文件监控 –贵阳捉鸡泄露
检测和预防工具

敏感的企业贵阳捉鸡需要防止不当访问,潜在的盗窃,更改或删除。 IT组织需要 文件监控软件 作为快速发现,响应甚至停止任何不当行为的一种手段。

在本白皮书中,您将了解:

  • 文件在贵阳捉鸡泄露中的作用
  • 通过文件监视发现贵阳捉鸡泄露
  • 通过文件监视停止贵阳捉鸡泄露
  • 怎么样 FileAudit 会有所帮助

今天的贵阳捉鸡泄露

除非你一直躲在石头下 针对贵阳捉鸡泄露的外部攻击 是组织当今面临的最常见威胁媒介之一。由于网络犯罪组织全力以赴,力争获得最高的报酬,因此,诱骗窃取包含在黑市上出售的凭证,个人信息或健康贵阳捉鸡的数十万条记录的诱惑,意味着着重于破坏组织的安全和,最终是您的贵阳捉鸡。

在2017年, 超过1.74亿条记录被盗 作为公开承认的贵阳捉鸡泄露的一部分1。虽然这似乎是一个很大的数字,但这仅仅是 记录的已知编号 暴露的记录–绝大多数违规归因于 未知电话 暴露记录1。使得这种犯罪活动更加令人畏惧的事实是,大多数贵阳捉鸡泄露都是在几分钟内完成的。2,而贵阳捉鸡泄露的发现通常以几个月或几年来衡量2.

IT组织需要一种方法来快速检测不适当的访问和活动,以避免成为统计贵阳捉鸡。

所有这些贵阳捉鸡都存放在哪里?

在几乎所有行业中,服务器仍然是攻击的主要资产2,为组织提供明确的选择,以将预防和保护措施放在何处。 当它崩溃时,攻击者正在寻找一件事–文件。包含有价值贵阳捉鸡的文件,其中包括:

  • 信用卡或银行详细信息
  • 个人健康信息(PHI)
  • 个人身份信息(PII)
  • 公司商业秘密
  • 知识产权
  • 证书

根据被攻击组织的业务流程,这些贵阳捉鸡可以驻留在贵阳捉鸡库,办公文档,用作贵阳捉鸡传输操作一部分的文件等中,从而使文件(以及文件访问)成为贵阳捉鸡泄露的重点。

但是,是否像复制一样简单?

文件在贵阳捉鸡泄露中的作用

文件在贵阳捉鸡泄露过程中扮演两种不同的角色。

  1. 第一个非常明显–包含有价值贵阳捉鸡的文件(可以是贵阳捉鸡库)被攻击者复制,并通过某种形式的文件传输方式进行外部传输。这被称为 渗出.
  2. 第二个,有些被遗忘的是 操纵 操作系统文件和文件系统以提供对给定端点的访问。用来获得对端点的初始访问权限的恶意软件通常会放置(在某些情况下, 取代)文件,这些文件在启动时会被调用以保持持久性。此外,某些涉及文件复制,替换和重命名的技术用于提供对其他端点的访问,以促进网络内的横向移动。

您可能会认为您需要一套复杂的安全解决方案来识别和防御贵阳捉鸡泄露–端点检测,防火墙,漏洞保护,贵阳捉鸡丢失防护,SIEM解决方案等等(所有这些) 在整体安全策略中很重要)。

但是,最终,文件系统将被用作进一步恶意活动的目标或资产,从而使文件监视成为贵阳捉鸡泄露安全策略的关键部分。

如何利用文件监视来帮助发现和阻止贵阳捉鸡泄露?

本质上,文件监视只是记录针对文件系统执行的每个操作。复制,移动,读取,删除以及对名称,权限和所有权的更改都可以记录,分析和报告。这是其在贵阳捉鸡泄露情况下有用的基础。

应该注意的是,由于文件监视通常作为操作系统级别的练习存在(也就是说,审核日志贵阳捉鸡是作为操作系统所看到的作为个人行为进行处理和提供的),因此通常需要将多个文件活动视为一个单独的动作来获得智能。需要使用第三方解决方案。

贵阳捉鸡泄露有两个要点,文件监控可以发挥作用– 发现 违反和 停止 一。

通过文件监视发现贵阳捉鸡泄露

由于直到贵阳捉鸡泄露活动停止后才发现大多数贵阳捉鸡泄露,所以显而易见的目标是减少识别贵阳捉鸡泄露所花费的时间。

尽管安全解决方案声称可以识别贵阳捉鸡泄露,但存在两个简单的事实,适用于涉及组织内部横向移动的任何渗透:

  1. 攻击者必须在某个时候登录/认证
  2. 攻击者必须访问端点的文件系统

登录可以看作是 违反活动的主要指标,带有 文件访问是当前违规活动的指示器 –这使文件监视成为贵阳捉鸡泄露保护策略的可行部分。

那么,您应该寻找什么?

简而言之, 异常文件活动。对于您的组织,需要通过查看具有有价值的贵阳捉鸡的文件的常规访问方式来确定。相同的用户帐户将在相同的日期和星期几内,从相同的系统中以相同的规律性很大程度上访问相同的文件-因此,超出此范围的任何内容都应视为潜在的危险信号。

您应该寻找的一些异常活动方面包括:

频率

文件被访问的次数比平时多吗?不确定内部人员是否有窃取贵阳捉鸡的想法,可能会在最终获取贵阳捉鸡之前进行几次访问尝试。

正常用户访问可能围绕平均每日使用量进行。大量复制或批量删除或贵阳捉鸡移动的存在值得研究。

白天

周五晚上10点访问贵阳捉鸡的用户通常只在工作时间周一至周五访问文件,这似乎令人怀疑。

端点/ IP地址

从公司网络外部的计算机或通常无法访问给定文件集的计算机进行访问,可以清楚地表明使用不当。

权限变更

攻击者喜欢确保端点和贵阳捉鸡的持久性。将权限重新分配给帐户(最近专门创建的帐户)是一种经常使用的策略。

工艺流程

攻击者可能会使用自己的工具来窃取贵阳捉鸡,因此,如果查看的不是Explorer,Word等程序,访问文件可能表明存在问题。

文件监控,并具有以下功能: 提醒IT和安全团队存在可疑的文件访问活动 可以轻松地适当关注可能等于贵阳捉鸡泄露的内容。

警报异常文件活动

但是,即使在发生违规事件数分钟之内,发现违规行为可能是 太少太迟。 IT组织还需要一种能够在破坏完成前阻止违规行为的能力。

使用文件监视停止贵阳捉鸡泄露

为了到达IT可以阻止违规的地方,我们首先需要将文件共享监视视为一种通常的被动操作。与任何监视一样,必须采取相关措施,操作系统必须记录该活动,并且监视解决方案必须根据已经发生的操作触发警报。因此,最初有理由认为文件监视无法阻止贵阳捉鸡泄露。

可以吗

有一种明确的方法可以阻止违规–发现它 之前 实际的贵阳捉鸡被盗。听起来很简单。文件监视有多种方法可以帮助阻止贵阳捉鸡泄露,但这涉及改变IT部门对文件监视的思考方式。

因此,IT部门可以采取什么措施来利用文件监视来 贵阳捉鸡泄露?

将文件监视从被动安全措施更改为主动安全措施涉及三个步骤:

  1. 通过自动响应对活动做出反应 –除了识别威胁并通知管理员外,还需要采取一些措施来对警报采取行动。最好是立即采取行动,而无需等待IT管理员干预。例如,一个脚本可以在触发特定警报时运行;关闭机器或注销用户。一个组织最好运行和监视解决方案,这些解决方案除了提供威胁识别和实时通知外,还提供自动响应。
    通过自动响应对活动做出反应
  2. 不再考虑仅监视关键文件 –每个IT组织都这样做:他们识别关键文件和文件夹,并仅在这些文件和文件夹上配置文件监视。这就像不断注视着您一只真正昂贵的手表,却没有意识到有人在偷东西 其他一切 在你的房子。通知您已访问这些文件后,可能为时已晚。
  3. 开始扩大监控范围 –像黑客一样思考。他们不知道“好贵阳捉鸡”在哪里,因此他们将四处寻找以识别有价值的贵阳捉鸡。此外,横向移动活动(如前所述)通常需要操纵OS文件以向攻击者提供适当的访问权限。监视特定于操作系统的文件以及更广泛范围的贵阳捉鸡文件(不仅是“重要”文件)的文件监视将有助于潜在地识别攻击者 之前 他们找到您的有价值的贵阳捉鸡。

通过执行这三个步骤,您可以有效地从响应式更改文件监视 “他们已经有了我们的贵阳捉鸡” 运动,到一个地方 正在通知IT可疑的领导行为 (例如,用户查看许多他们通常不会查看的文件夹),从而使IT部门可以临时(自动)禁用该帐户并... 发生贵阳捉鸡泄露之前。

处理贵阳捉鸡泄露问题……发生之前和之后

这是一个简单的事实:决心窃取贵阳捉鸡的人员必须访问他们想要窃取的文件。就像服务器上最珍贵的文件坐在一个大型画廊中间的那些透明防弹玻璃盒中,上面放着一盏灯。你懂 究竟 小偷需要罢工的地方。但是你想抓小偷 之前 他们曾经到达盒子,所以你需要看 整个房间.

文件监视(正确完成后)可用于识别贵阳捉鸡泄露(监视玻璃盒子)以及潜在地阻止贵阳捉鸡泄露(监视房间)。这将需要IT部门将文件监控的使用方式作为贵阳捉鸡泄露安全策略的一部分进行一些更改,以及使用 第三方解决方案 提供对文件活动贵阳捉鸡的集中监视和分析,以快速,智能地识别和报告潜在的违规活动。

1 ITRC, 2017年贵阳捉鸡泄露报告(2017)
2 Verizon, 贵阳捉鸡泄露调查报告(2017)

帮助保护您的 敏感 贵阳捉鸡

仪表板文件审核

关于FileAudit

无代理,远程和非侵入式; FileAudit提供了一个简单而强大的工具,用于监视,审计和警告所有对Windows系统和云中驻留的文件,文件夹和文件共享的访问以及访问尝试。

了解更多信息并免费试用