En mi empresa (y en muchas otras en todo el mundo) existe un amplio uso por parte de los equipos de tecnología de herramientas como ipscanners, psexec, pskill y otras herramientas.
¿Cómo gestiona o controla el uso de dichas herramientas en su entorno?
Es común que los actores de amenazas después de una intrusión usen herramientas de administración internas que ya están disponibles en servidores y estaciones de trabajo, me gustaría prevenir.
Si le preocupan los actores maliciosos que utilizan usuario estándar , las utilidades internas ( psexec , pskill ) después de obtener acceso a un sistema, está preocupado. sobre un escenario en el que, sin importar qué acciones se tomen en preparación para la intrusión, el atacante podrá evitarlo, ya que ya tienen acceso a la máquina. Hacer que sea más difícil usar algunas de las herramientas orientadas al "usuario avanzado" en el sistema solo hará que sea más frustrante para los usuarios legítimos hacer su trabajo, y no hará nada para evitar que el atacante, además de causarles un pequeño inconveniente.
Sin embargo, si le preocupan las herramientas y utilidades que requieren el acceso de raíz / nivel de administrador por parte del atacante después de la intrusión, debe proteger su sistema de usuario (por ejemplo, solo dar sudo / acceso de nivel de administrador a los usuarios que inician sesión con PGP (o si es Windows, solo desde los inicios de sesión locales), o que solo permiten el acceso local a la raíz (solo aplicable a Linux), etc.) en lugar de intentar limitar las herramientas disponibles en su espacio de usuario.
Lo más efectivo que se puede hacer para mitigar el uso de estos tipos de herramientas internamente es crear una Política de uso aceptable fuerte. Luego, una vez aprobado por las autoridades que lo deciden, hágalo cumplir haciendo que los empleados lo firmen.
Debe tener dos documentos AUP en su lugar, uno para usuarios finales regulares y uno (o uno adicional) para usuarios de TI. Esto le permite controlar qué usuarios pueden tener instalados estos tipos de herramientas.
Si le preocupa que estos tipos de herramientas se utilicen internamente en su propia red, recomendaría el cifrado de disco completo en las máquinas que las tienen instaladas y los usuarios cerrarán las máquinas cuando finalice el horario comercial. / p>
Si está buscando un recurso técnico, recomendaría la lista blanca de aplicaciones. En nuestra organización, simplemente utilizamos un informe de Spice Works una vez al día para informarnos sobre cualquier aplicación en nuestra red. Aunque no es una solución completa, nos ayuda a estar al tanto de las cosas.
Lea otras preguntas en las etiquetas tools corporate-policy administration