File Server Yönetiminde Siber Güvenlik Riskleri Nasıl Raporlanır ve Yönetilir?

BT birimleri kurumun teknoloji ihtiyaçları için çok sayıda sistem kurması gerekir. Kurulan her sistem belirli ihtiyaçları karışılarken yanında yönetilmesi gereken bir iş yükünü de beraberinde getirir. Günümüzde her kurumda kullanıcılar tarafından en çok kullanılan servis dosya paylaşım sunucularıdır. Dosya paylaşım sunucuları kurulumu kolay fakat yönetimi zordur. Bu zorluk zaman içerisinde kullanıcılar tarafından oluşturulan klasörlerin, dosyaların ve erişimlerin sayısı artıkça sistemde güvenlik ve yönetim karmaşası oluşur.  Windows tarafından yönetilen bir dosya paylaşım alanında görünürlük bir süre sonra kaybolur.

Bu durum güvenlik ve yönetim risklerini de beraberinde getirir. FolSec dosya paylaşım sunucularında görünürlük ve yönetim kolaylığı sağlamak için BT yöneticisine 4 perspektif sunar. Gelin dosya sunucusunda ki 4 riski tespit edelim ve FolSec’in çözüm mimarisine bakalım.

  Riskler.

1.    File server alanındaki permissionların raporlama ve yönetim zorluğu.

2.    File server permission taleplerinin yönetilememesi.

3.    File server alanında ki erişimlerin anlamlı şekilde raporlanamaması.

4.    File server alanı nasıl kullanılıyor? Ne tür dosya tipleri var analiz edilemiyor.

  FolSec ile Dosya Sunucusunda 4 Perspektif

1. Permission Perspektif Özellikleri. ( NTFS izin yönetimi)

                1. Permission Raporlama

                2. Permission Yönetimi (Permission Add-Clone-Move-Delete)

                3. Permission Backup ve Restor

                4. Permission Talep Yönetimi.

                5. Active Directory Security Grup Yönetimi.

2. Audit Perspektif Özellikleri. ( Okuma, silme, oluşturma,taşıma,permission değiştirme, dosya düzenleme vs.)

                1. Kullanıcı aktivitelerinin raporlanması.

                2. Dosya aktivitelerinin raporlanması.

                3. Proses aktvitelerinin raporlanması.

                4. Şüpheli kullanıcı aktivitelerinin raporlanması.

3. File Type Perspektif Özellikleri.

                1. Dosya uzantılarının raporlanması.

                2. Dosya kategorilerinin raporlanması.

                3. Atıl dosyaların tespit edilmesi.

                4. Dublike olmuş dosyaların raporlanması.

                5. Dosya yaşlandırma ile istenilen uzantı, erişim tarihi, dosya sahipliği gibi seçeneklere göre dosyalar için silme, kopyalama ve taşıma işlemi yapılabilir.

4. File Server Anomali Tespit  Özellikleri

       1. Şüpheli kullanıcı aktivitelerini tesbit edebilirsiniz. Ör: 1 Dakika içinde 100 dosya silinmesi, taşınması, permission change olması gibi.

       2. Şüpheli Ransomware  aktivitesinin tespit edilmesi. Ör: 1 Dakika içinde 100 dosya okuma,silme ve oluşturma eventi aynı anda oluşursa şüpheli bir aktivite olarak raporlanır.

       3. Özel olarak belirleyebileceğiniz klasörde event türlerine göre alarm oluşturulabilir. Ör.  5 Dakika içinde c:\data\finans  klasöründe 10 dosya aynı anda silinirse alarm üretir.,

       4. Belirtilen alarm eşiği aşıldığında aksiyon alınabilir. Ör: 1 dk içinde 100 silme işlemi olursa ilgili kullanıcı hesabını disable et gibi. File server paylaşımlarını belirtilen süre kadar blokla diyebilirsiniz.

1.  Permission Perspektif

Folsec file server üzerindeki ntfs permissionları belirli periyotlarda tarayarak  hangi klasörde kimin veya gurubun ne tür hakkı olduğunu tespit eder. (Tarama için agent kurulmaz) Özellikle everyone gurubu Permission Perspektif Dashbordunda merkeze alınmış ve FolSec üzerinden everyone grubu bir klasöre tanımlanır ise otomatik e-posta göndermesi sağlanabilir.

 Folder Perspektif ( ntfs permission reporter and management)

Tarama sonrası permissionları raporlamak ve yönetmek çok kolaydır.  Server perspektif alanında yapılabilecekler.

• Hangi klasörde kimin ne tür hakkı var o anki durumunu raporlayabilirsiniz.
• Kullanıcı ve grup haklarını yönetebilirsiniz. (AD kullanıcı ve gruplarını Ekleme – Silme – Düzenleme)
• Bir kullanıcıya belirli bir süre için permission verilebilir. ( \\finans klasörüne Hakan bey için Bugün saat 14:00’da  read hakkı ver. Akşam 18:00’da permission’ı geri kaldır. İşlemler bitince  E-posta ile geri bildirim yapılabilir.
•  \\Finans klasöründeki kullanıcı haklarını export edebilir veya e-posta ile gönderebilirsiniz.
• Inherit raporunu alabilir ve değişiklik yapabilirsiniz.  Tüm klasörlerin inherit ayarlarını topluca enable edebilirsiniz.
• Klasörlerin owner’ını görebilir ve değiştirebilirsiniz.
• Bir klasöre izin verirken alt klasörlerde inherit kapalı olsa bile mevcut permissionları bozmadan permission değişikliği yapılabilir.
•  Bir klasörün permission yönetimini sadece bir kişiye verebilirsiniz. 
• Bir klasördeki tüm permission değişikliklerini belirlenen kullanıcılara e-posta ile raporlayabilirsiniz.
• Kullanıcı bazlı verilmiş olan izinleri convert to group özelliği ile otomatik security guruplarına çevirebilirsiniz.

User Perspektif ( NTFS permission report)

Bir kullanıcı veya gurubun hangi server üzerinden hangi klasörlerde ne tür permissionları var raporlayıp yönetebilirsiniz.

• Bir user’ın tüm haklarını topluca değiştirebilirsiniz. \\finans klasöründe ismail Bey’in full permissionlarını read olarak değiştirebilirsiniz.
• Hakan Bey’in tüm haklarını Mehmet bey ’ede klonlayın.
• Okan Bey’in tüm haklarını Serhat Bey’e taşıyın.
• Taylan Bey’in tüm haklarını seçilen server üzerinden kaldırın.
• Everyone grubunun tüm haklarının raporunu export edin veya e-posta ile gönderin.
• Sistemden silinmiş olan kullanıcıların SID’lerini topluca görüp hepsini silebilirsiniz.

NTFS Permission Logs & Restore

FolSec permission tarama sonuçları ve FolSec panel kullanılarak yapılan değişikliklerin analiz edildiği ekrandır.

•  Sistem tarama sonucunda hangi klasörlerde hangi permissionlar tespit edildi.

• FolSec panel üzerinden en çok kim hangi değişiklikleri hangi klasörde ne zaman yaptı raporlanabilir.
• NTFS izinlerindeki değişimler geri alınabilir.

NTFS Permission Backup&Restore

Dosya sunucusunda paylaşım alanlarındaki tüm klasörlerin ntfs izinlerini yedekleyip geri yükleyebilirsiniz.

  Folder Request Perspektif

 Kullanıcılar seçtikleri klasör için süreli veya süresiz permission isteğinde bulunabilir.  \\Projeler\  klasörüne 3 saat’lik izin talebinde bulunulabilir. Süre bitiminde izin kaldırılır.

Kullanıcıların folsec üzerinden klasör izin taleplerinin yönetildiği modül. Kim ne zaman hangi klasör için ne kadar süre izin talep etmiş kim onaylamış kim reddetmiş raporlanabilir.

• Bir klasörün permission yönetimi bir kullanıcıya verilebilir ve permission talepleri bu kullanıcı tarafından yönetilebilir.
•  Yapılan tüm permission istekleri ve sonuçları raporlanabilir.

2.  File Audit Perspektif

     Windows file audit loglarının analiz edildiği dashboard.

•  File server üzerinde okuma, oluşturma, silme, düzenleme, izin değiştirme vs işlemlerinin kim tarafından ne zaman yapıldığını anlık raporlayabilirsiniz.
•  Windows üzerinden yapılan permission değişiklikleri analiz edilebilir.
• Klasör ’ün owner değişikliği kimin yaptığı tespit edilebilir.
• Seçilen tarih aralığında en fazla silinen, oluşturulan ve okunan dosya tipleri neler?
• Seçilen tarih aralığında top 5 okuma, silme, oluşturma, rename etme vs işlemleri analiz edilebilir.
• Başarısız silme ve okuma girişimleri raporlanabilir.
• En son hangi path üzerinde okuma, silme, oluşturma vs işlemlerinin yapıldığı raporlanabilir.
• En son Windows event ne zaman kim tarafından silindi raporlanabilir.

3. File Type Perspektif

File server üzerindeki dosya tiplerinin analiz edilmesini sağlar.

• Sunucu üzerinde hangi formatta kaç adet dosya var bilinebilir.   .doc uzantılı 500 dosya var toplam 4.6GB path bilgisi ve owner’ı ile birlikte.
• Dosya tiplerinin hangi kategoride olduğu tespit edilebilir. Executable kategorisinde 200 dosya var 5GB
• Hangi kullanıcının hangi kategoride kaç dosyası var boyutları neler raporlanabilir.
• En son oluşturulan dosyalar hangileri.
• En eski dosya uzantısı nedir?
• Örneğin 10MB’dan büyük dosyaları listeye bilirsiniz.
• Örneğin seçilen tarihten önce veya sonra oluşturulan dosya tiplerini raporlayabilirsiniz.
• Boyutu en fazla olan klasörleri raporlayabilirsiniz. İçerisinde kaç alt folder olduğunu ve dosya tiplerini analiz edebilirsiniz.
• Klasör oluşturma silme ve düzenleme işlemlerini web ara yüzünden yapabilirsiniz.

Folsec sisteme kurulduktan sonra dosya paylaşım alanındaki 4 riskin de yönetilebilir ve raporlanabilir hale geldiğini göreceksiniz. FolSec yerli sermaye ve insan kaynağı ile geliştirilmiş dosya paylaşım sunucusu üzerindeki riskleri minimize etmek yönetimi kolaylaştırmak ve KVKK süreçlerine destek olmak için geliştirilmiş web tabanlı yazılımdır.  

Teşekkürler.

https://folsec.com

info@folsec.com