A auditoria do servidor de arquivos é um processo essencial, e a desatenção pode custar muito à sua organização, tanto em termos de impacto nos negócios quanto em penalidades financeiras governamentais.
Imagine este cenário: um professor de uma universidade acessa inescrupulosamente vários arquivos críticos que contêm pesquisas inovadoras no campo da microeletrônica. Usando esses dados roubados, o professor lança sua própria empresa para alavancar enganosamente esses segredos comerciais. Uma solução de auditoria de servidor de arquivos teria protegido a universidade das graves repercussões desse roubo de propriedade intelectual.
Aqui estão os cinco componentes principais que uma solução de auditoria de servidor de arquivos deve monitorar o tempo todo para ajudar a proteger seus dados mais confidenciais:
1. Estado atual das permissões de acesso: É fundamental que você siga uma política de privilégio mínimo e o modelo de segurança Zero Trust ao gerenciar o acesso privilegiado. As permissões de acesso a arquivos e pastas compartilhados devem ser concedidas apenas a usuários que as requeiram para realizar seu trabalho. A qualquer momento, você deve ter a capacidade de verificar se os usuários têm privilégios excessivos e revogar o acesso, se necessário.
2. Mudança nas permissões de acesso: caso a permissão de acesso de qualquer usuário mude, você precisa ser alertado instantaneamente. Também pode ser necessário que você analise trilhas de auditoria anteriores ao realizar uma análise forense. Isso se torna especialmente importante se uma violação de dados tiver ocorrido e a causa raiz da violação precisar ser investigada.
3. Atividades de arquivo e pasta: Existem várias atividades de arquivo e pasta que você precisa monitorar. Eles podem incluir, mas não estão limitados a:
Arquivos criados
Arquivos modificados
Arquivos deletados
Arquivos movidos
Arquivos renomeados
Arquivos copiados e colados
Tentativas falhadas de ler um arquivo
Tentativas falhadas de gravar em um arquivo
Tentativas falhadas de excluir arquivos
4. Alteração nas configurações de auditoria: além de monitorar os acessos a arquivos e pastas e alterar as permissões, você também deve monitorar as alterações nas configurações de auditoria ou na lista de controle de acesso do sistema (SACL). O SACL especifica os tipos de atividades que geram registros de auditoria. Um invasor pode tentar ocultar seus rastros fazendo alterações na SACL e, se for bem-sucedido, as atividades subsequentes de arquivos e pastas podem não ser registradas. No entanto, com uma auditoria de servidor de arquivos eficaz, essa atividade também pode ser rastreada.
5. Monitoramento de integridade de arquivo (FIM): Enquanto a auditoria do servidor de arquivos envolve o monitoramento de acessos e alterações em arquivos e pastas em um compartilhamento de rede, o FIM envolve a verificação de arquivos importantes do sistema operacional, programas utilitários e bancos de dados que podem existir em controladores de domínio, servidores membros ou mesmo estações de trabalho. O FIM valida os arquivos comparando as versões mais recentes com as versões confiáveis desses arquivos; ele então identifica mudanças inesperadas e não autorizadas para verificar se o arquivo foi modificado. Isso geralmente é feito monitorando uma representação hash do arquivo.
Como administrador de segurança de TI, você precisa garantir que todas as brechas vulneráveis que os invasores possam explorar sejam conectadas. Mesmo que leve algum tempo para você implementar esses cinco pontos, será um tempo bem gasto.
Nota : Esse conteúdo foi traduzido do nosso site em inglês e está replicado nos sites dos nossos parceiros também.