Menu

Quest

Bezpečnostní audit přístupu k dokumentům a datům

Článek z Technické přílohy časopisu Login 2/2018

Monitorujte vaše souborová úložiště

Většina zákazníků má velké množství důležitých dat uložena v datových souborech na sdíleném disku. Jedná se nejen o dokumenty Office a PDF, ale i některé další datové zdroje. Pojďme se nyní podívat na nástroj od společnosti QUEST s příznačným názvem "Change Auditor" (auditor změn), který monitoruje práci s těmito soubory a dokáže i v reálném čase vyhodnotit potencionální rizika a hrozby.

K čemu slouží nástroj Change Auditor Threat Detection?


Společnost QUEST vyvíjí velké množství nástrojů pro správu IT. Change Auditor je jedním z jejich nástrojů pro ochranu dat. Tento nástroj používá řadu agentů pro sběr logů, které následně vyhodnocuje v reálném čase a reportuje případné hrozby a rizika. Důležitým prvkem je monitoring Microsoft Active Directory, přihlašování uživatelů do sítě a následně monitoring přístupu k datům na různých síťových úložištích. Analýzou těchto logů dokáže odhalit spoustu problémů, které vám mohou způsobit únik nebo ztrátu dat. Díky tomuto řešení můžete například odhalit:

  • Uživatele, který pracuje s vašimi daty jinak, než je obvyklé
  • Útok na vaše datové zdroje
  • Nepřiměřenou aktivitu v rámci Active Directory
  • Malvare, který se snaží zneužít vaše data
Infography Quest Change Auditor Threat Detection
Change Auditor Threat Detection - Schématický obrázek

"Čmuchající" uživatel


Nastavit komplexně oprávnění na datové soubory, aby všichni mohli přistupovat pouze k datům, které potřebují pro svoji práci, není někdy úplně reálné. V některých případech může dojít i k chybám v konfiguraci oprávnění a díky tomu se uživatelé dostanou i k datům, které mohou zneužít. Systém umí takovéhoto uživatele odhalit díky analýze logů a informovat o tom správce úložiště dříve než dojde k reálnému úniku dat. Systém tohoto uživatele odhalí díky několika indikátorům, jako jsou například:

  • Velký počet otevřených souborů za krátkou časovou periodou
  • Velký počet pokusů o otevření souborů, ke kterým nemá oprávnění
  • Přístup na úložiště nebo do složek, ke kterým nikdy před tím nepřistupoval

 

Krádež nebo destrukce dat


Krádež nebo destrukce dat může mít mnoho příčin. Od nespokojeného zaměstnance, přes napadení škodlivým kódem, až po hackerský útok. Change Auditor dokáže tuto záležitost v reálném čase vyhodnotit a zabránit případným rozsáhlejším ztrátám opět díky analýze informací z logů, kdy dochází:

  • K velkému množství přístupů k souborům nebo k jejich kopírování či přesunu
  • K velkému počtu mazání souborů
Příkladem může být například uživatel předávající data konkurenci.

 

Hledání viníka


V některých případech však potřebujete informace o přístupu k souborům i pro nějakou zpětnou analýzu informací. Například pokud hledáte, kdo soubor naposledy upravoval nebo s ním nějakým způsobem pracoval. Může se jednat o případ, kdy někdo nějakým způsobem znehodnotil data či pozměnil nějaké údaje ve svůj prospěch. Díky jednoduchému přístupu k logovaným informacím z různých zdrojů velmi rychle najdete osobu, která s daty pracovala v daném časovém rozmezí a jakým způsobem je měnila.

Brute-force attack


Jedná se asi o nejpoužívanější typ útoku hackery nebo různých "červů" či malvare. Účelem je odhalení přístupových údajů uživatele do systému a následně získat přístup k datovým zdrojům a souborům. Change Auditor dokáže odhalit a informovat správce i o této události. Zjistí to díky abnormálně velkému množství chybných přihlášení uživatele.

Nasazení systému do produkčního prostředí není složité


Nasazení systému je díky jednotlivým agentům jednoduchou záležitostí. Potřebuje středně výkonný server s větší velikostí paměti pro centrální sběr a vyhodnocování logů. Klienti nebo agenti se následně distribuují na jednotlivé datové zdroje či klientská zařízení. Ihned po instalaci začínají sbírat logy a předávat je na centrální server. Není ani nutná žádná speciální konfigurace. Systém se postupně i sám učí, takže dokáže automaticky vyhodnocovat některá potenciální rizika, aniž byste jej museli složitě konfigurovat. Důležité je hlavně určit správnou osobu pro vyhodnocování alertů a zajistit neustálý dohled nad systémem.

Quest seriál:


GDPR


Tato technologie je vhodná pro řešení ochrany osobních údajů a bezpečnosti

Pro více informací o GDPR navštivte:

GDPR - nařízení o ochraně osobních údajů

Bezplatná konzultace

Máte zájem o bezplatnou konzultaci? Kontaktujte nás nebo nám zanechte svůj e-mail, my se vám ozveme.

Petr-Nepustil
Ing. Petr Nepustil
IT konzultant
 
+420 734 686 014
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.