Diferencia entre la transferencia de archivos legítima y la exfiltración de datos de archivos confidenciales mediante FTP

Navega tus respuestas
0

Tengo registros de FTP y algunos otros registros que suponen que el entorno corporativo está monitoreado activamente. ¿Cómo sabría que el usuario está usando ftp para transferir un archivo normal y no está usando el mismo para transferir un archivo confidencial de una organización? o en otras palabras, ¿cómo identificaría I (como analista social) que el servidor ftp es el servidor que la empresa no está utilizando para el almacenamiento de datos, pero el empleado está utilizando ese servidor ftp en particular para el almacenamiento de datos? Y la transferencia de datos a ese servidor se considerará como Exfiltración de datos. Supongamos que tiene acceso a todos los registros y que puede usarlos para el análisis. Agradecería que alguien me explicara qué registros debo considerar y qué campos son críticos en esos registros y cómo.

    
pregunta Nicz.cool 05.03.2018 - 02:36
fuente

1 respuesta

2

Lo que está buscando es la intención del usuario en el momento en que realizan la operación, y eso es muy difícil de determinar solo a partir de los registros. Algunos factores a considerar:

  1. ¿Cuál es el volumen de datos que se transfieren?
  2. ¿El punto final remoto pertenece a su empresa o a una empresa asociada?
  3. ¿Este usuario ha realizado transferencias de este tipo en el pasado o es un comportamiento inusual para el usuario?
  4. ¿Los archivos que se transfieren tienen sentido como un único conjunto de datos lógicos?
  5. ¿Se han conectado otros usuarios a ese host antes?

Este es el motivo por el que los buenos analistas son tan críticos: pueden combinar la información de los registros con otra información disponible para ellos. Información fuera de los registros que podría ser útil en este caso:

  1. El rol del usuario en la empresa, y cómo se relaciona tanto con los datos a los que se accede como con la transferencia en sí.
  2. La hora del día en la ubicación del usuario.
  3. Cualquier error abierto / tickets / órdenes de trabajo que soliciten la transferencia de datos.
  4. La duración del empleo del usuario.

Al final del día, necesita mucha más información para determinar el motivo de una acción en particular. Los registros por sí solos no son suficientes.

    
respondido por el David 05.03.2018 - 03:30
fuente

Lea otras preguntas en las etiquetas

Correo electrónico en seguridad de base de datos vs rendimiento [cerrado] ¿Cuál es el riesgo de descargar un .pdf de un correo electrónico de phishing?