Gli stream di file alternativi NTFS sono considerati un rischio per la sicurezza all'interno dell'organizzazione; come viene mitigato?

Question

Gli stream di file alternativi NTFS sono considerati un rischio per la sicurezza all'interno dell'organizzazione; come viene mitigato?

#1 da (1 voti)

6

Stream file alternativi consente a un utente di incorporare contenuto nascosto in qualsiasi file NTFS. Ad esempio, quel file può essere un file TXT o MOV. Alcuni potrebbero considerarlo una forma di steganografia e pertanto potrebbero applicarsi gli stessi principi di controllo. D'altra parte, alcune applicazioni come Exchange e SMTP utilizzano questi flussi estensivamente per scopi legittimi.

Gli stream file alternativi ottengono trattamenti speciali all'interno della tua organizzazione?

Quali sono i principali motivi per cui potresti o non verificherei l'accesso ai file AFS?

Se esegui la scansione di questi file in modo esplicito, che cosa cerchi? Come rispondi?

audit steganography file-system

posta random65537 01.12.2010 - 23:15

fonte

1 risposta

Leggi altre domande sui tag audit steganography file-system

In che modo esattamente Burp Sequencer calcola i valori che deriva? Flusso OAuth2 non confidenziale

score 1 · Accepted Answer

Ho parlato con gente di molte società, e la maggior parte non sta guardando affatto i flussi di file alternativi. La ragione è che in tutti i casi hanno canali molto più semplici che devono ancora essere controllati in modo efficace e senza budget extra. Un client con una soluzione DLP molto efficace non consente l'invio di file o allegati in uscita, a meno che non siano stati preapprovati, quindi sarebbe il mio miglior candidato per provarlo, tuttavia non dispongono dell'infrastruttura per implementarlo facilmente.

Un problema è che avresti bisogno di automatizzare la validità dei contenuti AFS - Non conosco nessuno che abbia ancora una soluzione. Immagino che tu possa autorizzare tutte le app che hanno una ragione valida, ma una persona esperta potrebbe semplicemente utilizzare l'AFS nei file associati a queste app.

Più ci penso e paragone con altri tentativi DLP, più penso che sia un grosso problema a meno che non si esegua una migrazione estesa a thin client (ad esempio un ambiente completamente Citrix) o che un ambiente sia bloccato in modo tale che gli utenti possano ottenere accesso sufficiente per creare AFS.