¿Qué herramientas están disponibles para comparar una línea de base de seguridad 'antes' y 'después' de una máquina con Windows?

2

Un proveedor trata con software que proporciona software de mensajería segura a las prácticas médicas, que se integra con los sistemas clínicos populares. Para instalarlo, solicitan una hora de acceso administrativo remoto desatendido utilizando 'Team Viewer' al servidor que contiene la base de datos SQL donde se guardan todos los datos confidenciales del paciente. Como recopilador de los datos, nuestra práctica es legalmente responsable de su uso y divulgación a terceros

Suponiendo que permitiera que esto (lo que actualmente no es probable), qué herramientas están a mi disposición para enumerar cómo cambió el estado del sistema después de que el técnico ha abandonado la máquina, de modo que > SABER ¿qué hicieron y qué no hicieron? (Respecto al estado final de la máquina).

Para hacer las cosas un poco más fáciles, la máquina es una máquina virtual Hyper-V.

Este tipo de herramientas consideraría cambios al menos:

  • hashes de archivo
  • permisos del sistema de archivos
  • cuentas de usuario & permisos
  • recursos compartidos de red compartidos
  • reglas de cortafuegos
  • puertos de red escuchados en
  • servicios
  • claves de registro & permisos
pregunta David Bullock 24.07.2018 - 10:07
fuente

5 respuestas

2

Como menciona la respuesta de Serge, es posible que desee considerar algunos controles contractuales para esta situación, además de su enfoque técnico. Asumiré para esta discusión que esta acción ya se aprobó a través del Programa de Cumplimiento de su compañía y cumple con sus Políticas. No otorgue acceso a sistemas de bajo nivel a un tercero como este sin confirmar primero el origen de la solicitud y la autorización, etc.

Pero como pidió herramientas ... ReverseDSC puede ser una opción. Utiliza las capacidades de PowerShell para producir un inventario de la configuración actual del sistema. No va a atrapar absolutamente todo, pero debería darle una línea de base decente para la comparación.

Consulte el Blog de Nik Charlebois para obtener una introducción a la herramienta. O si prefiere un buen contenido de audio, RunAsRadio Episode # 566 es una entrevista con Nik y cubre algunos de los mismos conceptos.

En la divulgación completa, ni siquiera trabajo en un entorno de Windows, por lo que nunca he usado esto. Pero en teoría, suena como lo que estás buscando.

    
respondido por el nbering 24.07.2018 - 13:56
fuente
1

Esta es una solicitud completamente irrazonable.

¿Por qué debe estar sin supervisión (TeamViewer no es 'desatendido')? 'Desatendido' significa, por ejemplo, automatizado. imagen desatendida / zti ... solo le piden a usted que no participe.

Si se trata de un cambio de propietario, eso es mejor manejado por un NDA; después de todo, podría aplicar ingeniería inversa a cualquier cambio posterior, como está pidiendo que haga.

El problema es que lo que estás preguntando no se trata simplemente de comparar un cambio de estado, se trata de cómo hacer un análisis forense para un sistema; "cómo se cambió (es decir, mediante qué proceso)", "qué efecto tuvo ese cambio en el momento en que se produjo " y "qué interacciones tuvo con otros dispositivos" no son sólo preguntas de estado.

Comprende que básicamente les estarías entregando una copia de esa base de datos. Incluso si no lo copian al por mayor, pueden tomar capturas de pantalla (que no están registradas desde su computadora), copiarlas y pegarlas, o incluso leerlas por sí mismas para encontrar los datos específicos que desean.

    
respondido por el Angelo Schilling 27.07.2018 - 20:08
fuente
0

Dado que el sistema es una máquina virtual, cree un clon del sistema para usarlo como caja de arena. Permita que el proveedor realice los cambios necesarios en este sistema de recinto de seguridad y solicite que produzcan un documento de cambio. Esto logrará lo siguiente:

  1. Los sistemas de producción no se verán afectados. Esto lo protege a usted y también protege al vendedor en caso de que configuren incorrectamente algo o hagan algo gordo.
  2. Tendrá un documento de cambio que detalla los comandos y / o cambios de configuración que deben realizarse en la producción, lo que le permite a su personal firmar e implementarlos.
  3. No es necesario instalar software adicional para el monitoreo de cambios o permitir el acceso remoto a los sistemas de producción. Sin mencionar el análisis de esos registros para identificar los cambios aplicables.

En lo que respecta al acceso a datos confidenciales del paciente , debe estar cubierto en su contrato de proveedor. Operan en el espacio médico, por lo que es un tema que debería haberse discutido. Si no está seguro, consulte a su gerente y / o asesor legal.

    
respondido por el user2320464 27.07.2018 - 21:07
fuente
0

Se deben aplicar dos principios de seguridad:

  • Necesidad de saber
  • privilegio mínimo

El proveedor siempre debe indicar el "Por qué" necesidad de acceder a los recursos / activos requeridos. También se les debe proporcionar (por su parte) lo mínimo (controles de acceso / permisos / derechos) para realizar el trabajo requerido. El motivo de esto es reducir cualquier amenaza causada por hacer el trabajo y restringir el acceso del proveedor a recursos no deseados.

Todo esto debe ser acordado y firmado por el proveedor a través de un NDA por escrito y un acuerdo de contrato.

Puede usar diferentes herramientas de integridad de archivos en los archivos a los que accederá el proveedor, como el "Comprobador de integridad de la suma de comprobación de archivos de Microsoft" o cualquier herramienta confiable de integridad de archivos.

enlace

Pero para tener un proceso completo de monitoreo de la actividad del proveedor, seguro que necesitará tener una administración de registros adecuada donde deberá implementar la auditoría y el registro de las aplicaciones, el sistema operativo del sistema, la red, el firewall y todas las entidades. que el vendedor utilizará y accederá.

Los registros pueden probar y pueden responsabilizar al proveedor por cualquier impacto (sistema / recursos / activos) durante la investigación del incidente.

Microsoft ofrece diferentes funciones de seguridad integradas para las capacidades de auditoría y registro en la nube, el servidor de Windows y a través de sus diferentes aplicaciones.

Para más información: enlace

    
respondido por el Hussain Mahfoodh 30.07.2018 - 14:08
fuente
-1

Tan pronto como haya otorgado acceso administrativo durante una hora, no puede confiar en nada en esa máquina si no puede confiar en el tercero. ¡La teoría dice que podrías tomar una instantánea antes y una instantánea después y controlar manualmente las diferencias, pero el último sistema en el que podría haber intentado una operación de este tipo es MS / DOS!

Si realmente necesita hacer eso, la protección no puede ser técnica sino legal. Eso significa que el tercero debe respaldar la plena responsabilidad. En particular:

  • el tercero debe poder ver y procesar cualquier información en su sistema
  • debe tener permiso para validar el acceso para ese tercero

El lado oscuro En mi humilde opinión será cómo demostrar quién fue el culpable si las cosas salen mal más tarde (divulgación de información confidencial, pérdida de datos, errores de aplicación, etc.).

Por eso, mi opinión es que solo puede tener sentido si ese tercero será un socio y compartirá la responsabilidad con usted. En cualquier otro caso, solo debe permitir un acceso administrativo supervisado en su oficina con un miembro de su equipo constantemente con el empleado tercero.

    
respondido por el Serge Ballesta 24.07.2018 - 11:21
fuente

Lea otras preguntas en las etiquetas