Rilevamento di pattern di accesso ai file anormali

Naviga le tue risposte
0

Una società consente ai suoi sviluppatori di accedere a istantanee dell'intero codebase tramite una condivisione di rete locale. Per svolgere il proprio lavoro, gli sviluppatori compilano quotidianamente il codice, in cui ogni compilazione legge un insieme di file dalla base di codice, trasferendo i dati all'interno della condivisione di rete al loro computer di sviluppo locale. Ai fini della convenienza, l'azienda consente ai suoi sviluppatori l'accesso dell'amministratore ai loro computer di sviluppo locali e l'accesso alla porta USB è illimitato.

In questo ambiente, uno sviluppatore malintenzionato può leggere ogni file dalla condivisione di rete e archiviarli su un'unità esterna in locale, il che rappresenta (ovviamente) un rischio per la sicurezza. Se la società desidera essere avvisata di pattern di accesso ai dati sospetti sulla condivisione di rete, utilizzando solo strumenti sul server che ospita la condivisione, come farebbero per farlo?

Idealmente, questo sistema potrebbe essere esteso a qualsiasi grande insieme di file ospitati su una condivisione di rete. In un esempio, il server riconoscerebbe che i file .h e .cpp per una particolare parte del codice sono frequentemente accessibili insieme, e che non verranno lanciati flag rossi se entrambi sono accessibili in un breve intervallo. Tuttavia, se si accede a un numero elevato di file non collegati in un breve periodo di tempo, questo dovrebbe generare una bandiera rossa.

    
posta LivingInformation 08.06.2016 - 22:10
fonte

3 risposte

1

Sembra che tu voglia prendere in considerazione gli strumenti di Prevenzione perdita di dati ( link ).

Tuttavia, prima di andare direttamente alla soluzione tecnologica, devi capire come appare l'accesso ai file "normali". Se non sai cosa sembra, diventa impossibile sapere che aspetto anomalo. Questo è simile a insegnare a IDS / IPS come appare la rete.

    
risposta data 10.06.2016 - 10:21
fonte
1

Esistono molti prodotti eDLP commerciali che possono provare a farlo utilizzando algoritmi di apprendimento automatico, oppure potresti scrivere qualcosa che avvolge inotify e avvisi su tendenze specifiche degli eventi di lettura (pynotify - > elasticsearch - > percolate forse), ma dato il tuo ambiente di lavoro mi sembra che tu ti preoccupi di correggere una finestra piena di spifferi quando non hai nemmeno un tetto.

L'amministratore locale e l'accesso USB senza limitazioni sono i tuoi primi due problemi. Puoi avere il più sofisticato rilevatore di pattern di accesso ai file mai concepito, ma questo non cambia il fatto che hai perso la visibilità di ciò che accade ai dati accessibili per accedervi quando si passa sulla chiavetta USB di qualcuno.

Tutti gli sviluppatori che hanno accesso all'intero codebase rappresentano il tuo terzo problema. Presumibilmente non hai a che fare con le PII in modo che l'accesso ai file, indipendentemente dalla velocità, non sia intrinsecamente sospetto. IME Ho notato che le persone tendono a esfilare in tre modi:

  • "So che sto per chiudere / essere licenziato, quindi prendo TUTTO"
  • "Sono costantemente impiegato ma non pagato abbastanza, quindi vado a esfiltrarti e vendere (asset di dati) pezzo per pezzo nel tempo."
  • "Sono costantemente impiegato e un idiota, quindi prendo TUTTO e lo rivenderò"

Il secondo caso è il dolore più grande. Questa persona raccoglierà i dati poco a poco nel tempo prima di uscire (# 1).

La vera minaccia per te è che hai no modo di sapere cosa stanno facendo con questi file dopo che li hanno acceduti, in modo anomalo o meno. Non sembra che ci sia qualcosa che impedisce loro di fare un git push di tutto ciò che sono già autorizzati ad avere. Ti suggerisco di farlo prima.

Nel frattempo, a seconda delle dimensioni del tuo negozio, probabilmente otterrai un ritorno sull'investimento più rapido correlando un numero elevato di letture dopo la notifica delle dimissioni dei dipendenti. Lo vediamo sempre.

    
risposta data 08.09.2016 - 16:37
fonte
0

Sì, penso che questo sia interamente possibile. Per definire il comportamento di accesso ai file normale o tipico, è necessario passare un po 'di tempo a registrare l'attività di ciascun individuo.

Un'analisi di questi dati consentirebbe di definire i normali parametri di accesso. Questo potrebbe essere il numero di richieste di file, la durata tra le richieste (per distinguere tra richieste di accesso manuali e automatiche), la frequenza di coppia precedente con cui si accede ai file. Potresti, come hai suggerito, creare una rete o un grafico per rappresentare gruppi di file a cui si accede comunemente insieme. Vari parametri che caratterizzano la rete, come le distanze di percorso più brevi tra i file con accesso, o una sorta di funzione "costo" definita sommando i bordi pesati, potrebbero quindi essere calcolati per le singole azioni.

In breve, è necessario definire i profili di utilizzo tipici in termini di parametri precedenti. Le singole azioni possono quindi essere caratterizzate dagli stessi parametri e confrontate con i profili tipici al fine di rilevare comportamenti anomali o "valori anomali".

Le sfide sono progettare un sistema che raccolga il comportamento di accesso ai file, stabilisca parametri o modelli statistici che possono caratterizzare il normale utilizzo e quindi implementa un sistema di monitoraggio in tempo reale che genererà un avviso quando vengono rilevati modelli di accesso atipici. Qualcuno che copi interi file di file su un'unità esterna dovrebbe essere abbastanza facile da catturare.

    
risposta data 08.09.2016 - 14:35
fonte

Leggi altre domande sui tag

La generazione dell'ID sessione Tomcat è conforme a FIPS? Configurazione di rete: impedendo l'utilizzo del mio computer come proxy?