¿Cómo puedo asegurar un recurso compartido de red de la amenaza interna?

Es posible que desee ver FileAudit , ya que esta solución de software supervisa, archiva e informa sobre los accesos (o intentos de acceso) a Datos confidenciales almacenados en sistemas Windows.

Con un clic derecho en el explorador de Windows o desde la consola, FileAudit entrega instantáneamente una lista completa y llena de errores de:

• acceso de lectura / escritura
• intentos de apropiación (aceptados o rechazados)
• intentos de modificación de permisos (aceptados o denegados)

detallando cada registro:

• el usuario
• el dominio
• la fecha y hora de conexión y desconexión

para:

• un archivo
• una selección de archivos
• una carpeta y subcarpetas
• una selección de carpetas y subcarpetas

Si desea evitar a un interno que robe sus datos, supongo que solo tiene una defensa sólida: no les dé acceso a los datos. En otras palabras, use el control de acceso para limitar su acceso a los datos. Si la información privilegiada tiene acceso a todos los datos, la prevención es realmente difícil.

Una alternativa es detectar los signos de tal uso indebido: por ejemplo, cuando alguien ha accedido a más datos de los que usted esperaría que necesitaran legítimamente para los fines de su trabajo. La detección es imperfecta, y no proporciona necesariamente una excelente manera de recuperarse de una fuga de este tipo, pero puede proporcionar cierta disuasión.

No puedo ofrecer una solución basada en Windows para su problema, pero puedo sugerir una para Linux que podría ser adaptable si se adapta a sus necesidades.

Utilice el Samba Audit Module para monitorear y registrar acceso a archivos. Entonces podrás ver qué usuarios acceden a qué archivos.
Luego puede monitorear esto manualmente o escribir un script para detectar una cantidad inusual de actividad de archivos.
Por ejemplo, podría escribir un script para monitorear y si un usuario abre los archivos X en Y minutos, marque una alerta y tal vez bloquee automáticamente su cuenta de usuario hasta que un administrador verifique lo que está pasando. Obviamente, esto no impedirá que la gente robe sus datos, pero al menos le dará una mejor idea de quién lo hizo y quizás los detendrá antes de que obtengan todo.

Resources

• Cómo rastrear el acceso de los usuarios de Windows, crear archivos / modificar archivos en linux SMB

Voy a suponer que ya ha creado permisos de nivel de carpeta. Pero, no menciona si está ejecutando o no un dominio de Active Directory de Windows. Si es así, tendrá un par de excelentes características bajo la manga, que no le costarán nada.

1) Servidor de gestión de derechos de Active Directory (RMS). Esto le brinda control granular sobre el acceso a los documentos, y si las personas pueden o no enviar documentos por correo electrónico, imprimirlos, convertirlos a PDF, etc.

2) espacio de nombres DFS. Muchas personas usan DFS únicamente para replicar archivos. Pero un espacio de nombres DFS también actúa como un archivo compartido virtual. Si la gente conoce el nombre de su servidor de archivos, entonces ellos saben a) dónde están los archivos físicamente yb) a qué servidor atacar! Pero un espacio de nombres actúa como un proxy, por lo que puede enterrar sus archivos en lo más profundo de su red.

El uso de estos en combinación con los permisos NTFS y SMB estándar será una defensa realmente efectiva. Buena suerte

Hay una variedad de productos para hacer esto, por ejemplo, McAfee DLP suite : mucho dependerá de la escala requerida. Solo he visto este trabajo bien en organizaciones pequeñas y medianas, ya que el volumen de datos se vuelve increíblemente difícil de administrar en una organización más grande.

Incluso las organizaciones que tratan de cumplir con los requisitos restringidos / secretos se equivocan (wikileaks, cualquiera :-))

Revelación completa: trabajo para Varonis, pero creo sinceramente que el producto del que estoy a punto de hablar es muy bueno para tratar específicamente las amenazas internas en grandes entornos de intercambio de archivos.

Varonis es una buena opción para esto. Admite archivos compartidos de Windows, UNIX / Linix, OneDrive, Exchange, AD, NAS, SharePoint, etc.

Realiza la administración de permisos (para ayudar a imponer los privilegios mínimos), la auditoría (para que pueda ver lo que están haciendo los usuarios) y las alertas (para que pueda detectar un comportamiento interno anormal).

Funcionalidad de permisos clave:

• Asigna los permisos para que puedas ver quién tiene acceso a qué datos compartidos de archivos
• Escanea el contenido de los archivos para que pueda ver qué carpetas son sensibles y sobreexpuestas
• Vamos a modelar los cambios de permisos en un entorno limitado para que pueda ver a los usuarios que se verán afectados
• Ejecutar cambios de permisos directamente desde Varonis

Funcionalidad de auditoría / alerta clave:

• Captura toda la actividad del recurso compartido de archivos de todos los usuarios en un registro de auditoría con capacidad de búsqueda
• Hace referencia al comportamiento de los usuarios (todos los archivos abrir / mover / modificar / eliminar)
• Alertas cuando se produce un comportamiento anormal (un usuario interno decide tomar un montón de archivos que no ha tocado durante mucho tiempo, una cuenta de servicio toca los datos del usuario, etc.)
• Puede enviar alertas a su SIEM para correlación

Aquí hay curso de video gratuito (no de ventas en absoluto) sobre amenazas internas desarrolladas por Microsoft Regional Director / MVP Troy Hunt. Es una visión general muy buena de todo el problema de amenazas internas y habla sobre medidas defensivas.