cs 
Auditování souborového serveru je nezbytný proces, který by měl být zaveden v každé organizaci. Pokud tuto činnost organizace neprovádí, může organizace utrpět velké škody, například z hlediska úniku citlivých obchodních informací, nebo udělení sankcí z důvodu nesprávného nakládání s osobními údaji.
Představte si tento scénář: Profesor na univerzitě bez jakéhokoliv povšimnutí přistupuje k několika důležitým souborům, které obsahují průlomový výzkum v oblasti mikroelektroniky. Na základě těchto zcizených údajů profesor zakládá vlastní společnost, která využívá tato obchodní tajemství. Řešení pro auditování souborového serveru by univerzitu chránilo před vážnými důsledky této krádeže duševního vlastnictví.
Zde je pět klíčových součástí, které musí řešení zajišťující auditování souborového serveru neustále sledovat, aby bylo možné ochránit veškerá data, která jsou uchovávána na tomto úložišti.
1. Aktuální stav přístupových oprávnění
Při správě privilegovaného přístupu je bezpodmínečně nutné dodržovat zásadu co nejméně privilegovaných uživatelů a bezpečnostní model Zero Trust. Přístupová oprávnění ke sdíleným souborům a složkám by měla být udělena pouze uživatelům, kteří je vyžadují k výkonu své práce. Kdykoli byste měli mít možnost ověřit, jaká mají uživatelé oprávnění, a v případě potřeby jakékoliv oprávnění zrušit.
2. Změna přístupových oprávnění
V případě, že dojde ke změně přístupových oprávnění uživatele, musíte být okamžitě upozorněni. Při provádění analýzy může být také nutné analyzovat historické auditní záznamy. To je obzvláště důležité, pokud došlo k narušení dat a je třeba prozkoumat hlavní příčinu narušení. Je tedy nutné tyto stopy uchovávat a archivovat.
3. Činnosti se soubory a složkami
Existuje několik činností prováděných se soubory a složkami, které musíte sledovat. Mezi ně mimo jiné patří:
- vytvoření souboru/složky
- modifikace souboru/složky
- smazání soubor/složky
- přesunutí souboru/složky
- přejmenování souboru/složky
- kopírování a vložení souboru/složky
- neúspěšné čtení souboru/složky
- neúspěšný zápis do souboru/složky
- neúspěšné smazání souboru/složky
Auditního řešení by také mělo umožňovat nastavení limitu pro počet provedených změn souborů a generování následného upozornění, pokud je tento limit překročen. Toto upozornění může například pomoci identifikovat a zastavit útok ransomwaru.
4. Změna nastavení auditování
Kromě monitorování přístupu k souborům a složkám a změny oprávnění byste měli sledovat také změny nastavení auditu nebo Security descriptor seznam řízení přístupu k systému SACL. SACL určuje typy činností, které generují auditní záznamy. Útočník by se mohl pokusit skrýt své stopy provedením změn v auditování, a pokud budou úspěšné, nemusí být jeho následné aktivity se soubory a složkami zaznamenány. S účinným auditováním souborového serveru však lze tuto aktivitu také sledovat. U tohoto bodu je také dobré zmínit, že je nutné jasně stanovit, kdo bude mít v auditním řešení roli „Super Admin“. Pokud je s touto rolí nakládáno nesprávně, může být zneužita a použita ke zahlazení případných stop.
5. Monitorování integrity souborů (FIM)
Zatímco auditování souborového serveru zahrnuje monitorování přístupů a změn souborů a složek v síťové sdílené položce, FIM zahrnuje kontrolu důležitých souborů operačního systému, programů a databází, které mohou existovat v řadičích domény, member serverech, nebo dokonce pracovních stanicích. FIM ověřuje soubory porovnáním nejnovějších verzí s důvěryhodnými verzemi těchto souborů, poté identifikuje neočekávané a neautorizované změny, aby ověřil, zda byl soubor upraven. To se obvykle provádí porovnáním kontrolního hashe souboru.
Implementovat?
Jako správce zabezpečení IT musíte zajistit, aby mohla být sledována každá jednotlivá mezera, které by mohl potencionální útočník využít pro poškození Vašeho systému. I když vám implementace těchto pěti bodů nějaký čas zabere, určitě se tato investice vyplatí. Nevěříte? Podívejte se na zprávy z poslední doby!
