Наступила пора делиться опытом по внедрению средств защиты информации
Заказчик, начитавшись «страшилок» про атаки на веб сервера, пришел с готовым решением, но при этом самостоятельно не готов проводить внедрение, попросил привлечь ресурсы инженера разработчика на стадии тестирования.
Обсудив план внедрения, получили одобрение от производителя, для проведения тестирования мы пригласили инженера с техническим сертификатом производителя. При этом у заказчика присутствовало убеждение, что внедряемое решение даст значительные задержки в работе веб серверов и могут быть отказы, что скажется на его репутации очень уважаемого органа власти.
Выбрав не самый лучший режим работы средства защиты веб сервера, заказчик убедил инженера, что режим работы «снифера» (средство защиты только наблюдает за поведением пользователей и фиксирует в журналах о проведенной атаке на веб сервер) будет достаточный и интереса для нарушителей данный вер сервер не представляет. Система была установлена и про нее все забыли.
В существующих реалиях нарушителей все-таки заинтересовало содержимое баз данных веб сервера и заказчик получил информацию, что атаки участились, но просматривать журналы и своевременно реагировать на атаки у заказчика не хватало ресурсов. Поэтому принято решение использовать систему защиты веб сервера в режиме обратного прокси сервера, в разрыв между открытой сетью Интернет и веб сервером.
Самое сложное оказалось согласовать схему внедрения между службой ИТ и Службой ИБ. Битва умов закончилась согласованной схемой, но в нее постоянно добавлялись новые протоколы и порты, пожелания разработчиков были самые одиозные.
Спустя месяц упростив схему до начальной, начали внедрение. При внедрении столкнулись со сложностями при настройке каналов до сервера по тем или иным портам или протоколам. Рано или поздно добились нормально взаимодействия со службами ИТ и ИБ получили вполне работоспособную систему защиты веб сервера, но затраченное на настройку время увеличилось до нескольких недель постоянных переговоров и совещаний.
В настоящее время веб сервера (их количество увеличивается) работают под неусыпным контролем системы защиты. При этом задержек в работе не наблюдается.
По результатам данного опыта родились следующие советы:
Не нужно идти на поводу у ИТ службы, нужно уверенно диктовать условия внедрения средств защиты информации, учитывая особенности работы веб сервера.
Перед началом внедрения обязательно согласовывать подробную схему, привлекать администраторов сети и разработчиков сервера в процессы настройки.
Учитывая особенности работы чиновников (очень любят разного рода совещания) закладывать больше времени на внедрение.