EnCase para Auditores de TI #1: Auditando y Validando Cuentas de Usuarios (Windows)



La validación de las cuentas de usuario es un componente crítico en la mayoría de infraestructuras de auditoría y cumplimiento de TI. Mientras que allí hay muchas herramientas para auditar las cuentas de usuario directamente en el controlador de dominio, muchas de las actividades y evidencia asociadas con el uso no autorizado de las cuentas de usuario suceden en el dispositivo. Es así que, las actividades de auditoría de cuentas de usuario en el dispositivo en la mayoría de las organizaciones, que a menudo están hechas a través de un muestreo aleatorio de dispositivos como una auditoría completa de la cuenta de usuario en el dispositivo, se considera que consumirán más tiempo.  

Las cuentas de usuario no autorizadas son a menudo un indicador de otras actividades maliciosas. Estas actividades pueden incluir cualquiera de las que siguen:
- Acceso de usuarios a servidores, computadores u otros recursos de trabajo No Autorizados.

- Abuso de los recursos de cómputo por los administradores del sistema.

- Abuso de los privilegios administrativos.

- Creación de cuentas locales no autorizadas para esconder actividades de usuarios desde el dominio de monitoreo.

- Actividad de malware.

Este artículo de blog es el primero de una serie que resalta como EnCase puede ayudar a los auditores de TI. Este primer post está enfocado en brindar un panorama de cómo EnCase eDiscovery puede proveer rápidamente una visibilidad completa y un reporte de la actividad de la cuenta de usuario en cientos o inclusive miles de computadoras dentro de una organización. Específicamente, para ayudar a los auditores de TI a realizar la validación comprensiva. 

Concretamente miraremos como auditar cuentas de usuario que han sido creadas o existen en los dispositivos (a menudo fuera de la vista de otras herramientas de seguridad), auditando las actividades de las cuentas de usuario en dispositivos de una manera que se pueda escalar a cientos o miles de computadoras. También discutiremos como los auditores de TI pueden verificar carpetas rápidamente o incluso documentar niveles de permisos en cada computadora en su red de trabajo.

Vamos a comenzar…

Auditando Redes de Trabajo y Cuentas de Usuarios Locales en los Dispositivos

EnCase eDiscovery puede escalar hasta proveer una lista de SIDs y cuentas de usuario que son de dominio local en cada máquina de la organización. Esta sección se refiere específicamente a maquinas de Windows, pero ningún sistema operativo que brinde apoyo a un servlet puede ser auditado (Linux, Mac, AIX, etc.). Un reporte puede ser generado por una simple maquina, un subgrupo de maquinas o por todas las maquinas de una organización (para fines investigativos) y los resultados pueden ser comparados contra una lista de redes y cuentas locales autorizadas. 



Como un ejemplo, auditar redes y cuentas locales en maquinas de Windows es fácil.

        - Crear un trabajo de escaneo con EnCase eDiscovery usando la opción de búsqueda de registro  contra todas las maquinas de Windows que se desean auditar.
- El trabajo correrá contra el siguiente clave en el registro de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList


- Esto generará una lista de claves que representan los  SIDs de Usuarios que ha logueado dentro de cada máquina de Windows.

- El segundo nivel incluirá el valor para ProfileImagePath que contendrá el nombre de usuario para el SID.
Los auditores de TI pueden comparar la lista de cuentas esperadas contra las cuentas actuales para identificar la creación de cuentas no autorizadas o indicadores de actividad por un usuario, computadora o red de trabajo no autorizada. Estos reportes pueden ser exportados a Excel para su uso en otros documentos de auditoría.

Auditando Actividades de Cuentas de Usuario en Dispositivos 

Una vez que hemos comparado las listas de cuentas esperadas versus cuentas actuales, podremos auditar maquinas, subgrupos de maquinas o simplemente dispositivos que tengan indicadores de actividades sospechosas de cuentas de usuarios.


La Auditoria de Actividad de Usuarios en Dispositivos es un proceso fácil de dos pasos.
- Crea un trabajo de recolección que recopila todos los archivos EVT y EVTX deseados en los dispositivos de Windows esperadas.

- Arrastra y Suelta el archivo recolectado dentro de EnCase Enterprise, el cual está incluido con EnCase eDiscovery.

- Procesa el archivo recolectado usando el Modulo de Análisis de Eventos de Archivos de Registro de Windows (esto podría incluir la búsqueda por criterio dentro de los eventos de archivo de registro tales como, ingresos, salidas, creación o borrado de cuentas de usuario por ejemplo).  

- Genera un reporte para uso en otros documentos de auditoría.

Auditando Cuentas de Usuario y sus Privilegios de Acceso a Documentos y Carpetas en los Dispositivos  

EnCase eDiscovery puede auditar rápidamente las cuentas de usuario con privilegios de acceso a documentos a través de cientos o miles de dispositivos. Futuros artículos cubrirán esto en mas detalle pero EnCase puede generar criterios de búsqueda para proveer visibilidad rápida y escalable hacia los privilegios de las cuentas de usuario.

Alguna información de los privilegios que pueden ser incluidos, excluidos o combinados como parte del criterio de búsqueda de EnCase eDiscovery en un trabajo de recolección puede incluir lo siguiente:  
- SID de Usuario o Grupo

- Nombre de Grupo del Directorio Activo (Administradores, etc.)

- Propiedad (Permitida, Denegada, de Grupo, Propia, etc.)

- Nivel de Privilegio (lectura, escritura, control total, etc.)

Esto significa que los auditores de TI pueden generar criterios de búsqueda interesantes tales como los que siguen:

“Muéstrame todos los documentos que son de propiedad (o creados) por un ID de usuario pero que no están incluidos en la lista de cuentas de usuario autorizadas”


“Muéstrame todas las carpetas y documentos por los cuales este grupo de Directorio Activo ha tenido acceso a cualquier dispositivo”


“Muéstrame cualquier usuario que tenga control total de una carpeta o maquina que no sea de su máquina de casa”


“Muéstrame cualquier cuenta de Administrador excepto por este grupo de cuentas especificas que tienen acceso a documentos o carpetas en aquellos dispositivos con información confidencial”

La lista en infinita. El privilegio de criterios específicos puede estar incluido en mas criterios de búsqueda o capturas tradicionales de Encase para hacer actividades fuera de las normas obvias del auditor de TI.

Conclusión

EnCase eDiscovery puede ser una herramienta poderosa en las manos de un auditor de TI. Este articulo de blog solo toco un asunto – cuentas de usuario. Las herramientas y métodos nombrados arriba pueden ser aprendidos o pre-configurados rápidamente para correr, inclusive por auditores no-técnicos. 

Es importante notar que el producto EnCase Cybersecurity puede además realizar los tipos de auditorías listadas arriba. En grandes organizaciones, el equipo de auditoría de TI puede compartir la infraestructura de EnCase con otros equipos tales como seguridad de TI, fraude, legal, etc. y simplemente desarrollar criterios específicos para auditoria de IT usando su propio examinador de EnCase.  

Con EnCase, cientos o miles de computadoras pueden ser auditadas rápidamente contra diferentes estándares de auditoría para identificar vulnerabilidades para fraude o abuso y su equipo de auditoría de TI puede proveer mas auditorias comprensivas dentro de su organización. 

RELACIONADOS






No hay comentarios :

Publicar un comentario