Como posso monitorar se alguém está enviando ou recebendo arquivos?

2

Eu tenho uma pequena rede de escritórios com cerca de 20 computadores. Como posso rastrear quais arquivos e qual computador está enviando ou recebendo arquivos?

Minha pergunta não é como impedir que alguém envie arquivos, mas para rastrear quem e quais arquivos eles estão enviando e recebendo fora da rede. Os arquivos podem ser enviados através do messenger, email, etc.

    
por KMC 11.01.2012 / 12:42

5 respostas

1

Difícil de fazer na rede.

  • Os dados enviados nem sempre têm um "nome de arquivo" anexado a ele.
  • Os dados podem ser criptografados (por exemplo, HTTPS).
  • Os protocolos podem não estar claros (uso comum da porta 80 por protocolos diferentes de HTTP).

Difícil de fazer no PC.

  • As pessoas podem instalar programas próprios
  • As pessoas podem usar programas "oficiais" de maneiras inesperadas.
  • As pessoas podem inicializar a partir de drives flash USB
por 11.01.2012 / 12:59
1

Como indicado na resposta anterior, é tecnicamente difícil e realmente impossível bloquear até as formas mais óbvias sem obstruir o uso aceitável.

Legalmente, também pode ser complicado não violar as leis de privacidade.

Sua melhor chance é confiar nos usuários. E se você não confia em algum - limite o acesso deles aos arquivos confidenciais.

    
por 11.01.2012 / 14:12
1

Existem produtos de DLP (Data Loss Prevention) como Monitor de tráfego do InfoWatch que afirma fazer o que você está pedindo. No entanto, todos esses produtos não são soluções prontas para uso, mas sim sistemas complexos que exigem que os consultores sejam instalados, ajustados, etc. Eles usam algoritmos complexos de análise de tráfego para detectar vazamentos de dados (anexos de imagem de OCR, verificação de tráfego criptografado). , pode detectar atividade suspeita, etc.).

Eles custam muito dinheiro. Não tenho conhecimento de nenhum sistema desse tipo que seja econômico para uma empresa tão pequena (20 usuários).

    
por 11.01.2012 / 15:39
1

Existem algumas soluções básicas de prateleira (por exemplo, a oferta do Macafee) que podem funcionar como uma regra de acesso básica baseada em função, mas para obter qualquer valor que você precise ajustar / configurar qualquer solução de DLP.

O que algumas organizações com quem trabalho fazem é definir permissões por usuário (por exemplo, somente esses 3 indivíduos têm permissão para enviar anexos, somente os que podem imprimir, etc.). Para este cenário, você coloca sua confiança nesses usuários nomeados. Se eles cometerem um erro ou se tornarem desonestos, você ainda poderá verificar os logs para ver o que eles enviaram, mas os dados podem vazar. Pelo menos você reduziu o risco para apenas aqueles indivíduos (ou qualquer pessoa com suas credenciais)

O que os outros fazem é anexar palavras de código a todos os documentos principais e definir o serviço DLP para acioná-los. Gateways de correio padrão podem ter essa funcionalidade (eu sei Mailsweeper e afins)

Uma solução mais madura é impor classificações em todos os documentos - isso pode ser um exagero para você agora, mas você está em um tamanho onde é gerenciável e se tornará cada vez mais útil à medida que cresce. Usando classificações, torna-se muito fácil negar documentos secretos ou internos de saída, ao mesmo tempo em que permite documentos de menor sensibilidade.

Para ficar mais perto de sua pergunta exata , todas as opções acima registrarão o que foi enviado - o mais apropriado para você se você não precisar bloquear pode ser apenas para ativar o registro de todos os e-mails enviados com anexos no seu gateway de e-mail (por exemplo, o Exchange ...)

    
por 11.01.2012 / 17:51
0

Se você tiver sistemas Linux, você pode usar a auditoria de kernel do Linux para registrar todos os acessos de arquivos de leitura / gravação. A partir disso, você pode obter o usuário, o ID do processo e o nome do executável que acessou o arquivo.

Você pode usar o aureport para gerar um relatório.

No relatório, você pode procurar executáveis como clientes de chat, navegador, cliente ssh, etc. para encontrar quais arquivos foram acessados por eles (possivelmente para enviar)

Observação: você precisa instalar o pacote "auditd" para isso.

Este é um bom lugar para começar. link

    
por 11.01.2012 / 18:38