Come posso proteggere una condivisione di rete dalla minaccia interna?

Potresti dare un'occhiata a FileAudit , in quanto questa soluzione software monitora, archivia e segnala accessi (o tentativi di accesso) a dati sensibili memorizzati su sistemi Windows.

Con un clic destro in Esplora risorse o dalla console, FileAudit visualizza istantaneamente un elenco completo e comprensibile di:

• accesso in lettura / scrittura
• tentativi di appropriazione (accettati o rifiutati)
• tentativi di modifica dei permessi (accettati o rifiutati)

ogni record in dettaglio:

• l'utente
• il dominio
• la data e l'ora di connessione e disconnessione

per

• un file
• una selezione di file
• una cartella e sottocartelle
• una selezione di cartelle e sottocartelle

Se vuoi impedire a un insider di rubare i tuoi dati, suppongo tu abbia solo una difesa strong: non dare loro accesso ai dati. In altre parole, usa il controllo degli accessi per limitare il loro accesso ai dati. Se l'insider ha accesso a tutti i dati, la prevenzione è davvero difficile.

Un'alternativa è quella di rilevare segni di tale uso improprio: ad es., dove qualcuno ha avuto accesso a molti più dati di quanto ci si aspetterebbe che avrebbero legittimamente bisogno per gli scopi del loro lavoro. Il rilevamento è imperfetto e non fornisce necessariamente un ottimo modo per recuperare da una tale perdita, ma potrebbe fornire un deterrente.

Non posso offrire una soluzione basata su Windows per il tuo problema, ma posso suggerirne una per Linux che potrebbe essere adattabile se soddisferà le tue esigenze.

Utilizza il Modulo di controllo Samba per monitorare e registrare accesso ai file. Sarai quindi in grado di vedere quali utenti stanno accedendo a quali file.
È quindi possibile monitorare questo manualmente o scrivere uno script per rilevare una quantità insolita di attività del file.
Ad esempio potresti scrivere uno script da monitorare e se un utente tira giù i file X in Y minuti segnala un avviso e forse blocca automaticamente il loro account utente fino a quando un amministratore controlla cosa sta succedendo. Ovviamente non impedirà alle persone di rubare i tuoi dati, ma ti darà almeno un'idea migliore di chi ha fatto e forse li fermerà prima che ottengano tutto.

Risorse

• Come tracciare l'accesso utente di Windows, creare file / modificare file su SMB linux

Suppongo che tu abbia già creato le autorizzazioni a livello di cartella. Tuttavia, non si indica se si sta eseguendo o meno un dominio Active Directory di Windows. Se lo sei, avrai un paio di fantastiche funzionalità nella manica, che non ti costeranno nulla.

1) Active Directory Rights Management Server (RMS). Questo ti dà un controllo granulare sull'accesso ai documenti, e se le persone possono o meno inviare via e-mail documenti, stamparli, convertirli in PDF e così via.

2) Spazio dei nomi DFS. Molte persone usano DFS esclusivamente per la replica di file. Ma uno spazio dei nomi DFS funge anche da condivisione di file virtuale. Se le persone conoscono il nome del tuo server di file allora sanno a) dove sono fisicamente i file eb) quale server attaccare! Ma un namespace funge da proxy, quindi puoi seppellire i tuoi file in profondità nella tua rete.

Usarli in combinazione con i permessi standard NTFS e SMB sarà una difesa davvero efficace. Buona fortuna

Esiste una gamma di prodotti per fare ciò, ad esempio il McAfee DLP suite - molto dipenderà dalla scala richiesta. Ho visto questo lavoro solo in organizzazioni di piccole e medie dimensioni, dato che il volume dei dati diventa incredibilmente difficile da gestire in un'organizzazione più grande.

Anche le organizzazioni che cercano di aderire a requisiti ristretti / segreti ottengono questo errore (wikileaks, chiunque :-))

Completa divulgazione: lavoro per Varonis, ma sinceramente e onestamente credo che il prodotto di cui sto parlando sia ottimo per affrontare specificamente le minacce interne in ambienti di condivisione file di grandi dimensioni.

Varonis è una buona opzione per questo. Supporta condivisioni di file Windows, UNIX / Linix, OneDrive, Exchange, AD, NAS, SharePoint, ecc.

Esegue la gestione delle autorizzazioni (per aiutare a imporre il minimo privilegio), il controllo (in modo che tu possa vedere cosa stanno facendo gli utenti) e gli avvisi (in modo da poter rilevare comportamenti anomali degli insider).

Funzionalità per le autorizzazioni principali:

• Autorizzazioni di Google Maps in modo che tu possa vedere chi ha accesso a quale file condividi i dati
• Scansiona il contenuto dei file in modo da poter vedere quali cartelle sono sensibili e sovraesposte
• Consentitemi di modellare le modifiche delle autorizzazioni in una sandbox in modo da poter vedere quali utenti saranno interessati
• Esegui le modifiche delle autorizzazioni direttamente da Varonis

Funzionalità di controllo / avviso chiave:

• Cattura tutte le attività di condivisione file da tutti gli utenti in un audit trail ricercabile
• Baseline il comportamento degli utenti (ogni file aperto / sposta / modifica / cancella)
• Avvisa quando si verifica un comportamento anomalo (un insider decide di prendere un mucchio di file che non ha toccato da molto tempo, un account di servizio tocca dati utente, ecc.)
• Può inviare avvisi al SIEM per la correlazione

Ecco corso video gratuito (non per niente vendite) sulle minacce interne sviluppate da Microsoft Regional Regista / MVP Troy Hunt. È davvero una buona panoramica dell'intero problema delle minacce interne e parla di misure difensive.