автоматического фиксирования системных событий и событий приложений. Остальные журналы запускаются только после их непосредственной настройки и/или запуска. При выполнении IIS Lockdown автоматически активируется журнал безопасности Windows 2000 и IIS .

Информация журналов событий

Журналы Windows 2000 и IIS можно настроить на запись большого числа различных событий и действий. IIS по умолчанию сохраняет файлы журнала в текстовом формате, их можно просматривать в любом приложении, поддерживающем этот формат. Обычно файлы анализируются посредством их загрузки в программу генерации отчетов, которая осуществляет фильтрацию, сортировку и управление данными. На рисунке приведен пример содержимого файла журнала IIS.

Системный журнал Windows 2000 по умолчанию хранится в специальном формате в файлах с расширением .evt. Программа Event Viewer (Просмотр событий) Windows 2000, доступная в консоли MMC в папке Administration Tools (Администрирование), позволяет просматривать сообщения в журналах Windows 2000 и упорядочивать их по дате, времени, источнику, степени значимости и по другим переменным. Event Viewer используется также для преобразования файлов журнала в текстовый формат для просмотра в другой программе. На рисунке показана консоль программы Event Viewer.

Анализ аспектов безопасности при помощи файлов журналов требует некоторых навыков. Следует различать типы сообщений и понимать, что они означают. Когда ваш сервер начнет свою работу, внимательно следите за ним в течение некоторого времени и фиксируйте признаки нормальной работы, чтобы выявлять впоследствии отклонения от нормы.

Каждая из пяти категорий записей журналов имеет свой собственный значок. Каждое сообщение содержит идентификатор события ID, дату, время, объект, имя компьютера, категорию и тип номера события сообщения. Ниже приведены категории сообщений и их назначение.

Информационные сообщения о событиях. Описывают успешное выполнение операций, таких как запуск службы.
Предупреждающие сообщения о событиях. Описывают неожиданные действия, означающие проблему, или указывают на проблему, которая возникнет в будущем, если не будет устранена сейчас.
Сообщения о событиях ошибок. Описывают ошибки, возникшие из-за неудачного выполнения задач.
Сообщения о событиях успешного выполнения той или иной операции. Описывают события безопасности, выполненные Windows 2000 согласно запросу.
Сообщения о событиях неудачного выполнения операции. Описывают события безопасности, не выполненные Windows 2000 согласно запросу.

На рисунке 5.1 приведен пример сообщения об ошибке в системном журнале Windows 2000, зафиксировавшего неожиданное отключение сервера. Это событие выходит за рамки нормальной работы и его необходимо исследовать. По идентификационному номеру ID события его можно найти в базе данных Microsoft Knowledge Base , если не понятно, что оно означает.

Аудит

В Windows 2000 и IIS имеется специальная функция по отслеживанию безопасности – аудит, фиксирующая в журнале безопасности события, связанные с ресурсами IIS и Windows 2000 либо с объектами управления системой. Аудит является сложным процессом, использующим средства для анализа собранной информации и диагностики событий сайта, связанных с безопасностью.

Windows 2000 предоставляет три типа возможностей по аудиту объектов и ресурсов, свои функции имеются и в IIS (см. табл. 5.1).

Аудит ИБ в крупных компаниях: инструкция по применению

Чтобы понять, что собой представляет комплексный аудит информационной безопасности, стоит взглянуть на вопрос с практической точки зрения: что нужно учесть, чтобы проектная команда хорошо сделала свою работу, не сорвала при этом сроки и попала в ожидания заказчика. Статья от эксперта компании «Инфосистемы Джет» будет полезна тем, кто проводит внешний ИБ- или ИТ-аудит, а также менеджерам внутренних ИТ- и ИБ-проектов.

Введение

Под комплексным аудитом будем понимать следующие работы, проводимые в рамках одного проекта:

тестирование на проникновение;
аудит процессов ИБ;
обследование ключевых бизнес-систем и бизнес-процессов;
анализ конфигураций элементов ИТ-инфраструктуры;
обследование процессов обработки ПДн и режима КТ;
разработка рекомендаций для повышения уровня зрелости процессов ИБ.

Наверняка все помнят детские задачки из серии «из пункта А в пункт Б вышел пешеход, двигающийся со скоростью 5 км/ч, а также выехал велосипедист со скоростью 15 км/ч…»

Рисунок 1. Визуализированная детская задачка

Добавим немного переменных, присущих проекту по комплексному аудиту ИБ в крупной компании (для примера приведены числовые показатели аудита, проведенного в 2018 году):

обследование головного офиса и 7 дочерних организаций;
анализ 60 информационных систем, 50 средств защиты и 8 комплексных АСУ ТП;
разработка дорожной карты мероприятий ИБ;
2,5 месяца и более 25 работников на проекте.

В результате получаем неформализованную задачу, которая выглядит примерно так:

Пять проектных команд выехали из пункта А в пункт Д с разной скоростью. Что нужно сделать, чтобы в соответствии с планом-графиком все команды пришли в точку Д, куда они договорились прибыть одновременно, при этом заехав по пути в филиалы Б, В и Г, сохранив нервы менеджера проекта и главного конструктора и тратя на сон более 5 часов в день.

В своей работе мы по многим направлениям используем заранее подготовленные «напоминалки», так называемые чек-листы — они помогают во многом структурировать и упорядочить проектную деятельность. Это отличный инструмент для напоминаний, позволяющий не забыть базовые вещи.

Любой проект глобально можно разделить на три основных блока:

подготовка к проведению аудита;
сбор свидетельств аудита и анализ полученных данных;
разработка рекомендаций и презентация результатов.

Подготовка к проведению аудита

Пожалуй, самый ответственный этап, от результата которого во многом зависит успех всего проекта. Мероприятия этого этапа направлены на формирование четкой координации внутри проектной команды, согласование с заказчиком подходов, методов и сроков проведения каждого этапа аудита.

Составьте профиль заказчика. Заранее проанализируйте информацию в СМИ о возможных произошедших инцидентах ИБ, утечках информации, о реализованных ИТ- и ИБ-проектах, о расширении бизнеса либо приобретении новых активов, ИТ- и ИБ-закупках. Подготовьте типовые риски, характерные для сферы деятельности компании. Данная информация поможет определить ключевые точки, на которые стоит обратить особое внимание при проведении работ (например, compliance или безопасность сегмента АСУ ТП).

Помогите заказчику подготовить бизнес к проведению работ. Зачастую внутренний менеджер со стороны заказчика упускает этот этап, и при согласовании встреч мы можем получить негатив — работники не понимают необходимость проведения работ, и в рамках какого проекта такие интервью запланированы. Подготовьте небольшую памятку о проводимых работах для вовлеченных в проект специалистов.

Правило хорошего тона — план проведения интервью. Проработайте документ с заказчиком совместно. Хорошая практика — заранее запросить оргштатную структуру и на основании нее подготовить план-график «в первом приближении». Чтобы представитель со стороны заказчика не гадал, контакты какого специалиста поставить под общей темой «повышение осведомленности» — HR, отдел обучения или отдел информационной безопасности — лучше добавить некоторую избыточность, то есть детально расписать предполагаемые темы общения в плане.

Читать еще: Что такое ключ безопасности сети

Договоритесь о применимых способах сбора информации. Использование камеры смартфона значительно ускоряет проектную работу (вместо того, чтобы сначала запрашивать скриншоты, а после ждать их предоставления), однако для некоторых компаний такой способ сбора неприемлем.

Заранее согласуйте с заказчиком план-проспект отчета. План-проспект — документ, содержащий в себе структуру разделов, обезличенные примеры их наполнения, пример описания рекомендаций. Заранее договоритесь, как будут документироваться отдельные активности в рамках проекта. Например, необходимо ли вынесение результатов тестирования на проникновение в отдельный отчет? Может быть, анализ защищенности обрабатываемых персональных данных целесообразнее предоставить в виде отдельной аналитической записки?

Проведите нормоконтроль согласованных план-проспектов отчета. Зачастую в крупных компаниях существует свой формат предоставления отчетной документации, свой набор стилей для документов и их оформления. Работа проектной команды в уже отформатированных отчетах поможет сохранить огромное количество времени группе нормоконтроля — гораздо проще править ошибки в заполненном шаблоне, чем с нуля форматировать 1000-страничный отчет.

Создайте отдельную проектную область с иерархией папок. Четкое понимание, где должны храниться полученные документы от заказчика, куда необходимо выкладывать драфты документов на согласование, в какой области хранятся финальные документы на конкретную дату, поможет в дальнейшем не запутаться и не получить ситуацию, когда разные специалисты работали в разных документах.

Определите способ формирования проектных команд и выделите руководителей в каждой из них. В рамках проведения работ мы используем два сценария: когда проектные команды формируются в зависимости от выполняемых функций (например, группа сетевой безопасности, группа compliance, группа, занимающаяся обследованием ИС, и пр.) или когда в каждой команде присутствует профильный специалист каждого направления.

Создайте отдельную группу почтовой рассылки для участников проекта. Это сэкономит время и избавит от необходимости каждый раз добавлять в адресаты всех участников проекта. Таких рассылок мы создаем, как правило, несколько: для руководителей команд, для пентестеров и пр. Хорошей практикой является создание отдельного чата, например, в What’s App, для быстрой координации внутри команды.

Согласуйте формат нахождения аудиторов на площадке. Проведение аудита, как правило, занимает от 2 недель и более. Большую часть этого времени аудиторы обычно находятся на площадке заказчика. Распространенная практика — бронирование отдельной переговорной комнаты для всей проектной команды на время аудита или организация отдельных рабочих мест.

Выделите отдельную роль — внутренний администратор проекта. Выделение такой роли обоснованно, когда заказчик имеет большую филиальную сеть и в область аудита входит несколько площадок. Функции такого специалиста:

отслеживание сроков предоставления свидетельств/документации;
сбор с руководителей команд информации, которую необходимо запросить;
вычитка отчетной документации;
работа с проектной областью — выкладывание материалов, наведение порядка;
работа с со службой нормоконтроля и пр.

Соберите заранее всю информацию в одном месте. Вся информация, которая необходима для старта проекта и согласования проведения каких-либо работ (удаленного доступа, тестирования на проникновение и пр.), должна храниться в одном доступном месте. Примерами могут быть паспортные данные проектной команды, шаблон Letter of Authorization (LOA), запрос e-mail-адресов, исключаемых при проведении фишинга, требования к организации рабочего места пентестера, серийные номера ноутбуков для оформления пропуска и пр.

Сбор свидетельств аудита

Как говорит один наш коллега, «консультант должен жить у заказчика, должен жить его проблемами». С точки зрения работы с большим количеством людей и объемом собираемой информации, сбор свидетельств аудита — это самый длительный и сложный этап, в рамках которого участники проекта буквально живут на площадке и общаются с профильными специалистами.

Распечатайте несколько экземпляров NDA, подписанных с заказчиком, и возьмите их с собой. Зачастую представители заказчика отказываются общаться, не будучи уверенными в том, что все формальности соблюдены.

Не аудит, а обследование. Позиционируйте проведение работ как обследование процессов обеспечения ИБ, слово «аудит» зачастую заставляет нервничать интервьюируемых работников.

Записывайте сразу в ноутбук. В бумажных записях больше минусов, чем плюсов (затруднен поиск информации, нет под рукой уже полученной ранее информации и пр.), к тому же, записанное на бумаге все равно придется позже оцифровывать.

Не используйте диктофон при сборе информации. На оцифровку материала придется потратить уйму времени, а интервьюируемые при виде диктофона зачастую чувствуют себя неуютно.

Используйте принцип одного окна при запросе информации. Мы используем схему, когда руководитель каждой команды в конце рабочего дня формирует для администратора проекта перечень запрашиваемой информации. Администратор обобщает эти данные в единый файл и ведет его совместно с заказчиком — отслеживает сроки получения информации, в случае необходимости эскалирует на руководство.

Выделяйте час рабочего дня ежедневно на формирование кратких отчетов о проведенных встречах и их согласование. Такой документ содержит в себе ключевые тезисы проведенного интервью, минимизирует риск того, что часть информации была упущена или неправильно интерпретирована.

Сообщайте о критических уязвимостях сразу. В рамках проекта мы готовим еженедельную справку о найденных критических недостатках, которые рекомендуем устранить немедленно.

‎Валидируйте собираемую информацию частями. Мы рекомендуем заранее, еще до предоставления отчетной документации, согласовывать с заказчиком отдельные разделы отчета — например, описание процессов ИБ или лист оценки защищенности ИС. Чем раньше промежуточные результаты будут согласованы, тем меньше вероятность, что полученный результат не попадет в ожидания заказчика.

Договоритесь о периодических перерывах для оформления полученной информации. Мы стараемся использовать следующую схему: 2-3 дня интервью — 1 день паузы. Данное время позволит структурировать полученную информацию, выделить пробелы при сборе информации.

Проводите еженедельные статусные встречи с участием руководителей команд и представителями заказчика.

Разработка рекомендаций и презентация результатов проекта

Аналитический этап, в рамках которого разрозненные данные структурируются, обрабатываются и оцениваются. Проектной командой осуществляется разработка рекомендаций и визуализация полученных результатов и итогов проекта.

Подготовьте к отчетным документам отдельную справку для руководства. Включите в документ краткую информацию о проведенном аудите, ключевых недостатках и точках роста.

Согласуйте формат проведения нормоконтроля отчетной документации. Вычитка (нормоконтроль) сотен страниц занимает большое количество времени. Чтобы этот процесс не затягивал общий ход работ, мы используем следующий подход (заранее согласованный с заказчиком): верстка и устранение «подчеркнутого красным» первого драфта отчета и последующая полная вычитка с корректировкой синтаксиса финального согласованного отчета.

Проведите внутреннюю презентацию результатов проекта. Презентуйте результаты работ проектной команде — это позволит лучше подготовиться к ответам на возможные вопросы бизнеса.

Храните все материалы, собранные в рамках работ, в одном месте. Зачастую заказчики просят нас структурировать запрошенные в рамках аудита свидетельства (например, по процессам ИБ/технологиям/др.) и предоставить их вместе с результатами работ для внутреннего хранения.

Выводы

Описанные в данной статье советы не являются исчерпывающими. Здесь мы, скорее, поделились показательными примерами тех практик, которые используем при проведении аудита. Каждый новый проект уникален, с каждым новым заказчиком мы учимся чему-то новому и расширяем наши «чек-листы», чтобы «пешеход и велосипедист, выехавшие из точки А в точку Б, догнали друг друга и доехали до конца маршрута одновременно».

0 0 голоса

Рейтинг статьи