A validação
das contas de usuário é um componente crítico
na maioria de infra-estruturas de auditoria
e cumprimento de TI. Enquanto que aí há
muitas ferramentas para auditar as contas de usuário diretamente no controlador
de domínio, muitas das atividades e evidências associadas com o uso não autorizado das contas de usuário sucedem
no dispositivo. É assim que as atividades de auditoria de contas de usuário no
dispositivo na maioria das organizações, que amiúde estão feitas
através de uma amostra aleatória de dispositivos como uma auditoria
completa da conta de usuário no
dispositivo, se considera que consumirão mais tempo.
As contas
de usuário não autorizadas são
amiúde um indicador de outras atividades
maliciosas. Estas atividades podem incluir qualquer uma das que seguem:
- Acesso de usuários a servidores, computadores ou outros recursos de trabalho Não Autorizados.- Abuso dos recursos de cômputo pelos administradores do sistema.- Abuso dos privilegios administrativos.- Criação de contas locais não autorizadas para ocultar atividades de usuários desde o domínio de monitoria.- Atividade de malware.
Este artigo de blog é o primeiro de una série que ressalta como EnCase pode ajudar aos auditores de TI. Esta primeira postagem está focada em oferecer um panorama de como EnCase eDiscovery pode prover rapidamente uma visibilidade completa e um informe da atividades da conta de usuário em centenas ou inclusive milhões de computadores dentro de uma organização. Especificamente para ajudar aos auditores de TI a realizar uma validação compreensível.
Concretamente
miraremos como auditar contas de usuário que foram criadas ou existem nos dispositivos
(amiúde fora da vista de outras ferramentas de segurança), auditando as
atividades das contas de usuário em dispositivos de maneira que se possa
escalar a centenas ou milhões de
computadores. Também discutiremos como os auditores de TI podem verificar
pastas rapidamente ou inclusive documentar níveis de permissões em cada
computador em sua rede de trabalho.
Comecemos…
Auditando Redes de Trabalho e Contas de Usuários
Locais nos Dispositivos
EnCase
eDiscovery pode escalar até prover uma lista de SIDs ou contas de usuário que
são de domínio local em cada máquina da organização. Esta seção se refere
especificamente à máquinas de Windows, mas nenhum sistema operativo que ofereça
apoio a um servlet pode ser auditado (Linux, Mac, AIX, etc.). Um informe pode
ser gerado por uma simples máquina, um subgrupo de máquinas ou por todas as
máquinas de uma empresa (para fins investigativos) e os resultados podem ser
comparados contra uma lista de redes e contas locais autorizadas.
Como un exemplo,
auditar redes e contas locais em
máquinas de Windows é fácil.
- Criar um trabalho de escâner com EnCase eDiscovery usando a opção de busca de registro contra todas as máquinas de Windows que se desejam auditar.- O trabalho correrá contra a seguinte chave no registro de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList- Isto gerará uma lista de chaves que representam os SIDs de Usuários que ha logado dentro de cada máquina de Windows.- O segundo nível incluirá o valor para ProfileImagePath que conterá o nome de usuário para o SID.
Os
auditores de TI podem comparar a lista de contas esperadas contra as contas atuais
para identificar a criação de contas não autorizadas ou indicadores de atividade
por um usuário, computador ou rede de trabalho não autorizada. Estes informes podem
ser exportados a Excel para seu uso em outros documentos de auditoria.
Auditando Atividades de Contas de Usuário em Dispositivos
A Auditoria de Atividade de Usuários em
Dispositivos é um processo fácil de apenas
dois passos:
- Cria um trabalho de coleta que recopila todos os arquivos EVT e EVTX desejados nos dispositivos de Windows esperadas.- Arrasta e Solta o arquivo coletado dentro de EnCase Enterprise, o qual está incluído com EnCase eDiscovery.- Processa o arquivo coletado usando o Módulo de Análise de Eventos de Arquivos de Registro de Windows (isto poderia incluir a busca por critério dentro dos eventos de arquivo de registro tais como: ingressos, saídas,criação ou apagado de contas de usuário, por exemplo).- Gera um informe para uso em outros documentos de auditoria.
Auditando Contas de Usuário e seus Privilégios
de Acesso a Documentos e Pastas nos Dispositivos
EnCase
eDiscovery pode auditar rapidamente as contas de usuário com privilégios de acesso
a documentos a través de centenas ou milhões de dispositivos. Futuros artigos abordarão
mais detalhadamente tais assuntos, mas EnCase
pode gerar critérios de busca para prover visibilidade rápida e escalável que
nos leve aos privilégios das contas de usuário.
Alguma
informação dos privilégios que podem ser incluídos, excluídos ou combinados
como parte do critério de busca de EnCase eDiscovery em um trabalho de coleta, pode incluir o seguinte:
- SID de Usuário ou Grupo- Nome do Grupo do Diretório Ativo (Administradores, etc.)- Propriedade (Permitida, Denegada, de Grupo, Própria, etc.)- Nível de Privilégio (leitura, escritura, controle total, etc.)
Isto
significa que os auditores de TI podem gerar critérios de busca interessantes tais
como os que seguem:
“Mostra-me
todos os documentos que são de propriedade (ou criados) por um ID de usuário, mas
que não estão incluídos na lista de contas de usuário autorizadas”
“Mostra-me
todas as pastas e documentos pelos quais
este grupo de Diretório Ativo teve acesso a qualquer dispositivo”
“Mostra-me
qualquer usuário que tenha controle total de uma pasta ou máquina que não seja a de sua máquina de
casa”
“Mostra-me
qualquer conta de Administrador exceto por este grupo de contas específicas que
têm acesso a documentos ou pastas naqueles dispositivos com informação
confidencial”
A lista é
infinita. O privilégio de critérios específicos pode estar incluído em mais critérios
de busca ou capturas tradicionais de
Encase para fazer atividades fora das normas óbvias do auditor de TI.
Conclusão
EnCase
eDiscovery pode ser uma ferramenta poderosa nas mãos de um auditor de TI. Este artigo
de blog somente tocou sobre um assunto: contas de usuário. As ferramentas e
métodos nomeados acima podem ser aprendidos ou pré-configurados rapidamente para
correr , inclusive , por auditores não-técnicos.
É importante
notar que o produto EnCase Cybersecurity pode, ademais, realizar os tipos de auditorias já citadas
anteriormente. Em grandes empresas ou organizações, a equipe de auditoria de TI
pode compartir a infra-estrutura de EnCase com outros equipamentos, tais como
segurança de TI, fraude, legal, etc. , e simplesmente desenvolver critérios específicos
para auditoria de IT usando seu próprio examinador de EnCase.
Com EnCase,
centenas e milhões de computadores podem
ser auditados com rapidez contra diferentes padrões de auditoria para
identificar vulnerabilidades para a fraude
e o abuso ...e sua equipe de auditoria de TI pode prover mais auditorias compreensíveis
dentro de sua empresa.
RELACIONADOS
No comments :
Post a Comment