Revelación completa: trabajo para Varonis, pero creo sinceramente que el producto del que estoy a punto de hablar es muy bueno para tratar específicamente las amenazas internas en grandes entornos de intercambio de archivos.
Varonis es una buena opción para esto. Admite archivos compartidos de Windows, UNIX / Linix, OneDrive, Exchange, AD, NAS, SharePoint, etc.
Realiza la administración de permisos (para ayudar a imponer los privilegios mínimos), la auditoría (para que pueda ver lo que están haciendo los usuarios) y las alertas (para que pueda detectar un comportamiento interno anormal).
Funcionalidad de permisos clave:
- Asigna los permisos para que puedas ver quién tiene acceso a qué datos compartidos de archivos
- Escanea el contenido de los archivos para que pueda ver qué carpetas son sensibles y sobreexpuestas
- Vamos a modelar los cambios de permisos en un entorno limitado para que pueda ver a los usuarios que se verán afectados
- Ejecutar cambios de permisos directamente desde Varonis
Funcionalidad de auditoría / alerta clave:
- Captura toda la actividad del recurso compartido de archivos de todos los usuarios en un registro de auditoría con capacidad de búsqueda
- Hace referencia al comportamiento de los usuarios (todos los archivos abrir / mover / modificar / eliminar)
- Alertas cuando se produce un comportamiento anormal (un usuario interno decide tomar un montón de archivos que no ha tocado durante mucho tiempo, una cuenta de servicio toca los datos del usuario, etc.)
- Puede enviar alertas a su SIEM para correlación
Aquí hay curso de video gratuito (no de ventas en absoluto) sobre amenazas internas desarrolladas por Microsoft Regional Director / MVP Troy Hunt. Es una visión general muy buena de todo el problema de amenazas internas y habla sobre medidas defensivas.