FileAudit in neuer Version 6.4 verfügbar
Vor einigen Tagen ist die neue Version 6.4 der Windows-Audit-Software FileAudit aus dem Beta-Status entlassen worden und kann jetzt produktiv eingesetzt werden. Dieser Artikel bietet eine kurze Zusammenfassung der wichtigsten Aspekte von FileAudit und zeigt anhand unserer Erfahrungen, wie dieses Tool eingesetzt werden kann. FileAudit überwacht, dokumentiert und warnt vor dem Zugriff auf vertrauliche Dateien und Ordner, die auf Windows-Servern und im Cloud Storage gespeichert sind.
Hauptfunktionen sind dabei:
- Überwachung von Ordnern und Dateien
- Alarmierung und automatische Reaktionen
- Auditierung von Zugriffen auf Dateien und Ordnern
- Reporting von NTFS-Rechten
- Monitoring von Cloud-Daten
Windows stellt von sich aus nur eingeschränkte Möglichkeiten zur Überwachung von Zugriffen auf Fileserver zur Verfügung und kann nur NTFS-Berechtigungen zur Steuerung der Zugriffe verwenden. Hier setzt FileAudit als Erstes an und liefert umfangreiche Möglichkeiten, die Zugriffe zu protokollieren oder zu steuern. So können z. B. für besonders sensitive Order wie Personal oder Geschäftsleitung zusätzlich zu den NTFS-Berechtigungen User oder Gruppen im FileAudit definiert werden, die Zugriff auf diese Ordner haben sollen. Greifen dann trotzdem andere User auf diese sensiblen Daten zu, weil z. B. bei der NTFS-Vergabe Fehler gemacht wurden oder Administratoren sich unerlaubt Zugriff gewährt haben, kann FileAudit die Zugriffe protokollieren, Warnungen verschicken oder den Zugriff direkt unterbinden. Für sensible Daten wird damit ein zweiter Faktor geschaffen, der Unternehmensdaten zusätzlich sichert und auch noch die weiteren Anforderungen erfüllt, die die DSGVO an besonders schützenswerte Daten stellt.
Was leistet die Windows-Audit-Software FileAudit?
Unterstützendes Werkzeug bei Ransomware Angriffen
Aber auch bei Sicherheitsvorfällen wie Ransomware-Angriffen kann FileAudit unterstützen, indem aus den Protokollen ausgelesen werden kann, ob Daten unberechtigt abgeflossen sind. Eine derartige Protokollierung ist in der Einschätzung von Sicherheits- und Datenschutzvorfällen extrem hilfreich, denn auf diese Weise kann z. B. belegt werden, dass keine personenbezogenen Daten abgeflossen sind und somit die Meldung eines Vorfalls bei den Datenschutzbehörden unterbleiben kann. Aber genauso gibt es dem Unternehmen Sicherheit, ob eigene Daten gestohlen wurden.
Die Auswirkungen von Ransomware-Angriffen kann FileAudit mit einer weiteren Funktion wirksam begrenzen. So werden Zugriffsmuster überwacht und bei verdächtigen Zugriffen Alarme ausgelöst oder direkt Aktionen ausgeführt.
Bei Verschlüsselungstrojanern gibt es das typische Muster, dass sehr viele Dateien geöffnet, geschrieben und gelöscht werden. Dieses Muster kann FileAudit erkennen und direkt Gegenmaßnahmen einleiten, wie Sperrung des Share für den verdächtigen User, Shutdown des Fileservers und Alarmierung der IT oder Geschäftsleitung. Zwar ist das Kind dann schon ziemlich tief im Brunnen, wenn eine Ransomware anfängt zu verschlüsseln, aber dadurch kann zumindest dieser letzte, fatale Schritt eines Angriffs gestoppt oder abgemildert werden.
Das NTFS-Reporting ist ein nützliches Instrument, um tägliche Administrationsaufgaben oder Überprüfungen durch intern oder externe Auditoren zu erleichtern. Dies ermöglicht die schnelle Erstellung von Reports, die den aktuellen Zustand darstellen oder auch Änderungen in der Vergangenheit aufzeigen. Es ist wichtig, dass solche Überprüfungen der Zugriffsstrukturen regelmäßig durchgeführt werden, da in den meisten Umgebungen die Rechte häufig angepasst werden und dadurch das Risiko besteht, dass User mit der Zeit zu viele Rechte erhalten. Hier schafft FileAudit einen schnellen Überblick, dass die wirksamen Berechtigungen auch den geplanten Berechtigungen entsprechen.
Die in 6.4 verbesserte Möglichkeit des NTFS-Reportings zeigt Änderungen transparent an, vergleicht den alten und den neuen Zustand und kann bei jeder Änderung einen Alarm verschicken. Damit wird dieses Feature deutlich komfortabler als bisher, die Snapshots der Berechtigungen können aber auch weiterhin genutzt werden, um den Zustand zu definierten Zeitpunkten zu dokumentieren.
NTFS-Reporting erleichtert Routinetätigkeiten
FileAudit Einsatz bei integrate-it
Wir schätzen FileAudit als sehr nützliches Tool und haben es daher nicht nur für unser eigenes Rechenzentrum, sondern auch in unsere Managed Security Pakete integriert. Dort leistet es in mehrfacher Sicht wichtige Arbeit bei der Erkennung und Abwehr von Ransomware-Angriffen. Der erste Einsatz erfolgt zur Früherkennung von Kompromittierungen, indem wichtige Ordner überwacht werden.
Ein Angreifer könnte sich nun als Administrator im Active Directory anmelden und auf diese Ordner zugreifen. FileAudit erkennt solche unberechtigten Zugriffe und kann einen „stillen“ Alarm auslösen, damit der Angreifer nicht aufgeschreckt wird. Durch diese Maßnahme kann die IT den Vorfall untersuchen, den Angreifer identifizieren und angemessene Gegenmaßnahmen ergreifen. Genauso kann der Alarm auch mit einer direkten Zugriffssperre kombiniert werden, um direkt den Abfluss von Daten zu verhindern.
Als zweite Verteidigungslinie kann die Überwachung von Zugriffsmustern oder das Auftreten bekannter Ransomware-Dateiendungen dienen, um einen Verschlüsselungsangriff im Keim zu ersticken.
Sollten Sie FileAudit gerne testen oder einsetzen wollen, unterstützen wir Sie selbstverständlich oder können Sie zu unseren Managed Security Paketen beraten, die neben FileAudit viele weitere Bausteine zur Absicherung Ihres Netzes beinhalten.
Sie möchten weitere Informationen zum Thema FileAudit? Wir stehen Ihnen selbstverständlich mit Rat und Tat zu Seite. Nehmen Sie Kontakt mit uns auf. Marc Wilhelmi, Tel. 030.467 83 97–0