marceldelux 10 Geschrieben 26. August 2014 Melden Teilen Geschrieben 26. August 2014 Moin moin! Heutzutage ist man irgendwie vor Datendiebstahl nicht so richtig geschützt, daher steht bei uns die Frage im Raum, inwiefern es möglich ist, sich vor unberechtigten Kopien von spezifischen Dateien zu schützen. Die hauptsächliche Aufgabenstellung ist, vielfache Zugriffe (vor allem lesend) zu erkennen und eine entsprechende Warnung (z. B. per Mail oder SNMP) auszugeben. Praktischerweise wäre ein Plugin für Nagios super, hierfür habe ich aber nur das check_smb_share gefunden, was nur die Verfügbarkeit eines Shares prüft. Nachdem ich das ein oder andere Programm nun mal ausprobiert habe, sind die Ergebnisse recht unterschiedlich ausgefallen: 10-strike connection monitor pro Kann so ziemlich genau das, was gefordert ist (Alarm beim öffnen von Dateien > X MB oder Lesen von Dateien > Anzahl X). Verursacht jedoch auch bei größeren (>5 Sek.) Intervallen hohe CPU-Lasten. ShareAlarmPro Zu ungenaue Möglichkeit zur Definition, wann ein Alarm ausgelöst werden soll ... Alles nicht so richtig schön... Kennt ihr vielleicht ein Programm/Dienst, der die o.g. Anforderungen erfüllt? Budget spielt erstmal eine untergeordnete Rolle. Das soll nur einfach laufen und möglichst wenig Performance fressen, da es auf nem umfangreichen, hoch frequentierten Fileserver liegen soll. Besten Dank schon mal! Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 26. August 2014 Melden Teilen Geschrieben 26. August 2014 Welches Problem möchtest Du denn auf dem Weg eigentlich erschlagen? Wenn die Daten nicht gestohlen werden sollen, dann wären doch entsprechende physikalische und berechtigungstechnische Absicherungen der bessere Weg, oder? Wer ist denn hier der Angreifer, also gegen wen wollt ihr Euch verteidigen? Wenn es ein lokaler Benutzer mit administrativen Rechten ist, was hindert den, vorher Eure Überwachung auszuschalten? Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 26. August 2014 Melden Teilen Geschrieben 26. August 2014 Hier könnte der Windows Rights Management Service helfen. Aber Achtung: Das Teil ist nicht ganz einfach. Du ja, ich habe davon bisher die Finger gelassen, nachdem ich auf irgendeinem Seminar war... Zitieren Link zu diesem Kommentar
marceldelux 10 Geschrieben 26. August 2014 Autor Melden Teilen Geschrieben 26. August 2014 Das eigentliche Problem ist, dass z. B. bei Ausscheiden eines Mitarbeiters sich auch im Einzelfall das Recht heraus genommen wurde, dass die von ihm bearbeiteten Dokumente mitgenommen bzw. verändert/gelöscht wurden. Da es sich in der Regel um rechtlich-verbindliche Dokumente handelt, ist die Bearbeitung bzw. Weiterverwendung nach Ausscheiden vertraglich untersagt. Die WIndows Rights Management Services habe ich in diesem Zusammenhang auch schonmal gehört aber so wie ich das sehe würde hier mit den berühmten "Kanonen auf Spatzen geschossen". Im Grundsatz genießen alle Mitarbeiter vollstes Vertrauen durch deren Vorgesetze. Deshalb sollen auch nicht alle Mitarbeiter durch Restriktionen in Ihrer Arbeit eingeschränkt werden. Nicht zuletzt würde dies auch einen erheblichen Mehraufwand in der Datenhaltung für uns als (eh schon zu kleine) Administrationsabteilung bedeuten. Daher ist eine Art Intrusion Detection wohl das Mittel, was wir einsetzen würden, um zumindest eine Erkennung zu haben. Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 26. August 2014 Melden Teilen Geschrieben 26. August 2014 Ich würde mir Produkte zu DLP anschauen. http://de.wikipedia.org/wiki/Data_Loss_Prevention Das abziehen eins Fileservers kann ja auch langsam passieren (per Programm unregelmäßig mit einem Stream Daten kopieren). Da fällt dies dann mit dieser Lösung nicht auf. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 26. August 2014 Melden Teilen Geschrieben 26. August 2014 (bearbeitet) Das ist so wie 'ein bisschen schwanger' zu sein. Entweder ganz oder gar nicht. Mit RMS hast Du schon das Mittel der Wahl zur Hand. In Verbindung mit SharePoint im Backend oder auch mit Fileservern, in Exchange integriert bis hin zu Office 365. Erweiterbar durch Plugins von Drittanbietern. Allerdings denke ich, dass für Dein Szenario ein anderer Ansatz hilfreich ist. Mit dem Überwachen von Servern auf Zugriffe wirst Du jede Menge Fehlalarme produzieren, denn wie unterscheidest Du einen erlaubten Zugriff von einemm verbotenen? Wenn Du Dir mal Domain und Server Isolation anschaust, kannst Du schon mal sicherstellen, dass nur berechtigte Personen von ihren Accounts von berechtigten Computern, die Mitglied der Domäne sind, auf Daten zugreifen dürfen. Dann kannst Du einschränken, ob an diesen Rechnern Daten auf Wechseldatenträger, DVDs, Tapes, etc. kopiert werden dürfen. Schliesslich filterst Du den Netzwerkverkehr und unterbindest Dateiuploads. Das kann dank Dropbox, GDrive, OneDrive, etc. und der Übertragung durch HTTPS oder RDP getunnelt, eine Herausforderung sein. Genauso die Regelung, wer womit seine Mails synchronisieren darf (Attachments!). Am wichtigsten ist dann ein Prozess, wenn man sich von einem Mitarbeiter trennt. Sofortiges Sperren aller Credentials, Einzug der Hardware, Freistellung, etc. Da gehört viel Gehirnschmalz in die Prozesse gesteckt. Was Du bisher vorhast, ist eher "Security Theater" bearbeitet 26. August 2014 von Daniel -MSFT- 1 Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 26. August 2014 Melden Teilen Geschrieben 26. August 2014 Moin, bevor die Technik ins Spiel kommt, sollten die organisatorischen Rahmenbedingungen feststehen. Risiken aufnehmen und bewerten, Klassifizierungen festlegen, Policies und Prozesse definieren ... usw ... Du beziehst Dich auf ein Beispiel (vermutlich - wie so oft - aufgrund eines Vorkommnisses in jüngster Vergangenheit). Für DLP braucht es einen ganzheitlichen Ansatz, Aktionismus ist kein guter Ratgeber. Vielleicht hilft Dir diese Präsentation weiter http://de.slideshare.net/sarfarazchougule/isaca-webinardlpaug82013final-v128451 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.