Platinum Bank является лидирующим и быстрорастущим розничным банком в Украине с более 1,5 миллионами клиентов. Банк обратился к Dell Software, когда ему понадобилась помощь в улучшении аудита Windows и управлении журналом событий для соответствия стандартам безопасности.
Одной из главных сфер ответственности подразделения информационной безопасности Platinum Bank является отслеживание подозрительной активности пользователей. Это позволяет обеспечить высокий уровень безопасности ИТ систем, а также защитить репутацию банка в целом. С этой целью банк решил внедрить систему управления инцидентами и событиями информационной безопасности (SIEM). Это также, отчасти, было вызвано необходимостью соответствия глобальному стандарту безопасности данных PCI DSS и стандарту ISO 27001.
Аудит AD и управление журналом событий для безопасности и соответствия стандартам безопасности
Для защиты среды Windows и аудита критически важных систем, банку необходимо было понимать, что происходит внутри инфраструктуры, основанной на Active Directory.
В задачу входило обеспечение мониторинга изменений среды, к примеру, кто из администраторов AD внес изменение и, как это изменение повлияло на AD и ее 4528 пользователей. Также, банку необходимы были журналы событий из нескольких критичных систем: Microsoft Exchange, Active Directory и файловых серверов, которые необходимо было собирать в единую централизованную базу, архивировать и сопоставлять с другими событиями для расследования инцидентов.
Выбор решений, предоставляющих необходимую функциональность
Специалисты подразделения информационной безопасности Platinum Bank посетили мероприятие, организованное компанией БАКОТЕК, которая является локальным партнером Dell Software. На мероприятии были продемонстрированы решения для аудита AD и безопасности гетерогенных сред от Dell Software. Кроме этих решений, банк рассматривал также решения от Symantec и ArcSight. Platinum Bank также провел несколько пилотных проектов, проанализировал отчеты Gartner, и, в конце концов, выбрал решения от Dell Software – Change Auditor for Active Directory, Change Auditor for Exchange и InTrust, так как они предлагали необходимый уровень функциональности, в то же время будучи наиболее рентабельными.
ChangeAuditor как инструмент аудита изменений и оповещения о них в реальном времени
Change Auditor for Active Directory является мощным инструментом для аудита Active Directory, который активно следит, составляет отчеты и уведомляет о важных изменениях в AD – в реальном времени и без использования стандартных средств аудита. Этот инструмент улучшает безопасность, немедленно указывая на то, кто проводил изменения, когда, где и с какой рабочий станции, исключая риски, связанные с ежедневными модификациями среды. Также, продукт позволяет сравнивать базовое и текущее состояние среды для быстрого определения и устранения проблем. Для соответствия стандартам безопасности Change Auditor for AD позволяет составлять отчеты различного уровня для аудиторов, руководства и ИТ специалистов.
Change Auditor for Exchange проводит аудит и составляет отчеты, уведомляет об изменениях в конфигурации и правах доступа Microsoft Exchange Server, включая критически важные изменения в административных группах и политиках почтовых ящиков. Система уведомляет обо всех важных изменениях, таких как изменения в политиках ActiveSync, изменений в списках рассылки и т.д. К тому же, продукт автоматически составляет детальные отчеты для анализа нарушений политик безопасности, рисков и ошибок, связанных с ежедневными модификациями.
Platinum Bank был впечатлен широким выбором предустановленных в Change Auditor шаблонов, которые уменьшают время внедрения, а также его веб-интерфейс. InTrust предоставляет эффективное и централизованное решение для управления журналом событий InTrust предоставляет управление журналами событий для безопасности и соответствия стандартам безопасности. Система безопасно собирает, сохраняет, составляет отчеты и уведомляет о событиях в Windows, Linux и Unix системах, помогая организации соответствовать внешним стандартам, внутренним политикам и лучшим практикам безопасности. InTrust помогает соответствовать стандартам безопасности и получить глубокий обзор пользовательской активности с помощью аудита пользовательского доступа к критически важным системам, коррелируя информацию о времени входа и выхода из систем. InTrust определяет подозрительные события, связанные с доступом, в реальном времени. Инструмент позволяет легко собирать, анализировать, составлять отчеты и автоматически отправлять уведомления в реальном времени для всех релевантных событий, связанных с доступом по всей сети.
Специалистов подразделения информационной безопасности банка, в особенности, привлекла возможность интеграции InTrust и Change Auditor для осуществления аудита разнородных систем, сбора, приведения в единый вид всех событий безопасности и корреляции их между собой.
Несмотря на то, что решение от Dell предназначено для подразделения информационной безопасности банка, у рядовых системных администраторов также имеется доступ к консоли Change Auditor для контроля изменений в среде AD.
Улучшенная безопасность защищает продуктивность работы банка Расширенные возможности по контролю изменений и отслеживанию событий, доступные в Change Auditor и InTrust, предоставляют наглядный обзор критичной для Platinum Bank инфраструктуры AD, что значительно повышает безопасность этой среды. «Наши решения от Dell Software гарантируют, что угрозы ИТ безопасности не повлияют на работу 4528 наших пользователей и продуктивность банка», – сказал Сергей Попов, Директор по информационным и коммуникационным технологиям, член правления Platinum Bank. Например, мы используем Change Auditor for Exchange для аудита прав доступа к почтовым ящикам и ограничения доступа к критическим объектам в соответствии с нашей корпоративной политикой.».
Быстрое решение проблем с AD минимизирует время возможного простоя
Как результат внедрения решений Dell Software, Platinum Bank получил значительную экономию времени при решении проблем с AD.
«Возможности Change Auditor и InTrust по расследованию инцидентов дают возможность восстанавливать некорректно измененные объекты AD намного быстрее: в течение нескольких часов вместо нескольких дней», – объясняет Сергей Попов. – Например, случайное изменение в наших групповых политиках привело к тому, что несколько важных рабочих станций наших пользователей постоянно перезагружались. Если бы это продолжалось, то привело бы к недоступности данных с любой из них. Вместо этого, Change Auditor оповестил нас об ошибке, позволяя нам сразу исправить ее, уменьшив время простоя до минимума». Похожая экономия времени была достигнута банком после того, когда скрипты привели к проблемам с пользовательскими атрибутами в AD.
Соответствие отраслевым стандартам
Использование Platinum Bank решения от Dell Software обеспечивает его соответствие с правилами и стандартами отрасли. «Соответствие отраслевым стандартам является главным стимулом этого проекта. Change Auditor и InTrust полностью удовлетворяют запросы наших аудиторов и менеджмента», – отмечает Сергей Попов.