La validación de
las cuentas de usuario es un componente crítico en la mayoría de
infraestructuras de auditoría y cumplimiento de TI. Mientras que allí hay
muchas herramientas para auditar las cuentas de usuario directamente en el
controlador de dominio, muchas de las actividades y evidencia asociadas con el
uso no autorizado de las cuentas de usuario suceden en el dispositivo. Es así
que, las actividades de auditoría de cuentas de usuario en el dispositivo en la
mayoría de las organizaciones, que a menudo están hechas a través de un
muestreo aleatorio de dispositivos como una auditoría completa de la cuenta de
usuario en el dispositivo, se considera que consumirán más tiempo.
Las cuentas de
usuario no autorizadas son a menudo un indicador de otras actividades
maliciosas. Estas actividades pueden incluir cualquiera de las que siguen:
- Acceso de usuarios a servidores, computadores u otros recursos de trabajo No Autorizados.
- Abuso de los recursos de cómputo por los administradores del sistema.
- Abuso de los privilegios administrativos.
- Creación de cuentas locales no autorizadas para esconder actividades de usuarios desde el dominio de monitoreo.
- Actividad de malware.
Este artículo de
blog es el primero de una serie que resalta como EnCase puede ayudar a los auditores
de TI. Este primer post está enfocado en brindar un panorama de cómo EnCase
eDiscovery puede proveer rápidamente una visibilidad completa y un reporte de
la actividad de la cuenta de usuario en cientos o inclusive miles de
computadoras dentro de una organización. Específicamente, para ayudar a los
auditores de TI a realizar la validación comprensiva.
Concretamente
miraremos como auditar cuentas de usuario que han sido creadas o existen en los
dispositivos (a menudo fuera de la vista de otras herramientas de seguridad),
auditando las actividades de las cuentas de usuario en dispositivos de una
manera que se pueda escalar a cientos o miles de computadoras. También
discutiremos como los auditores de TI pueden verificar carpetas rápidamente o
incluso documentar niveles de permisos en cada computadora en su red de
trabajo.
Vamos a comenzar…
Auditando Redes de Trabajo y Cuentas de Usuarios
Locales en los Dispositivos
EnCase eDiscovery
puede escalar hasta proveer una lista de SIDs y cuentas de usuario que son de
dominio local en cada máquina de la organización. Esta sección se refiere
específicamente a maquinas de Windows, pero ningún sistema operativo que brinde
apoyo a un servlet puede ser auditado (Linux, Mac, AIX, etc.). Un reporte puede
ser generado por una simple maquina, un subgrupo de maquinas o por todas las
maquinas de una organización (para fines investigativos) y los resultados
pueden ser comparados contra una lista de redes y cuentas locales autorizadas.
Como un ejemplo,
auditar redes y cuentas locales en maquinas de Windows es fácil.
- Crear un trabajo de escaneo con EnCase eDiscovery usando la opción de búsqueda de registro contra todas las maquinas de Windows que se desean auditar.
- El trabajo correrá contra el siguiente clave en el registro de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
- Esto generará una lista de claves que representan los SIDs de Usuarios que ha logueado dentro de cada máquina de Windows.
- El segundo nivel incluirá el valor para ProfileImagePath que contendrá el nombre de usuario para el SID.
Los auditores de
TI pueden comparar la lista de cuentas esperadas contra las cuentas actuales
para identificar la creación de cuentas no autorizadas o indicadores de
actividad por un usuario, computadora o red de trabajo no autorizada. Estos
reportes pueden ser exportados a Excel para su uso en otros documentos de auditoría.
Auditando Actividades de Cuentas de Usuario en Dispositivos
Una vez que hemos
comparado las listas de cuentas esperadas versus cuentas actuales, podremos
auditar maquinas, subgrupos de maquinas o simplemente dispositivos que tengan
indicadores de actividades sospechosas de cuentas de usuarios.
La Auditoria de
Actividad de Usuarios en Dispositivos es un proceso fácil de dos pasos.
- Crea un trabajo de recolección que recopila todos los archivos EVT y EVTX deseados en los dispositivos de Windows esperadas.
- Arrastra y Suelta el archivo recolectado dentro de EnCase Enterprise, el cual está incluido con EnCase eDiscovery.
- Procesa el archivo recolectado usando el Modulo de Análisis de Eventos de Archivos de Registro de Windows (esto podría incluir la búsqueda por criterio dentro de los eventos de archivo de registro tales como, ingresos, salidas, creación o borrado de cuentas de usuario por ejemplo).
- Genera un reporte para uso en otros documentos de auditoría.
Auditando Cuentas de Usuario y sus Privilegios de
Acceso a Documentos y Carpetas en los Dispositivos
EnCase eDiscovery
puede auditar rápidamente las cuentas de usuario con privilegios de acceso a
documentos a través de cientos o miles de dispositivos. Futuros artículos
cubrirán esto en mas detalle pero EnCase puede generar criterios de búsqueda
para proveer visibilidad rápida y escalable hacia los privilegios de las
cuentas de usuario.
Alguna información
de los privilegios que pueden ser incluidos, excluidos o combinados como parte
del criterio de búsqueda de EnCase eDiscovery en un trabajo de recolección
puede incluir lo siguiente:
- SID de Usuario o Grupo
- Nombre de Grupo del Directorio Activo (Administradores, etc.)
- Propiedad (Permitida, Denegada, de Grupo, Propia, etc.)
- Nivel de Privilegio (lectura, escritura, control total, etc.)
“Muéstrame todos
los documentos que son de propiedad (o creados) por un ID de usuario pero que
no están incluidos en la lista de cuentas de usuario autorizadas”
“Muéstrame todas
las carpetas y documentos por los cuales este grupo de Directorio Activo ha
tenido acceso a cualquier dispositivo”
“Muéstrame
cualquier usuario que tenga control total de una carpeta o maquina que no sea
de su máquina de casa”
“Muéstrame
cualquier cuenta de Administrador excepto por este grupo de cuentas especificas
que tienen acceso a documentos o carpetas en aquellos dispositivos con
información confidencial”
La lista en
infinita. El privilegio de criterios específicos puede estar incluido en mas
criterios de búsqueda o capturas tradicionales de Encase para hacer actividades
fuera de las normas obvias del auditor de TI.
Conclusión
EnCase eDiscovery
puede ser una herramienta poderosa en las manos de un auditor de TI. Este
articulo de blog solo toco un asunto – cuentas de usuario. Las herramientas y
métodos nombrados arriba pueden ser aprendidos o pre-configurados rápidamente para
correr, inclusive por auditores no-técnicos.
Es importante
notar que el producto EnCase Cybersecurity puede además realizar los tipos de auditorías
listadas arriba. En grandes organizaciones, el equipo de auditoría de TI puede
compartir la infraestructura de EnCase con otros equipos tales como seguridad
de TI, fraude, legal, etc. y simplemente desarrollar criterios específicos para
auditoria de IT usando su propio examinador de EnCase.
Con EnCase,
cientos o miles de computadoras pueden ser auditadas rápidamente contra
diferentes estándares de auditoría para identificar vulnerabilidades para
fraude o abuso y su equipo de auditoría de TI puede proveer mas auditorias
comprensivas dentro de su organización.
RELACIONADOS
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase
No hay comentarios :
Publicar un comentario