web-dev-qa-db-ja.com

NTFS代替ファイルストリームは、組織のセキュリティリスクと見なされていますか。どのように軽減されますか?

代替ファイルストリーム ユーザーが任意のNTFSファイル内に非表示のコンテンツを埋め込むことができるようにします。そのファイルは、たとえばTXTファイル、またはMOVです。これをステガノグラフィの形式と見なす場合があるため、同じ監査プリンシパルが適用される場合があります。一方、Exchangeなどの一部のアプリケーションはSMTPは、これらのストリームを正当な目的で広範囲に使用します。

代替ファイルストリームは、組織内で特別な扱いを受けますか?

AFSファイルアクセスを監査する、または監査しない主な理由は何ですか?

これらのファイルを明示的にスキャンする場合、何を探しますか?どのように対応しますか?

6

私は多くの企業の人々と話をしましたが、大多数は代替ファイルストリームをまったく見ていません。その理由は、すべての場合において、効果的に制御する必要があり、余分な予算がない、はるかに単純なチャネルがあるためです。非常に効果的なDLPソリューションを備えた1つのクライアントは、事前に承認されていない限り、送信ファイルや添付ファイルを許可しません。したがって、これを試すのに最適な候補ですが、これを簡単に実装するためのインフラストラクチャがありません。

問題は、AFSコンテンツの有効性を自動化する必要があるということです-私はまだ解決策を持っている人を知りません。正当な理由があるすべてのアプリをホワイトリストに登録できると思いますが、その場合、知識のある個人は、これらのアプリに関連付けられたファイルでAFSを使用できます。

考えて他のDLPの試みと比較すればするほど、シンクライアント(完全にCitrixの環境など)に広範囲に移行するか、ロックダウンされたユーザーが取得できない環境を持たない限り、これは大きな問題だと思います。 AFSを作成するための十分なアクセス。

1
Rory Alsop