• 1

Detección de Amenazas internas en el entorno de Windows

 

De todas las amenazas informáticas, lo que peor podría golpear a una organización se encuentra dentro: el ataque interno. los ataques internos ganan su notoriedad, ya que son extremadamente difíciles de detectar, especialmente cuando el atacante es un usuario de confianza y privilegiada. La detección es casi imposible cuando el adversario es un trabajador de TI con acceso privilegiado a los sistemas como Active Directory. Estos atacantes conocen las políticas de seguridad de la organización de adentro hacia afuera, lo que les permite eludir los controles de seguridad y encubrir sus incursiones como algo sin incidentes.

La carga principal de los ataques internos es discernir las acciones nocivas del atacante, que podrían aparecer como actividades normales que sean compatibles con sus funciones y responsabilidades. Sólo la información contextualizada sobre la situación va a ayudar a desenterrar este tipo de ataques. Para entender mejor esto, considere el escenario que le mostraremos más adelante; Cuando este escenario se considera solo, es bastante probable que estos tres incidentes pueden considerar mundanos. Sin embargo, si un investigador correlaciona el incidente de bloqueo de cuentas con los otros dos eventos relacionados, el ataque se hace evidente.

Un administrador del sistema ha abusado de sus privilegios autorizados en Windows Active Directory para restablecer la contraseña de una cuenta crítica, obteniendo de esta manera el acceso a los derechos de la cuenta y los datos confidenciales de la organización.
Utilizando la identidad robada, el administrador tiene acceso a los datos, que de otra manera estaría fuera de sus límites. Todo esto sucede durante la noche y por acceso remoto, que no lanzará alertas ya que son actividades permisibles para la cuenta.
Al día siguiente el titular de la cuenta, que no está consciente del restablecimiento de su contraseña, es bloqueado cuando se intenta iniciar sesión. Suponiendo que había olvidado su contraseña, busca la ayuda del Escritorio de Ayuda para crear una nueva contraseña.

ADAudit Plus de informes de auditoría consolidados

ADAudit Plus proporciona una utilidad de búsqueda para cualquier cuenta de usuario (incluyendo administrador de Active Directory) durante un período determinado. Ofrece una consolidación de tres diferentes reportes de las auditorías,que a continuación están listados. Cada detalle que se presenta en el resumen es un enlace que, al ser pulsado, muestra un informe detallado para una inspección más cercana. Del mismo modo, la búsqueda también produce resúmenes de auditoría para cualquier grupo u objeto de la computadora con la combinación adecuada de información para una mejor investigación de incidentes.

  • Actuaciones de la cuenta: Este es un resumen de todos los cambios de configuración que la cuenta especificada lleva a cabo en otros objetos de AD.
  • El historial de inicio de sesión de la cuenta: Cada computadora a la cual accedió la cuenta - de forma interactiva o de forma remota - aparece en este resumen, así como detalles como el tiempo de sesión y las direcciones IP.
  • La historia del objeto: Esto proporciona antecedentes sobre la cuenta especificada, resumiendo los cambios en sus propiedades que se han realizado y por quién. Por ejemplo, mostraría que ha cambiado los permisos o las contraseñas de la cuenta.

Cuando se utiliza ADAudit Plus para investigar el incidente de bloqueo de cuentas que se discutió anteriormente, esta búsqueda yuxtapone la información, tales como las acciones de administración de la cuenta, el acceso remoto de la c un a IP extraña y el bloqueo de la cuenta. Esto proporciona el contexto necesario que le permite establecer una relación entre los eventos relacionados con la seguridad y, finalmente, exponer los que hizo el intruso.

A veces, los atacantes se toman su tiempo y cuidan cada fase sus operaciones. De esta manera, incluso si se detectan sus acciones, la naturaleza esporádica de esos trucos engañan al observador y los descarta, ya sea como accidental o sin incidentes. Esto también le da a los atacantes algún tiempo, durante el cual los signos reveladores de sus infracciones en Active Directory se eliminan a partir de los archivos de registro (o son relegados a los archivos). Desde ADAudit Plus mantiene los datos de auditoría en una base de datos local, los investigadores pueden sintonizar su utilidad de búsqueda para extraer a unos meses o incluso una pista de auditoría de años atras, para rastrear a un usuario sospechoso. Esto proporciona una pista de auditoría rica en contexto, que los investigadores pueden utilizar para comprender el verdadero significado de esas acciones de los usuarios.