备用文件流允许用户在任何 NTFS 文件中嵌入隐藏内容。该文件可以是 TXT 文件,例如 MOV。有些人可能认为这是一种隐写术,因此可能适用相同的审计原则。另一方面,某些应用程序(例如 Exchange 和 SMTP)将这些流广泛用于合法目的。
备用文件流在您的组织中是否得到任何特殊处理?
您会或不会审计 AFS 文件访问的主要原因是什么?
如果您明确扫描这些文件,您会寻找什么?你如何回应?
NTFS 备用文件流在您的组织中是否被视为安全风险?它是如何减轻的?
信息安全
审计
文件系统
隐写术
2021-08-15 08:16:03
1个回答
我与很多公司的人交谈过,大多数人根本没有考虑备用文件流。原因是在所有情况下,他们的渠道要简单得多,但仍需要有效控制,而且不需要额外的预算。一个拥有非常有效的 DLP 解决方案的客户不允许任何传出文件或附件,除非它们已经预先批准 - 所以他们将是我尝试这个的最佳人选,但是他们没有轻松实现这一点的基础设施。
一个问题是您需要自动化 AFS 内容的有效性——我不知道有谁有解决方案。我想您可以将所有有正当理由的应用程序列入白名单,但精明的人可以在与这些应用程序关联的文件中使用 AFS。
我考虑得越多并与其他 DLP 尝试进行比较,我就越认为这是一个主要问题,除非您广泛迁移到瘦客户端(例如完全 Citrix ed 的环境)或拥有一个锁定用户无法获得的环境足够的访问权限来创建 AFS。