SearchInform FileAuditor

SearchInform FileAuditor 2023: Potente Auditoría de Archivos

Descubra cómo SearchInform FileAuditor revoluciona la auditoría de archivos, optimizando la seguridad y el cumplimiento normativo.

 

Imagine la siguiente situación: Usted contrató a un estudio de mercado que le costó una fortuna y a los pocos días de recibido, lo ve publicado en Internet. ¿Qué pasó? Si este estudio debía verlo solamente la alta gerencia. La respuesta es simple: cualquiera de su equipo tenía acceso a él, y a alguien le pareció interesante y lo compartió.

O imagine que la administración planea “reducir costos” a expensas de eliminar el pago de los premios por cumplimiento de objetivos, y los empleados que tuvieron acceso a un borrador del plan guardado en una carpeta compartida paralizaron la producción de la planta.

O que el asistente de sistemas, descontento con su jefe, eliminó el archivo que contenía los balances contables de la compañía que debía presentarse mañana.

Todos estos ejemplos y los que imagine que nunca le van a pasar, son incidentes graves de seguridad interna, para protegerse de ellos, ya no es suficiente rastrear el movimiento de datos fuera de la organización. Es trascendental saber quién trabaja con los datos confidenciales, y quién tiene acceso a los archivos. Estas tareas se pueden resolver con la ayuda de SearchInform FileAuditor un producto DCAP (data-centric audit and protection), desarrollado para la auditoría y protección con el foco en los datos.

Introducción

Existen varios instrumentos para supervisar datos confidenciales, soluciones como eDiscovery, herramientas integradas del sistema operativo que controlan el acceso a documentos, el sistema DLP que muestra quién interactúa con ellos.

Sin embargo, ninguna de estas herramientas por si solas hacen frente a la tarea de protección de datos de manera integral. Las herramientas del sistema operativo analizan los archivos sin tener en cuenta el valor del contenido del documento. eDiscovery tampoco audita los cambios ni los derechos de acceso, por otro lado las soluciones DLP no alertan sobre las acciones no deseadas con los archivos, a menos que estos intenten abandonar la red corporativa.

Realmente, para proteger los datos confidenciales dentro del perímetro corporativo, se debe:

  • monitorear constantemente el contenido de los archivos
  • identificar los datos más importantes
  • controlar sus movimientos, cambios, eliminaciones
  • conocer y visualizar quienes trabajan con ellos
  • notificar una violación de las normas de seguridad

La integridad de estos procesos es proporcionada por SearchInform FileAuditor, que facilita no solo la auditoría de los sistemas de archivos, sino que también audita los permisos de acceso de los usuarios a la información sensible.

SearchInform FileAuditor:

  1. Arquitectura de la solución

SearchInform FileAuditor tiene una arquitectura cliente-servidor clásica.

El backend es responsable de la instalación y administración de los agentes, permite la conexión o desconexión de los agentes, seleccionar equipos y carpetas individuales para supervisar y configurar reglas de escaneo.

También aquí se escriben los datos de monitoreo en bases que ejecutan MS SQL; se configuran repositorios para archivar documentos confidenciales.

El agente y el servicio de análisis de red recopilan y analizan los sistemas de archivos.

Los agentes del sistema se instalan en las PCs de los empleados y permiten la supervisión a nivel de estación de trabajo y/o servidor de archivos.

El servicio de análisis de red controla NAS (almacenamiento conectado en red), y funciona a través del protocolo SMB, es decir, el análisis es posible en cualquier dispositivo, independientemente del sistema operativo.

Figura 1: Esquema muestra como trabaja FileAuditor
Figura 1: Esquema muestra como trabaja FileAuditor
  1. Funcionalidad

FileAuditor resuelve siguientes tareas:

  • Monitorea el almacenamiento de archivos
  • Detecta y clasifica los datos vulnerables
  • Archiva los documentos críticos
  • Audita los derechos de acceso
  • Controla las acciones de los usuarios
  • Gestiona los incidentes de seguridad

Vamos a analizar cada tarea con más detalle.

  • Monitoreo de almacenamiento

FileAuditor realiza un monitoreo continuo en los puntos finales para detectar rápidamente los cambios en los archivos y carpetas. Puede configurar de forma flexible el monitoreo, desde grupos de PC y servidores hasta máquinas y directorios individuales.

En el primer escaneo, el programa analiza la estructura y el contenido de los archivos en las máquinas monitoreadas.

En el escaneo posterior FileAuditor da mayor prioridad a los archivos y carpetas, que se han sido abiertos, editados, eliminados, creados, renombrados o movidos.

Además, el monitoreo de las PCs de los empleados se lleva a cabo en tiempo real, es decir, el especialista de seguridad siempre está actualizado.

El análisis primario de contenido y contexto de los archivos también se lleva a cabo directamente en los puntos finales, la funcionalidad se implementa en su propio motor de búsqueda.

A pesar de gran volumen de tareas, los agentes son imperceptibles para los usuarios, y no frenan las máquinas controladas. Esto se logra gracias a la configuración:

  • horarios de inspección (por ejemplo, solo al final del horario de trabajo);
  • condiciones de auditoría (por ejemplo, solo si el uso de la CPU es inferior N%, solo si no hay sesiones activas, etc.);
  • velocidad de escaneo (se puede reducir para aliviar la carga de la infraestructura).

Para ahorrar tiempo algunos archivos y carpetas se pueden excluir del monitoreo.

Por ejemplo, no hay necesidad de utilizar recursos de software en el análisis de archivos del sistema. La lista de excepciones se ajusta de forma flexible por atributos, nombre, ubicación, etc.

Figura 2: Estadísticas de escaneo de FileAuditor
Figura 2: Estadísticas de escaneo de FileAuditor

Toda la información sobre el monitoreo de directorios con archivos según las reglas de FileAuditor está disponible en la pestaña “Estadística de escaneo”.

Las estadísticas generales de todos las PCs y recursos de red están disponibles, así como informes detallados sobre el escaneo de dispositivos individuales.

Se puede ver cuándo se realizó el último escaneo, cuánto duró, cuántos archivos se verificaron, en qué categorías se encuentra la información en ellos y si hubo errores durante el análisis.

  • Clasificación de datos

A diferencia de las herramientas tradicionales, FileAuditor clasifica los archivos no solamente por un nombre o ubicación. El programa analiza el contenido de los archivos, los divide en categorías y etiqueta los datos confidenciales. Para lograrlo, las reglas de clasificación se establecen previamente

¿Qué características clave debe tener un archivo para caer en una categoría u otra?

El programa puede buscar:

  • Por palabras clave, frases y secuencias de caracteres (inserciones en idioma extranjero, @, №,$,%, etc.). FileAuditor refina la búsqueda y especifica cuántas veces deben aparecer las palabras y frases buscadas en el documento. Si busca varias palabras clave a la vez, puede especificar la distancia entre ellas en el documento para considerar que combinación es significativa.
  • Por diccionario. El programa tiene un editor incorporado que convierte automáticamente cualquier texto de muestra en un diccionario. Este tipo de búsqueda es útil para resaltar categorías temáticas de documentos: por ejemplo, considerar un archivo como “documentos financieros” si contiene al menos 5 expresiones contenidas en el diccionario de terminología contable.
  • Por expresiones regulares. El programa tiene un editor conveniente para crear expresiones regulares con un teclado virtual, que tiene elementos de búsqueda listos para usar, todos acompañados de comentarios detallados. Cuando en una sola búsqueda se combinan varias condiciones, puede crear expresiones regulares complejas.

 

Por ejemplo, considerar en la regla de clasificación solo los archivos donde se encuentren al menos 5 combinaciones de números de tarjeta de crédito y códigos CVC/CVV al mismo tiempo.

 

También puede asegurarse de que la consulta funciona correctamente: hay un campo de validación, donde puede especificar un ejemplo de la combinación de caracteres deseada y probar si el sistema la reconoce.

Figura 3: Editor de expresiones regulares en FileAuditor
Figura 3: Editor de expresiones regulares en FileAuditor
  • Por atributos de archivos. El criterio permite relacionar con la regla de clasificación solo los archivos de un tipo y tamaño específico, creados o modificados en un intervalo determinado, almacenados en un directorio determinado, etc.

Una regla puede combinar varios tipos de búsqueda a la vez, los criterios se combinan a través de operadores lógicos.  Para mayor comodidad, el sistema tiene plantillas de reglas listas que se adaptan fácilmente a las necesidades de la organización. También el sistema permite crear sus propias plantillas.

Las reglas de clasificación se pueden aplicar a todos los archivos de la infraestructura corporativa o a máquinas/directorios individuales. Como resultado, toda la información relevante se clasificará en categorías: “Archivos de oficina”, “Contratos”, “Precios”, “Datos personales”, etc. El sistema detectará todos los archivos relacionados, dondequiera que se encuentren, y pondrá las etiquetas correspondientes.

Figura 4: Marca de reglas y resaltado de fragmentos claves en Consola analítica de FileAuditor
Figura 4: Marca de reglas y resaltado de fragmentos claves en Consola analítica de FileAuditor

En el modo “Solo texto”, se resaltan los fragmentos dado los que el programa asigne el texto a una categoría específica (en la figura 4 se muestra en azul).

  • Archivado de documentos críticos

Para proteger los documentos de cambios no autorizados, FileAuditor crea copias de seguridad de los archivos.

El programa puede almacenar varias versiones recientes de los archivos específicos, y permite recuperar la versión deseada.

Esto garantiza que la información no se perderá, incluso si el documento se elimina accidentalmente o intencionalmente. Todas las copias de seguridad se almacenan encriptadas, por lo que no pueden verse comprometidas en el almacenamiento de FileAuditor.

El programa solo guarda los archivos para los que se ha establecido la configuración adecuada, por lo que el servidor no se sobrecarga con copias innecesarias. También se implementó el sistema de deduplicación: si se encuentran copias idénticas del mismo archivo en varios puntos de la red, en el almacén de FileAuditor se incluirá solo una copia.

Además, puede determinar el número de versiones guardadas por cada archivo único; las copias obsoletas con las que los usuarios han dejado de interactuar se eliminan automáticamente.

  • Auditoría de derechos de acceso

FileAuditor determina los derechos de acceso de los usuarios a cada documento.

A través de FileAuditor se puede ver:

  • lista de grupos y empleados específicos a los que está disponible el archivo;
  • lista de operaciones disponibles para cada usuario con un archivo/directorio específico.

El programa tiene filtros que ayudan a especificar el resultado de búsqueda para un análisis más detallado de los derechos de acceso. Para cada archivo, se puede encontrar a todos los usuarios con permisos específicos, por ejemplo, a todos los empleados que pueden editar y eliminar el archivo, o solo a aquellos a quienes se les niega el acceso al archivo (empleado-archivo). Y viceversa: se puede buscar qué archivos están disponibles para usuarios/grupos específicos (archivo-empleado).

La información más completa sobre los permisos de usuario está disponible en los informes “Permisos” y “Propietarios de recursos”. El último informe es especialmente útil para controlar la aparición de nuevos archivos y asignar permisos a ellos.

  • Control de las acciones de los usuarios.

FileAuditor proporciona información detallada sobre todas las operaciones con archivos del usuario. Para cada documento en los repositorios supervisados, puede ver el historial completo: quién y cuándo abrió o editó el archivo que está buscando.

Figura 5: Ver actualizaciones de archivo en FileAuditor
Figura 5: Ver actualizaciones de archivo en FileAuditor

También se pueden utilizar filtros para reducir la selección de archivos en función de la operación crítica que desee supervisar.

Por ejemplo, puede seleccionar solo documentos que en un intervalo de tiempo determinado:

  • Se han cambiado;
  • Renombrado;
  • Desplazado;
  • Eliminado;
  • Recibieron la nueva configuración de derechos de acceso;
  • Cayeron bajo la regla o dejaron de cumplir con ella.

El criterio “Monitoreo de archivo ha suspendido” indica que el documento no se cumple con las características por las cuales el sistema determine su pertenencia a una categoría de control.

Por ejemplo, si los usuarios eliminan el sello “Secreto comercial” del texto, técnicamente, el sistema deja de considerar el dicho archivo como confidencial, sin embargo la operación se registre para una mayor investigación. Esto ayuda a resolver incidentes de fraude.

Figura 6: Investigación del incidente en FileAuditor: un empleado modificó el contenido del documento para que se detuviera caer bajo el control y lo movió a la carpeta "no se olvide de llevar"
Figura 6: Investigación del incidente en FileAuditor: un empleado modificó el contenido del documento para que se detuviera caer bajo el control y lo movió a la carpeta “no se olvide de llevar”

Para los documentos más críticos, es aconsejable configurar políticas de seguridad específicas que supervisen las operaciones con archivo y alerten a los auditores quién las realizó y cuándo.

  • Gestión de incidentes

Las políticas de seguridad de FileAuditor ayudan a responder a tiempo a los eventos no deseados con las categorías de datos especificadas.

Puede configurar la búsqueda automatizada de violaciones:

  • por categoría de archivo o carpeta (según las reglas de clasificación);
  • por ubicación;
  • por tipo;
  • por extensión;
  • por derechos de acceso de usuario;
  • por fecha de creación o modificación, etc.

Por ejemplo, se puede crear una política que le avise si los nuevos usuarios tienen acceso ampliado a documentos de la categoría “Contabilidad Financiera”.

Cuando se activa la política, el sistema envía una alerta al especialista de seguridad y guarda los resultados de la búsqueda en la pestaña “Incidentes”. Allí puede examinar las violaciones y la información relacionada a los archivos que cayeron bajo la política: dónde se almacenan, a qué categorías pertenecen, y quién tiene acceso a ellos.

Para prevenir incidentes, puede bloquear de antemano las acciones de los usuarios no deseadas. Puede establecer prohibiciones para todos o para usuarios/PC individuales, así como configurar excepciones.

Por ejemplo, prohibir la lectura de archivos de la categoría “Secreto Comercial” a todos los usuarios, excepto a la alta gerencia.

Los intentos de acceso/cambios bloqueados se puede ver después de la auditoría.

Aún más bloqueos están disponibles cuando FileAuditor se integra con el SearchInform DLP.

  • Marcado de documentos confidenciales en MS Office

Es una reciente actualización. El sistema ahora le permite especificar el nivel de confidencialidad de los documentos directamente en la interfaz de las aplicaciones Microsoft Office. Por ejemplo, si los altos ejecutivos de la Junta Directiva no quieren que un documento con regulaciones internas pueda ser leído por empleados de menor rango, entonces pueden etiquetar los archivos relevantes, y el sistema les aplicará las restricciones necesarias.

La tarea se resuelve mediante etiquetas que se puede asignar a un archivo cuando se trabaja con él en Word, Excel, PowerPoint, etc. Las etiquetas de FileAuditor se colocan con un solo clic en el panel de control y le permiten establecer manualmente uno de los cinco niveles de privacidad: “Público”,”Para uso interno”,”Confidencial”,”Alto secreto” y “Importancia especial”.

Figura 7: Las etiquetas manuales en panel de control en MS Word
Figura 7: Las etiquetas manuales en panel de control en MS Word

Para cada categoría de etiquetas manuales, hay criterios de protección flexibles que son configurados por el especialista de seguridad de manera centralizada en la consola FileAuditor.

Por ejemplo, se puede establecer una regla para que los documentos etiquetados como “Para uso interno” no se puedan enviar a Outlook, WhatsApp o cualquier otra aplicación.

O prohibir que todos, excepto los usuarios y grupos seleccionados, lean un archivo etiquetado como “Alto secreto”.

Además, el programa le permite limitar en qué PC y para quién estará disponible la colocación de tales etiquetas, por ejemplo, solo a la alta gerencia de la compañía.

  1. Capacidades de integración

FileAuditor es un producto independiente que puede integrarse con otros sistemas de seguridad de la información. El programa interactúa con sistemas DLP de cualquier fabricante, y con la solución SearchInform DLP se integra perfectamente dentro de una interfaz.

El uso compartido (FileAuditor + DLP) multiplica el nivel de seguridad de la información, ya que tanto el perímetro externo, como también el ecosistema interno están bajo control. FileAuditor muestra quién almacena los documentos confidenciales en violación de las políticas de seguridad, y el sistema DLP le permite rastrear quién, cuándo y a quién envió los archivos.

Además, en el DLP se puede bloquear la transmisión de documentos que caen en las categorías especificadas en FileAuditor.

Por ejemplo, se puede configurar que el DLP no permita ningún intento de enviar un archivo de la categoría “Documentos Financieros” a la nube o compartir en algún mensajero un documento con el sello “Secretos Comerciales”.

FileAuditor también admite la integración con SIEM y SOC.

Conclusión

Las soluciones para el control completo del sistema de archivos siguen ganando popularidad. SearchInform FileAuditor es uno de las soluciones DCAP que resuelve una amplia gama de tareas.

El programa le permite estructurar la información, le cuenta cuántos archivos confidenciales se almacenan en el sistema, quién accede a ellos y si tiene el derecho de acceso a ello. La integración de FileAuditor con los sistemas DLP y otras herramientas de seguridad de la información proporciona una investigación integral de las circunstancias de las violaciones.

Está disponible una prueba gratuita de 30 días de la versión completa de SearchInform FileAuditor en la infraestructura del cliente.

Ventajas:

  • Trabaja en el Bloque de mensajes del servidor (SMB) independientemente del sistema operativo (para análisis de red).
  • Un producto con su propio componente analítico (motor de búsqueda).
  • Altas velocidades de procesamiento de datos con poca carga de almacenamiento (los datos de escaneo se recopilan y analizan en agentes sin necesidad de escribir en la base de datos).
  • Gestión proactiva de incidentes (bloqueo de contenido, personalización de reglas de control para diferentes categorías de archivos/usuarios).
  • Visualización práctica del estado de los sistemas de archivos (marcadores de color por contenido, registro de eventos, informes de propiedad y permisos de acceso, estadísticas de escaneo, etc.).
  • Archivado de información crítica (copia de seguridad de las últimas versiones de archivos de categorías especificadas).
  • La integración con DLP, SIEM, SOC y otras soluciones de seguridad de la información.
Por Ricardo Martínez, Gerente de Negocios y alianzas estratégicas de SearchInform Latinoamérica.

 

Lea más sobre Ciberseguridad en;

COMUNICACIÓN A 7724 BCRA: Plan para No Salir del Mercado

Cibercrimen vs Piratería Ética: 15 Tipos de Hackers Actuales

IA Generativa o ChatGPT corporativo seguro: Netskope 2023

TriangleDB: nuevas revelaciones al 21 de Junio

ChatGPT 100.000 cuentas comprometidas a la venta en la Dark Web

SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor,

SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor, SearchInform FileAuditor,  

Scroll al inicio