Administración de TI: Audite esos servidores Windows
Es posible que piense que no tiene por qué auditar la infraestructura de Windows Server, pero realmente debería hacerlo.
Tom Kemp
Hay muchas tendencias tecnológicas y empresariales en el trabajo que aumentan la complejidad de administrar y proteger su infraestructura de TI. Virtualización, el "consumidor de ella" en la espectacular proliferación de dispositivos móviles y de cloud computing poco a poco se están cambiando activos desde dentro del firewall para fuera del firewall. El resultado final es más de un datacenter de híbrido, con un control menos directo por el departamento de TI.
Al mismo tiempo, una "nueva oficina" modelo está evolucionando. Hay usuarios más móviles, contratistas y personal extranjero — todos los cuales requieren acceso a la red. El departamento de TI tiene que proporcionar servicios a una amplia sección transversal de usuarios. Muchos usuarios que históricamente no han tenido computación dispositivos (como enfermeras, vendedores por menor y así en) ahora requieren estos dispositivos y aplicaciones para impulsar nuevos niveles de productividad.
Como hacer frente a una cada vez más híbrido infraestructura de TI, también está enfrentando importantes olas de cumplimiento de las demandas y preocupaciones de seguridad. Para garantizar la defensa de la información de su empresa propietaria contra dentro o fuera de las amenazas, usted y su departamento de TI requieren visibilidad end-to-end y el control sobre los usuarios, aplicaciones, servidores y dispositivos.
Debe asegurarse que el negocio está protegido, sin dejar de ser lo suficientemente ágil como para responder a las rápidamente cambiantes condiciones del negocio. También necesita este nivel de visibilidad para atender necesidades de los auditores. Históricamente, ha involucrado este nivel de seguridad de bloqueo de aplicaciones, servidores y dispositivos de locales. Ahora debe aplicar el mismo nivel de capacidad de seguridad a los recursos de TI que están fuera del firewall y no directamente bajo el control de su departamento de TI.
Microsoft Windows Server es el servidor líder OS y fuertemente se implementa como parte de la infraestructura como una ofrenda de servicio (IaaS) de proveedores como Microsoft, Rackspace US Inc. y Amazon.com Inc. Auditoría por lo tanto, un sistema de crítico para el negocio, como Windows Server es imprescindible, si implementa en locales o en la nube.
A veces, es difícil de articular la justificación del negocio para la auditoría de esfuerzos y gastos al personal directivo. También hay algunas organizaciones de TI que podrían pensar que los esfuerzos de auditorías detallados no apropiado o necesario para sus sistemas. Aquí hay tres razones principales por qué debería auditar sus servidores de Windows.
Requerimientos de cumplimiento
Hay algún personal de TI que creen industria y requerimientos de cumplimiento de Gobierno podrían no aplicarse a sus organizaciones. Esto es probablemente falso. Si trabaja para una compañía pública, si se toman pedidos con tarjeta de crédito, si almacena información sobre la salud de pacientes, su organización está en el gancho para cumplimiento de normas.
Hay innumerables regulaciones que crean desafíos actuales para las empresas de cada industria. Muchas empresas deben cumplir varios requisitos para controles internos (Sarbanes-Oxley Act, o ley SOX), seguridad de datos para pagos con tarjeta de crédito (pago Tarjeta industria Data Security Standard, o PCI DSS), información de paciente de la salud (Health Insurance Portability y Accountability Act, HIPAA) y otros requisitos específicos de la industria (Ley Gramm-Leach-Bliley, o GBLA; Energía de fiabilidad Corporation/Federal eléctrica norteamericana Comisión reguladora o NERC/FERC; y Federal-Instituto de la ley nacional información de gestión de seguridad de estándares y tecnología o FISMA/NIST SP 800-53).
Cada cumplimiento mayor regulación y mandato de industria también requieren que los usuarios autenticarse con una identidad única. Privilegios están limitadas sólo a aquellos necesarios para realizar funciones de trabajo. Actividad del usuario es auditada con suficiente detalle para determinar qué eventos se produjeron, que realizó los eventos y los resultados de los eventos.
Aquí es un vistazo a algunas de las reglas de conformidad y los requisitos de auditorías correspondientes:
**SOX la Sección 404 (2):**Debe contener una evaluación... de la eficacia de la estructura de control interno y los procedimientos del emisor para la presentación de informes financieros.
**10.2.1-2 De sección de PCI DSS:**Implementar pistas de auditoría automatizadas para reconstruir la actividad del usuario, para todos los componentes del sistema. Compruebe todos los accesos individuales a los titulares. Verificar las medidas adoptadas por cualquier persona con privilegios administrativos o de raíz.
**HIPAA 164.312(b) controles de auditoría:**Implementar hardware, software y mecanismos procesales que grabación y examinar la actividad en los sistemas de información que contienen o utilizan la información de salud protegida electrónicos o ePHI.
**NIST SP 800-53 (AU-14):**El sistema de información proporciona la capacidad de captura y registro y registrar todo el contenido relacionado con una sesión de usuario y ver todo el contenido relacionado con una sesión de usuario establecido en tiempo real de manera remota.
**NERC CIP-005-1 R3 (control de acceso electrónico):**Implementar y documentar un proceso manual o electrónico para el seguimiento y registro de acceso.
Ataca a mitigar Insider
Muchas de las infracciones de seguridad que han hecho los titulares el año pasado han sido ataques internos, no fuera hacks. Mitigar el riesgo de ataques internos que pueden conducir a una interrupción de incumplimiento o sistema de datos es una preocupación fundamental.
Hay varios factores que han llevado a un aumento de incidentes internos, incluyendo intercambio de credenciales de la cuenta de usuarios privilegiados con numerosas credenciales a través de sistemas y asignar privilegios que son demasiado amplios con respecto a las responsabilidades de trabajo del usuario. Muchas organizaciones han privilegiado los usuarios que están geográficamente dispersos, por lo que las organizaciones deben tener visibilidad de las actividades de los usuarios y administradores locales y remotos.
Por ejemplo, la auditoría de la actividad del usuario puede crear la responsabilidad necesaria para la seguridad y cumplimiento de normas, incluyendo:
- Captura y buscando la actividad del usuario, por lo que se pueden examinar acciones sospechosas para determinar si se está produciendo un ataque — antes de que el daño está hecho.
- Cambiar el comportamiento de usuario privilegiado a través de medidas preventivas, asegurando que empleados de confianza no tomando atajos y garantizar empleados descontentos saben acciones maliciosas será grabada.
- Establecer un registro claro, sin ambigüedades de prueba en procedimientos judiciales y de solución de controversias.
Las amenazas de información privilegiada no van a desaparecer. Un informe de los Estados Unidos Computer Emergency Readiness Team o US-CERT (producido en cooperación con los Estados Unidos. Servicio secreto), estima que el 86 por ciento de los incidentes de sabotaje interno equipo son perpetrados por una empresa propia de los trabajadores de la tecnología. También afirma que 33 por ciento de los participantes de la encuesta de vigilancia de seguridad cibernética de 2011 respondió que ataques internos son más costosos que los externos.
Acceso a terceros, solución de problemas y formación
Entorno de negocios actual está impulsando las empresas para buscar rentabilidad en todos los niveles operacionales. Outsourcing, deslocalización y cloud computing están dando las organizaciones agilidad, flexibilidad y el control de costo que necesitan para seguir siendo competitivas.
Sin embargo, usted y su organización siguen siendo responsables de la seguridad y el cumplimiento de los sistemas de TI. Esto se hace claro en los requerimientos de cumplimiento recién revisada que llaman específicamente su responsabilidad al contratar proveedores independientes de software, proveedores de servicios y empresas de subcontratación. De hecho, la tecnología de la información de salud para mejoras económico y clínicas de salud de ley o HITECH, HIPAA cerrado uno de las últimas lagunas relacionadas con la responsabilidad de terceros.
Acceso de usuario de terceros crea aún más impulso para implementar la auditoría. Además de ataques internos y las exigencias de cumplimiento, acceso de terceros aumenta la presión rápidamente solucionar sistemas enfermos, procesos críticos de auto-documento y crear procedimientos de capacitación para personal mano-offs. Estos eventos ocurren con más frecuencia con contratistas y proveedores de servicios.
Tácticas de auditorías
Ahora que está claro puede justificar la auditoría de la infraestructura de Windows Server, ¿cuáles son algunas de las tácticas que puede tomar y cuáles son los pros y contras de cada uno? La mayoría de regímenes de auditorías utilizan sistemas y colección de archivos de registro de seguridad y agregación.
Hay docenas de proveedores que ofrecen administración de archivos de registro y gestión de eventos de seguridad. Un inconveniente de depender exclusivamente de administración de registros para su enfoque de auditoría es que los archivos de registro a menudo proporcionan un cuadro incompleto de lo que realmente ha ocurrido. Las grandes cantidades de datos de evento y gestión intrascendente a menudo no están detalladas suficiente para determinar que el usuario realiza acciones específicas en un sistema que dio lugar a un fallo del sistema o un ataque.
Interpretar archivos de registro es lenta y requiere conocimientos especializados. Datos de registro están útiles para el nivel superior de alerta y notificación, pero eventos registrados no vinculados a las acciones de un usuario específico. Análisis de causa de origen y solución de problemas no proporcionan la rendición de cuentas demanda de cumplimiento de normas reglamentarias y las mejores prácticas de seguridad.
Otro factor crítico es la falta de visibilidad, debido a que algunas aplicaciones tienen poca o ninguna auditoría interna. Esto sucede a menudo con aplicaciones personalizadas. Capacidades de auditoría podrían no ser la más alta prioridad y los desarrolladores podrían no entender que las necesidades de auditoría de la organización, incluyendo el nivel de detalle exigido y la importancia de garantizar el acceso al registro de datos en sí. Muchas de las aplicaciones empresariales son también altamente personalizadas, por lo que podrían acabar no registro eventos críticos.
Otro enfoque es archivo de auditoría de cambio. Un cambio en un archivo de crítico a veces puede reflejar un acontecimiento importante como el acceso indebido a algo parecido a una hoja de cálculo de nómina. Requerimientos reglamentarios específicos piden uso de cambio de archivo de seguimiento, incluyendo secciones HIPAA 164.312 y 164.316, así como PCI sección 11.5. Estos Estado debe "implementar integración de archivo personal de software de supervisión al personal de alerta para la modificación no autorizada de archivos críticos del sistema, archivos de configuración o archivos de contenido."
La desventaja de este enfoque es que muchos de sus datos críticos se almacenan en bases de datos que no puede detectar el cambio de archivo genérico OS específico seguimiento. A menudo la sobrecarga asociada con cambios en el archivo de auditoría es demasiado prohibitiva.
Una tercera y más reciente enfoque es actividad de nivel de usuario de supervisión. Soluciones para este tipo de vigilancia aumentan la visibilidad y le dan un claro entendimiento de las intenciones, acciones y resultados de la actividad del usuario. Este enfoque también puede generar alertas de nivel superior que apuntarán a datos más detallados sobre las acciones, eventos y comandos que condujeron a la alerta.
Sólo puede recoger estos metadatos importantes capturando datos críticos centrado en el usuarios. No se puede reconstruir esto de datos de registro de sistema y aplicación. La desventaja de este enfoque incluye la necesidad de capturar grandes cantidades de datos en una base de datos centralizada. Al igual que algunos otros enfoques, esto probablemente requiere infraestructura adicional.
Al final, cuando Windows Server más críticas para la misión de auditoría, debe utilizar los tres enfoques: registro-, nivel de usuario y archivos de auditoría. Esto le dará una visión de 360 grados de lo que está sucediendo en sus servidores. Los riesgos de auditoría no incluyan violaciones de seguridad de datos; pérdida de reputación y negocio; importantes multas por falta de cumplimiento de normas; y pérdida de visibilidad con respecto a lo que hacen en sus sistemas de terceros. La expresión, "Mejor prevenir que curar," definitivamente se aplica a la hora de auditar los servidores de Windows.
.png)
Tom Kemp es cofundador y Director Ejecutivo de proveedor de seguridad Centrify Corp., un software y nube. Antes de Centrify, Kemp ocupó diversos roles ejecutivos, técnicos y de marketing en NetIQ Corp., Compuware Corp., Software de ecosistemas y Oracle Corp. Posee una licenciatura en Ciencias de la computación y en la historia de la Universidad de Michigan.