¿Se consideran los flujos de archivos alternativos de NTFS como un riesgo de seguridad en su organización? ¿Cómo se mitiga?

6

Alternate File Streams permite a un usuario incrustar contenido oculto en cualquier archivo NTFS. Ese archivo puede ser un archivo TXT, o MOV, por ejemplo. Algunos pueden considerar esto como una forma de esteganografía y, por lo tanto, pueden aplicar los mismos principios de auditoría. Por otro lado, algunas aplicaciones, como Exchange y SMTP, usan estas secuencias ampliamente con fines legítimos.

¿Las secuencias de archivos alternativos reciben algún tratamiento especial dentro de su organización?

¿Cuáles son las razones principales por las que haría o no auditaría el acceso a los archivos de AFS?

Si analiza estos archivos explícitamente, ¿qué busca? ¿Cómo respondes?

    
pregunta random65537 01.12.2010 - 23:15
fuente

1 respuesta

1

He hablado con gente de muchas empresas, y la mayoría no está mirando las secuencias de archivos alternativos en absoluto. La razón es en todos los casos que tienen canales mucho más simples que aún necesitan ser controlados de manera efectiva y sin presupuesto adicional. Un cliente con una solución DLP muy efectiva no permite ningún archivo o archivo adjunto, a menos que haya sido aprobado previamente, por lo que sería mi mejor candidato para probar esto, sin embargo, no tienen la infraestructura para implementarlo fácilmente.

Un problema es que necesitaría automatizar la validez del contenido de AFS. Todavía no conozco a nadie que tenga una solución. Supongo que podría agregar a la lista blanca todas las aplicaciones que tienen una razón válida, pero entonces una persona inteligente podría usar AFS en los archivos asociados con estas aplicaciones.

Cuanto más lo pienso y comparo con otros intentos de DLP, más creo que es un problema importante, a menos que migre en gran medida a thin clients (por ejemplo, un entorno totalmente Citrix) o tenga un entorno tan cerrado que los usuarios puedan No tienes suficiente acceso para crear AFS.

    
respondido por el Rory Alsop 13.12.2010 - 13:21
fuente

Lea otras preguntas en las etiquetas