下载为PDF
达到合规目标
没有什么比尝试达到合规目标更令人困惑的了。通常编写它们是为了适用于任何操作系统,任何网络和任何基础结构。虽然写出专门适用于您的组织运作方式的标准是不切实际的,但近年来作者不得不在技术上更具针对性,以完善受监管企业的要求。
大多数合规性标准都围绕特定的受保护数据集(健康记录,信用卡详细信息,个人信息等)提供有关用于确保正确访问和使用该数据的可选和强制性控制的指南。
某些标准甚至比IT标准还早几年。与控制一样无助 “建立和维持安全级别”,这也难怪IT组织会怀疑他们是否满足要求。遵循易于使用的标准的强制性法规的最好例子是 支付卡行业数据安全标准 (PCI DSS)v3.0和欧盟即将发布 通用数据保护条例 (GDPR)。
但是,即使制定了良好的标准,作者仍然无法知道 到底在哪里 每个组织都在存储其受保护的数据。因此,这些标准虽然写有关于加密使用,身份验证方法,访问级别等方面的技术规范,但仍需要IT部门确定确保安全的最佳方法。 意图 符合标准。
您的受保护数据在哪里?
为了确定如何在战术上最好地满足给定的合规性标准,IT需要查看使用哪些系统,应用程序和平台来存储受保护的数据。
许多 基于Windows的网络 继续托管基于数据服务器的受保护文件系统,使这些服务器成为解决入侵者窃取数据的主要目标。对于那些将受保护的数据保存在数据库中的人来说,请记住,这些数据库最终还是静止的文件,这些文件可以被盗用并可以在异地访问。
而且,这就是文件审核的作用。
定义文件审核
首先,让我们看一下文件审核应包含哪些功能,这些功能可同时应用于本机Windows工具和3rd 政党的解决方案。
- 记录– 对文件和文件夹的所有访问和更改(包括数据和权限)都应记录下来。
- 可见度– 所有审核日志数据均应易于访问,以进行检查,过滤,搜索等。
- 警报– 应根据匹配标准向被认为可疑的行为发送通知。
- 报告– 这有点棘手,但即使是本机工具也可以导出日志数据。因此,即使不是很漂亮,生成共享的“报告”的能力也应该成为文件审核的一部分。
在许多情况下,合规性要求建立了安全性 目的,然后提供有关如何测试是否达到目标的详细信息。 文件审核是确保您安全的测试方法 认为 您拥有的受保护数据是 实际完成工作.
因此,如何使用文件审核来帮助您实现合规性目标?
在合规中使用文件审核
作为正在进行的文件审核的一部分,收集和监视的活动详细信息对于满足多种合规性目标很有用。由于本文不是为了说明文件审核在特定任务中的应用而编写的,因此,我们将介绍四个通用用例,并讨论文件审核在每个案例中的作用。
1. 监视安全访问控制的分配
几乎每个合规性要求都始于对包含受保护数据的文件进行保护。从战术上讲,这包括 审查对用户和组的最低特权权限的建立和分配。分配的权限对作业功能/角色是否正确?在分配过程中是否选择了正确的用户或组?用户进行更改是否被批准这样做?
注意:在外部攻击者寻求享受网络内最大可能访问权限的时候,采取的许多可能步骤之一是创建多个用户并为其分配更高的权限。这样做是为了确保网络内的持久访问级别–如果发现一个帐户,攻击者可以利用它后面的20个帐户。
文件审核的作用
文件审核监视对文件或文件夹权限的更改(以及尝试的更改),通常记录更改了哪些权限,对象路径,进行分配的用户以及其他可识别的因素(例如机器名称,IP地址等)。对所做的更改进行警报和报告可以提供实时和历史详细信息。
2. 监视对受保护数据的访问和使用
合规性不是目标;这是一个持续的过程,每天必须确保IT部门的环境保持合规性。因此,IT需要具备 不断了解正在访问哪些受保护的数据,由谁,何时,从何处等。 为了防止恶意内部人员和外部攻击者利用受到破坏的凭据进行不适当的访问,必须使用此实时信息。
此外,一些审计师喜欢遵循审计跟踪,从那些一直具有访问权限的审计人员一直跟踪到具体显示对提供的访问权限采取了哪些措施。为了提供此信息, 需要所有活动的历史记录 满足审核员要求。
文件审核的作用
文件审核详细信息用于说明仅发生了批准的访问。警报和报告可以提供实时和历史详细信息-包括可识别的因素,例如机器名称,IP地址等。强大的过滤功能有助于快速回答审核员提出的问题。
3. 测量访问控制强度
IT部门通常允许Active Directory自行有机发展。很少会证明组成员身份,更不用说权限了,并且对嵌套的组成员身份进行检查-所有这些都会导致 71%的用户表示他们被过度使用并有权访问数据 他们不应该看到1.
因此,在分配访问控制时,并非故意应该具有访问权限的用户实际上可能会这样做。而且,鉴于在包含受保护数据的环境中需要最低特权,因此确定哪些用户是有意义的。 是 尝试访问。
文件审核的作用
文件审核可以提供 采取步骤访问受保护数据的用户帐户的详细信息,记录所采取的措施以及受影响的文件和文件夹。可以与预期的安全控件进行交叉引用,以确保它们正确。
4. 检测违规
尽管没有任何组织愿意经历数据泄露(因此,在受保护的数据被盗的情况下违反合规性),但它仍然有一定的可能性。应该将受保护的数据驻留在文件服务器上,这很明显 存在违约的主要指标。发生文件活动异常 例如非标准的访问时间或访问的大量数据.
文件审核的作用
通过观察文件服务器上受保护数据的访问和使用情况,可以 根据异常活动检测数据泄露。通过分析审核日志数据的能力,可以发现可疑的操作,将可能的违规行为通知IT部门,并确保在必要时做出快速反应。
3rd 团队解决方案与本机工具
除非您不熟悉IT,否则在过去20年中,您已经知道审核Windows文件系统的功能已成为Windows Server操作系统的集成组件。事件查看器工具提供了集中,查看,过滤和排序文件审核数据的功能。它甚至具有设置通知的基本功能。
那么,为什么要使用3rd 方文件审核解决方案?
答案在于本地工具提供的功能,性能和细节方面的差距。
不仅仅是信息-情报和洞察力
本机日志数据提供所需的所有详细信息。其实很多3rd 各方的解决方案只是利用了与事件查看器中相同的细节。但是Microsoft不在审计业务中,因此日志数据只不过是原始信息。
例如,将文件从一个分区移动到另一个分区需要6-10个事件条目,被视为复制和删除-而不是“移动”。 3 rd 政党的解决方案将信息转化为 情报,找出这10个左右的事件实际上只是一个事件-并以此方式显示或提醒它。
此外,某些解决方案不仅会因情报而停顿。他们分析活动的模式,寻找与众不同的东西,获取情报,然后将其转化为 洞察力 –赋予IT权力,以决定活动是否适当,是否合规以及下一步需要采取什么行动。
(很多)更多功能
前面我们提到“微软不在审计业务中”,这是事实。它们为仅需要最基本功能的用户提供工具。 3rd 政党的解决方案专注于自动化大部分审计工作, 围绕收集,合并,演示,搜索,过滤,警报,报告甚至任务自动化增强了功能。
所有这些增强的功能都可以提高IT生产率,加快审核过程,并有助于提高受保护数据的整体安全性。
易于使用和审核就绪
与仅处理合并和呈现事件数据任务的本机工具不同,3rd 第三方解决方案是专门设计的,通过关注合规性审核的特定需求,IT和审核员对解决方案的使用以及确保合规性所需的细节来改善审核体验。
由于易于使用且直观,监视甚至可以委托给对整个业务范围内的数据有更好了解的非IT同事。这有助于确保更有效的审核系统。
通过文件审核满足合规性并避免罚款
尽管没有合规性要求仅将重点放在审核文件系统上,但是您的组织在文件服务器上托管受保护的数据这一事实使您能够建立,维护和维护文件。 证明 特定于合规性的访问控制已到位。
无论您选择使用本机工具,还是利用3rd 第三方解决方案,需要密切监视供应,访问和使用受保护数据对于满足相关合规性目标至关重要。通过实施文件审核,您可以将组织置于积极的立场,即维护数据安全性,并简化遵从性标准。
1 Ponemon,公司数据:受保护的资产还是滴答定时炸弹? (2014年)