13:3030 марта 201813:30
263просмотров
13:3030 марта 2018
Евгений Зорин, ведущий инженер по сетевым решениям LWCOM:
Несмотря на огромное количество информации, средств и решений по защите ИТ-инфраструктуры, мы как сетевой интегратор в процессе выполнения аудитов и работ у заказчиков регулярно сталкиваемся с несоблюдением базовых правил эксплуатации систем безопасности. Зачастую это связано с неправильным представлением о процессе защиты ИТ-инфраструктуры. Одно из распространенных заблуждений — уверенность в том, что, купив готовое решение («коробку») от известного производителя, можно раз и навсегда решить проблему защиты информации и не возвращаться к этому вопросу никогда. Мы постараемся развенчать этот миф и поделиться некоторыми рекомендациями, которые помогут избежать ошибок при эксплуатации ИТ-инфраструктуры.
В первую очередь нужно понимать, что обеспечение безопасности ИТ-инфраструктуры включает в себя целый комплекс работ, который не ограничивается только приобретением и разовой установкой решения: любая система безопасности требует дальнейшего мониторинга событий и своевременной модернизации. Покупка коробочного решения (будь то ПО или железо) не будет «той самой пилюлей от всех болезней», ниже мы объясним почему.
Параметры коробочного решения, которые стоят по умолчанию, не могут одинаково хорошо подойти каждой конкретной организации. Установленное решение будет работать с настройками по умолчанию, в которых какие-то параметры будут нужны для заказчика, какие-то нет, а в некоторых случаях они даже могут негативно влиять на работу всей системы. Именно поэтому требуется тонкая доработка параметров устанавливаемого решения под конкретную сеть заказчика.
Помимо доработки необходим постоянный мониторинг событий журналов систем безопасности. Его можно производить в ручном режиме или воспользоваться автоматизированными системами мониторинга информационной безопасности (SIEM, Security Information and Event Management). Что они делают: собирают и анализируют данные средств защиты, ИТ-сервисов и приложений, сетевых устройств и т.д. Благодаря SIEM отпадает необходимость вручную просматривать отчеты с каждого устройства, SIEM осуществит сводку всех данных и подготовит статистику в нужном формате. Однако у такого решения есть один существенный минус — его стоимость. Как правило, его могут себе позволить представители крупного бизнеса, имеющие сложную разветвленную ИТ-инфраструктуру, которую они готовы обслуживать.
Следите ли вы за новостями информационных технологий? Если нет — зря, а если следите — то делать это нужно регулярно. Ваша сеть может быть под угрозой заражения вирусом (шифровальщиком, например), если не предпримите вовремя меры. Прочитали, что появился новый вирус, — проверили правила и настройки на межсетевом экране и других системах. И такой алгоритм нужно проделывать каждый день: анализировать новости и соотносить с ними конфигурацию своей системы защиты.
Немаловажным условием безотказной работы средств защиты ИТ-инфраструктуры является установка на постоянной основе обновлений операционной системы, программного обеспечения и всех устройств безопасности. Однако и здесь надо понимать, что не все выходящие обновления подходят под параметры конкретно вашей сети, какие-то из них будут просто лишними и не требующими установки именно вам. Даже если вендор максимально адаптировал свое решение, все равно необходим контроль загрузок и установок выпускаемых обновлений.
В своей практике мы часто наблюдаем следующую картину: заказчик приобретает готовое решение, и оно первое время успешно выполняет свои задачи, далее заказчик благополучно забывает о дальнейшем обслуживании системы безопасности, не отслеживает обновления и не следит за новостями, не осуществляет своевременную корректировку параметров и т.д. В итоге конфигурация устаревает, и, соответственно, резко повышаются риски возникновения ошибок и заражения вредоносным ПО. Чтобы подобного не происходило, а ваша ИТ-инфраструктура была защищена, нельзя ограничиваться только покупкой готового решения. Даже самый передовой продукт требует детальной проработки под конкретную сеть и дальнейшего регулярного отслеживания ее состояния. Такую работу могут выполнять специалисты службы безопасности либо опытные системные администраторы. Если у вас нет выделенного под данные задачи человека, то можно воспользоваться услугами сетевых интеграторов, которые смогут оказать техническую поддержку и обеспечить грамотное сопровождение вашей ИТ-инфраструктуры.
