Wenn der Fileserver zur Schatzkammer wird

Über Firewalls und eine oder mehrere DMZ’s sichert sich bereits jedes Unternehmen mehr oder weniger gut ab. Ein Angreifer hat es, auf den ersten Blick, dadurch wesentlich schwerer sich im internen Netzwerk ein zu nisten. Angriffe folgen allerdings nicht sehr oft über die Firewall, sondern über andere Wege wie Social Engineering oder Drive-By Downloads. Das alles übertrifft der Insider in vielen Fällen maßlos, denn er hat Zugriff auf den Fileserver.

Hier befinden sich Informationen, die wichtiger nicht sein könnten: Projektberichte, Kreditkarten Informationen, Forecast Daten, Angebote, Preise und vielleicht sogar HR Daten. All das ist nun in größter Gefahr, trotz des sorgsam erstellten Berechtigungskonzepts und der strikten Einhaltung von Berechtigungsprozessen durch Mitarbeiter und IT Abteilungen. Am Ende ist die richtige Berechtigung für einen internen Angreifer gesetzt und die Daten werden kopiert, gelöscht, verschoben.

File Server Audit

Einiges lässt sich nicht verhindern, da niemand die Absichten eines Angreifers im Vorfeld kennt. Zumindest eine schnelle Reaktion und ein vernünftiges Auditing lassen den Angreifer kurzer Hand identifizieren. Vielleicht noch bevor er das Unternehmen verlässt. Dies wird mittels einer praktikablen Software, dem Netwrix File Server Auditor, sehr einfach implementiert. Unter anderem werden folgende Aktionen mitprotokolliert:

  • Dateien werden …
    • verschoben
    • gelöscht
    • hinzugefügt
  • Dateien werden …
    • erfolgreich/nicht erfolgreich geöffnet
    • erfolgreich/nicht erfolgreich modifiziert

Von essentiellem Wert ist, dass auch Informationen mitgeschrieben werden wie der Benutzer, oder der Rechnername, von welchem die Aktion durchgeführt worden ist.

Echtzeit Benachrichtigung

Ein Protokoll über die durchgeführten Aktionen auf Fileservern durch zu führen ist für manche Zwecke ausreichend. Wesentlich interessanter könnten Benachrichtigungen in Echtzeit sein. Netwrix liefert hier die Möglichkeit ganz gezielte Events per Echtzeit an Administratoren zu versenden. Ob per E-Mail oder SMS, sobald eine Datei auf dem Fileserver gelöscht wird, erzeugt dieser beispielsweise ein Event mit der Event-ID 4660.

Eine mögliche Lösung

Netwrix kann diesen Event erfassen und sofort in Aktion treten. Unzählige weitere Filtermöglichkeiten werden ebenfalls angeboten, dass beispielsweise bestimmte Benutzer beim Löschen überwacht werden. Allumfassend lassen sich sämtliche Windowssysteme auf diese Weise mit Netwrix überwachen, da Server, ebenso wie Clients unter Windows ein Eventlog Repository haben, dass mit wertvollen Informationen gefüllt sein kann.

Ebenfalls erschienen auf http://blog.raber-maercker.de

Artikel teilen:

Kommentar verfassen