Detección de patrones anormales de acceso a archivos

Navega tus respuestas
0

Una empresa permite a sus desarrolladores acceder a instantáneas de su base de código completa a través de un recurso compartido de red local. Para realizar su trabajo, los desarrolladores compilan el código diariamente, donde cada compilación lee un conjunto de archivos del código base, transfiriendo los datos desde el recurso compartido de red a su máquina de desarrollo local. Para propósitos de conveniencia, la compañía permite a sus desarrolladores acceder a sus máquinas de desarrollo local, y el acceso al puerto USB no está restringido.

En este entorno, un desarrollador malintencionado podría leer cada archivo del recurso compartido de red y almacenar esos archivos en una unidad externa localmente, lo que es (obviamente) un riesgo de seguridad. Si la compañía desea recibir notificaciones de patrones de acceso a datos sospechosos en el recurso compartido de red, utilizando solo las herramientas en el servidor que aloja el recurso compartido, ¿cómo harían esto para hacerlo?

Idealmente, este sistema podría extenderse a cualquier conjunto grande de archivos alojados en un recurso compartido de red. En un ejemplo, el servidor reconocería que a los archivos .h y .cpp para una parte particular del código se acceden frecuentemente juntos, y no se lanzan banderas rojas si se accede a ambos en un corto intervalo. Sin embargo, si se accede a un gran número de archivos no relacionados en un corto período de tiempo, eso debería arrojar una bandera roja.

    
pregunta LivingInformation 08.06.2016 - 22:10
fuente

3 respuestas

1

Parece que desea considerar las herramientas de prevención de pérdida de datos ( enlace ).

Sin embargo, antes de ir directamente a la solución tecnológica, debe comprender cómo es el acceso a archivos "normal". Si no sabe cómo se ve, es imposible saber qué aspecto tiene algo anormal. Esto es similar a enseñar a IDS / IPS cómo es la red.

    
respondido por el Colin Cassidy 10.06.2016 - 10:21
fuente
1

Hay bastantes productos eDLP comerciales que pueden intentar hacer esto utilizando algoritmos de aprendizaje automático, o probablemente pueda escribir algo que incluya información y alertas sobre tendencias específicas de eventos de lectura (pynotify - > elasticsearch - > percolate quizás), pero dado su entorno de trabajo, me parece que está preocupado por arreglar una ventana con corrientes de aire cuando ni siquiera tiene un techo.

La administración local y el acceso USB sin restricciones son sus dos primeros problemas. Puede tener el detector de patrones de acceso a archivos anómalos más sofisticado jamás concebido, pero eso no cambia el hecho de que ha perdido toda la visibilidad de lo que sucede con los datos a los que se accede de manera aceptable en el momento en que se coloca en la memoria USB de alguien.

Todos los desarrolladores que tienen acceso a todo el código base son su tercer problema. Es de suponer que no se trata de PII, por lo que simplemente acceder a los archivos, independientemente de la velocidad, no es inherentemente sospechoso. He notado que las personas tienden a exfilear de una de las tres formas siguientes:

  • "Sé que voy a renunciar / ser despedido, así que me voy a llevar TODO"
  • "Tengo un empleo constante, pero no me pagan lo suficiente, así que voy a filtrar y vender (activo de datos) pieza por pieza con el tiempo".
  • "Tengo un empleo constante y soy un idiota, así que voy a tomar TODO y revenderlo"

El segundo caso es el dolor más grande. Esta persona recopilará datos poco a poco con el tiempo antes de ser eliminado (# 1).

La verdadera amenaza para usted es que tiene no la forma de saber qué están haciendo con estos archivos después de que hayan accedido a ellos, de manera anormal o no. No suena como si hubiera algo que les impidiera hacer un empujón de todo lo que ya tienen autorizado. Le sugiero que aborde eso primero.

Mientras tanto, dependiendo del tamaño de su tienda, probablemente experimentará un retorno de la inversión más rápido que correlaciona un alto número de lecturas luego de la notificación de renuncia de los empleados. Lo vemos todo el tiempo.

    
respondido por el Ivan 08.09.2016 - 16:37
fuente
0

Sí, creo que esto es completamente posible. Para definir cómo se ve el comportamiento normal o típico de acceso a archivos, necesitaría dedicar algo de tiempo a registrar la actividad de cada individuo.

Un análisis de estos datos le permitiría definir parámetros de acceso normales. Esto sería cosas como el número de solicitudes de archivos, la duración entre las solicitudes (para diferenciar entre las solicitudes de acceso manual y automatizado), la frecuencia de pares anterior con la que se accede a los archivos. Podría, como sugirió, construir una red o un gráfico para representar grupos de archivos a los que comúnmente se accede juntos. Los diversos parámetros que caracterizan la red, como las distancias de ruta más cortas entre los archivos a los que se accede, o algún tipo de función de "costo" definida mediante la suma de los bordes ponderados, podrían calcularse para acciones individuales.

En resumen, necesitaría establecer perfiles de uso típicos en términos de los parámetros anteriores. Las acciones individuales se pueden caracterizar por los mismos parámetros y se pueden comparar con los perfiles típicos para detectar comportamientos aberrantes o "valores atípicos".

Los desafíos son diseñar un sistema que recopile el comportamiento de acceso a los archivos, establezca parámetros o patrones estadísticos que puedan caracterizar el uso normal, y luego implemente un sistema de monitoreo en tiempo real que genere una alerta cuando se detecten patrones de acceso atípicos. Alguien que copie franjas enteras de archivos en un disco externo debería ser bastante fácil de atrapar.

    
respondido por el slabofguinness 08.09.2016 - 14:35
fuente

Lea otras preguntas en las etiquetas

Certificado extraño en llavero ¿Admite Dropbear la revocación de la clave SSH?