戻る

ネットワークコンプライアンス監査の問題の主な理由

著者注 by 2019 年 5 月 14 日

疑いの余地なく、ネットワーク監査の準備は、数週間 (場合によっては数か月) かかる、時間と労力を要する試練です。ほとんどのエンタープライズ ネットワーク チームと同様、監査人のためにすべてをまとめた頃には、ネットワークが変更されているため、すべてが時代遅れになっています。

コンプライアンスは動く目標です。 今日のネットワークにおける変化の量、速度、および多様性は、前例のないものです。 そして、それはすぐには収まりません。 私たちは、絶え間なく変化する環境から、瞬間的に変化する環境へと移行しました。

「手作業で」コンプライアンスを確保しようとすることは、無駄な行為です。 義務化された規制 (PCI DSS、HIPAA、SOX、GLBA) と業界標準 (ISO 27001/2、NIST) の順守を要求する無限のパレードがあるため、自動化はネットワーク監査に継続的に合格するための唯一の方法です。色。

コンプライアンス

ネットワーク監査が失敗する主な理由

ネットワーク監査は、 会計監査(昔、私は州会計監査局で働いていて、何百もの監査報告書を書きました。)財務監査人は基本的に、適切な内部統制(いわゆる「ポリシー」)があるかどうかを確認し、次に統計的に有意な取引サンプル(通常は組織の規模に応じて約 1 ~ 2%)を調査します。これは非常に単純明快です。すべてが Hoyle に従って会計処理されているか、そうでないかのどちらかです。途中でおかしな会計処理があったとしても、ほとんどの場合、監査の時点で物事が整理され、コンプライアンスが遵守されていれば、監査人は満足します。

ネットワーク監査ではそうではありません。IT管理者は、ネットワークが規制基準を満たしていることを示すだけでなく、 たった今 だけでなく、それが任意の時間枠内で行われたこと これまで. さらに、ほとんどの規制コンプライアンス基準は、あなたが取っていることを義務付けています 積極的な 機密データを保護し、脆弱性を閉じるための対策。

「手作業で」コンプライアンスを確保しようとすることは、無駄な行為です。 監査人のためにすべてを組み立てたときには、ネットワークが変更されているため、すべてが時代遅れになっています。

ほとんどのネットワーク監査の問題は、次の XNUMX つの一般的な原因にまでさかのぼることができます。

  1. するのは難しい コンプライアンスを証明する — 「ルール」の範囲内で運用している場合でも、バックアップとなる最新のドキュメントはありません。
  2. あなたが遭遇する コンプライアンス ドリフト: ファイアウォール、ポリシー、ルール、および例外に対するすべての絶え間ない変更がコンプライアンスにどのように影響するかを追跡するのは難しいため、ネットワークはコンプライアンス違反の状態に戻ります.

2a の結果: 一方のチーム (SecOps)がネットワークの「ゴールデン ルール」とセキュリティ ポリシーの定義を担当し、別のチーム(NetOps)がネットワークの変更を担当します。 また、この XNUMX つのチームは、互いに協力するための効果的な手段を常に持っているとは限りません。

監査人が期待することと、それが問題である理由

検証しているコンプライアンス規制や基準が何であれ、監査人はドキュメント、つまり大量のドキュメントを見たいと思っています。

通常、このドキュメントは Visio の図と Word の設計ドキュメントで構成されます。ほとんどの組織が直面している問題は、図がほとんど常に最新のものではないことです。私たちの最近の調査では、エンジニアの 61 パーセントが、ネットワーク ドキュメントの最大半分が古いと回答しました。

経理担当者または会計士が毎日帳簿をつけている財務チームとは異なり、ネットワーク チームには、すべての変更を文書化する専任の担当者がいることがめったにありません。 私たちは皆、すべてを文書化する必要があることを知っていますが、誰も時間がありません。 (後で説明しますが、「後で」ということは決してありません。) そして最大の理由は、大部分 (87%) のチームがまだ手動で図を作成および更新する方法に依存しており、手動の文書化には時間がかかりすぎることです。 .

文書の時間効果

簡単なトポロジ図を生成するのに役立つツールが世の中にある一方で、監査人は、ファイアウォール ルール、アクセス リスト、ポリシーベースのルーティング、構成強化など (現在および過去の両方) の基本的な設計とポリシーに関するドキュメントも要求します。 そして、彼らは、このドキュメントがオンデマンドで提供されることをますます期待しています。

監査人が基本的に求めているのは、機密データが保護されているという保証です。 デバイスが保護されているかどうか (適切な認証、パスワードの暗号化、実行タイムアウト、Telnet の無効化など) と、特定のグループのみがアクセスできるように、特定の情報へのアクセスを制限するサブネットにネットワークがセグメント化されているかどうかを確認します。

これは、収集、分析、および文書化するための大量のデータです。 アプリケーション トラフィックがたどる可能性のあるすべてのパスは言うまでもありません。 今日だけでなく、先週、先月など、監査人がテストすることを選択した時間枠は何でも。 コンプライアンスを証明するために文書を手に入れることは、せいぜい挑戦です。 最悪の場合、数週間の有利なスタートなしでは事実上不可能です。

監査人が要求したらすぐに包括的な文書を提供することで、物事がよりスムーズに進みます。 監査対象者が物事をまとめるために慌てて動き回らなければならないのを見ることほど、監査人を「厳戒態勢」に置くものはありません。

 

経験から言えば、監査人が求めたらすぐに包括的な文書を提供すると、物事がはるかにスムーズに進むと言えます。 監査対象者が物事をまとめるために慌てて動き回らなければならないのを見ることほど、監査人を「厳戒態勢」に置くものはありません。 多くの場合、文書化における最大の課題の XNUMX つは、最も基本的なものであり、正確な在庫レポートを作成することです。 多くの企業は、ネットワーク全体にどのようなデバイスがあるかを正確に把握するのに苦労しています。 目録の文書化は常に監査人が最初に要求することの XNUMX つであるため、最初から XNUMX ボールに遅れをとることは望ましくありません。

ダイナミック ドキュメント 「エビデンス」を自動で提供 

NetBrain 監査人に必要なものがすべて手元にあることを保証します。 それはすべてから始まります ディープ インテリジェント ディスカバリー ネットワークの。 SNMPだけでなくCLIも利用して、 NetBrainさん discovery engine ネットワーク全体のデータ モデルを構築します。このモデルは、構成ファイル、ルート テーブル、CDP/ARP/MAC/STP テーブル、インベントリ情報など、すべてを自動的に文書化します。定期的なネットワーク検出 (ベンチマークと呼ばれる) により、ネットワーク全体のこの「デジタル ツイン」が正確で最新の状態に保たれます。これらの定期的なベンチマーク (実行頻度は定義できます) は、ネットワーク監査中に参照して、時間の経過に伴うコンプライアンスを実証できるログ データのリポジトリを提供します。

この深いネットワーク インテリジェンスを活用して、比類のない精度と速度で、データが豊富なネットワーク マップを動的に作成します。 これらは Dynamic Maps 鳥瞰図、キャンパス マップ、特にトラフィック フローとリンク使用率のライブ マップと履歴マップなど、監査人が見たいと思う可能性のあるあらゆる種類の図を生成するためにオンデマンドで作成されます。 実際、すべてのコンプライアンス規制では、すべてのデータ センターと WAN パスの正常な状態と障害のある状態の図を維持する必要があります。

このタイプのマップは、さまざまなデバイスにログインしてルーティング情報を確認し、リアルタイムのトラフィック フローとリンクの使用状況を把握する必要があるため、手動で作成することは困難です。 この種のマップをゼロから手動で作成すると、エラーが発生しやすく、静的であり、ライブ ネットワークを十分に反映していない可能性があります。

 

NetBrain AB パスNetBrainの A/B Path Calculator は、ACL 構成の表示を含め、あらゆるパスをマップします。

それはどこですか NetBrainさん A/B パス計算機 貴重です。 送信元アドレスと宛先アドレスを入力するだけで、 NetBrain 仮想デバイス全体で、ファイアウォールとロード バランサーを介して、パス全体をエンド ツー エンドで動的にマッピングします。 NetBrainの定期的なベンチマークは、将来的には、履歴フロー ダイアグラムも取得できることを意味します。

これらのマップは動的です。つまり、オンザフライで自動更新されるだけでなく、ほぼすべての詳細にドリルダウンできます。 静的図のアイコンは、デバイスの存在を表すピクトグラムにすぎませんが、 Dynamic Mapはインタラクティブでデータ駆動型です。それらをクリックすると、「デジタル ツイン」データ モデルに取り込まれた情報が表示されます。

PCI コンプライアンス監査人が、クレジット カードのトランザクション パスを検証しようとしているとします。 NetBrain PBR、ACL、NAT などを考慮して、パスに沿ったすべてのホップで包括的な分析を実行します。 このすべての情報は、 Dynamic Map.

これはまさに監査人が探している種類の文書であり、エクスポートすることができます Dynamic Maps を Visio に (ほとんどの監査人が必要とする方法です) クリック XNUMX 回で。 NetBrain Visio ダイアグラムを中央リポジトリに一括エクスポートし、定義済みのスケジュールで更新できるほか、Excel の在庫レポートや Word の設計ドキュメントもエクスポートできるため、大量の手動によるネットワーク監査準備作業が不要になります。

ネットワーク監査ワンクリックでエクスポート Dynamic maps を Visio に、在庫レポートを Excel に、高度にカスタマイズ可能な設計レポートを Word に。

自動化によりドリフトを防止し、継続的なコンプライアンスを確保

企業が負うコンプライアンス要件の義務 積極的な ネットワークセキュリティ違反、攻撃、およびその他の脆弱性を防止、検出、封じ込め、および修正するための手段。 どれだけ積極的である必要があるかは特に明確に定義されていませんが、最善のアプローチは 体系的なプロセス 追求する 継続的なコンプライアンス、 要件への準拠が達成され、その後永続的に維持される状態。継続的な準拠により、全体的なセキュリティ体制が向上するだけでなく、ネットワーク監査の準備というリソースを大量に消費する負担から IT チームを解放できます。これは、すでに準備ができているためです。

継続的なコンプライアンスを達成する際に問題が発生するのは、すべてのネットワーク構成を一連のゴールデン ルール (デバイスのパスワードが暗号化されている、タイムアウトが構成されている、ベンダーの既定値がまだ存在しないなど) に照らして検証するのが難しいことです。 最小のネットワーク以外では、エンジニアがすべての構成を手動で分析する方法はありません。 また、カスタム スクリプトはプロセスをわずかに高速化するだけです。大規模になると機能しなくなり、保守が困難になります。

それはどこですか NetBrain 自動化が入ります。

NetBrainの自動化は、すべてのデバイスの構成を調べ、各デバイス内の定義済みルールを検索し、準拠していないデバイスを報告することにより、セキュリティ ポリシー (「ゴールデン ルール」) に対してすべてのネットワーク構成を検証できます。

NetBrainの脆弱性評価技術を3分で解説

 

コンプライアンスの状態になったら、自動化によってその状態を維持できます。 前述のように、最新のネットワークの動的な性質を考えると、組織がコンプライアンス違反に「ドリフト」することは珍しくありません。 実際、構成の変更がワープ速度で発生し、セキュリティ チームがコンプライアンスの不一致を検出するのに苦労している転換点に達しています。 それは自動化によって行われなければなりませんでした。

構成が変更されるたびに、実行可能ファイルを作成できます。 Runbook プログラム可能な一連の手順を自動的に実行して、特定のネットワーク データを収集および分析し、ネットワークがゴールデン ルールに準拠していることを確認します。 それなし NetBrain、これらの手順は通常、CLI で一度に XNUMX つのデバイスで手動で実行されます。 これらの数十 compliance checkは、箱から出してすぐに利用できます NetBrain、ただし、カスタム定義することもできます Runbook 特定の社内または規制コンプライアンスのニーズを満たすための手順。

以下の例では、 Runbook はルーター認証、パスワード暗号化、SSH アクセスなどを自動的にチェックしますが、その他のステップには、SNMP コミュニティ ストリング、インターフェイス ポート セキュリティ、ASA フェイルオーバー ステータスの確認が含まれる場合があります。SNMP または CLI を介して手動でチェックできる情報は、 a Runbook. Runbooks には、今後のセキュリティのベスト プラクティスを実施するのに役立つ設計ガイドとベスト プラクティスが含まれる場合もあります。

イベント管理システムは、変更が発生した瞬間に脆弱性評価を自動トリガーするように構成することもできます。

NIST準拠 runbook 2画像実行可能ファイル Runbookセキュリティとプライバシーに対してネットワークパラメータを自動的に検証 compliance check一覧表示します。

すべて Runbook 結果は Dynamic Map、および各マップは公開 URL からアクセスでき、簡単に共有できます。 ついに、 SecOps NetOps には、コラボレーションと情報の共有のための共通のインターフェイスがあります。

runbook 通知NetBrain Runbook特定のユーザーに警告し、特定のマップへのハイパーリンクを設定することで、コラボレーションと情報の共有を容易にします。

まとめ

ネットワーク監査の準備は、短期間で体重を減らしても数週間以内にすべて元に戻ってしまうようなクラッシュ ダイエットのようなものではありません。しかし、多くの組織ではそれが通常起こっています。ネットワーク監査の時期になると、チームの大部分は、特定のネットワーク監査に合格するためのポリシーの調整、大量のドキュメントの収集、セキュリティ評価の実行 (その他すべての作業に加えて) に集中する必要があります。これを 1 回限りの作業にすると、次回も同じことを繰り返すことになります。

このアプローチは多くの時間とリソースを消費し、必ずしもサイバー脅威に対するネットワークの強化につながるわけではありません。より良いアプローチは、セキュリティ ポリシー (義務付けられた規制に準拠) への継続的な準拠を維持し、常に準拠し、いつでもネットワーク監査に対応できるようにすることです。

手動の方法論を使用して継続的なコンプライアンスを確保することは、今日のネットワークでは事実上不可能です。 それらは複雑すぎて動きが速すぎて、人間が助けなしで追いつくことはできません。 自動化はそれを支援するものであり、ネットワークがコンプライアンス違反に陥らないようにするための唯一の方法です。 NetBrainさん Runbook 自動化により、ネットワークのコンプライアンスを体系的にチェックし、結果を自動文書化できます。 監査人がコンプライアンスの証拠 (現在および過去の証拠) を求めてきた場合、すべてが記録されており、すぐにアクセスできます。

これが、次回のネットワーク監査で成功する最も確実な方法です。

[su_box title=”ネットワーク評価とネットワーク監査の違いは何ですか?” box_color=”#279dd8″]

単なるセマンティクスの問題のように思えるかもしれませんが (実際には非常に似ています)、この XNUMX つの用語は交換可能ではありません。

ネットワーク 監査 組織の現在のネットワーク セキュリティが義務付けられた規制に法的に準拠していることを確認するために実行されます。

ネットワーク 評価 特定の基準が満たされているかどうかを厳密に判断するだけでなく、潜在的なパフォーマンスの問題領域、技術的な脆弱性、およびポリシーと慣行の弱点 (帯域幅のボトルネック、セキュリティ上の欠陥、過小または過大なリソースなど) を特定します。[/su_box]

関連記事