Seguimiento de una cuenta de usuario

Mi pregunta: ¿a dónde voy para obtener más información sobre esta cuenta de usuario? ¿Se guarda un registro que muestre al usuario y qué acción se tomó?

Mi pensamiento: ¿cuál es su propósito al recopilar la información? Cómo y qué haces a continuación, tiene mucho que ver con lo que quieres que suceda. Aquí están mis pensamientos sobre resultados opcionales:

• Procesarlo : en este momento, es un atacante que causa un daño palpable a su empresa. Usted tiene el derecho de investigar acciones legales, e incluso si no ha ocurrido nada perjudicial aún, es posible que desee reservar el derecho de actuar en el futuro. Si este es el caso, debe considerar esto como el área de análisis forense digital. Para procesar delitos informáticos, necesita una sólida cadena de evidencia y la recolección cuidadosa de la evidencia es crítica. Para hacer eso, comience a involucrar a la gerencia, abogados y un equipo forense profesional. No not ensucie con la máquina. En absoluto. Si puede, desconéctelo de la red y vea las opciones para construir un sistema de reemplazo limpio en un hardware separado.

• Recupérese de todo lo que hizo : "cualquier cosa" es un área grande. Las posibilidades son buenas que no obtendrá todo. Si puede acceder a un servidor, existe una buena posibilidad de que pueda llegar a otros, y si conoce su infraestructura, tendrá una tarea difícil por delante. No creo que el archivo de registro de la máquina vaya a ayudar mucho. Alguien tendrá que hacer una copia de seguridad, ver el conjunto de códigos de acceso, las asignaciones de trabajo, las áreas de responsabilidad y los lugares a los que puede o no haber tenido acceso. Esto tendrá que suceder a nivel de administrador de sistemas: es de esperar que en su infraestructura se necesiten derechos de nivel de administrador para tapar estos agujeros y recuperar los sistemas.

• Bloquee su acceso : recomendaría reconstruir el entorno, si sospecha que solo existe un pequeño compromiso. Las puertas traseras y los orificios son lo suficientemente fáciles para que un instalador instale, por lo que recomendaría una reconstrucción.

• iluminación propia , es decir, no estás realmente preocupado por todas las ramificaciones de seguridad, solo tienes curiosidad por la tecnología. Me temo que no soy suficiente. Administrador de Windows para decirle más de lo obvio, que ya ha intentado. Dependiendo de la configuración de su sistema, puede haber otros registros de acceso: el sistema remoto que utiliza para iniciar sesión puede registrar información en otro lugar, si hay una VPN, que puede tener registros de acceso, etc. Un sistema de seguridad de alto nivel puede tener una copia de seguridad fuera de línea con integridad adicional y controles de acceso, pero depende de cómo se haya configurado su sistema.

Para contestar la pregunta aparte, no es un chantaje si ofrece ayuda, ¿verdad?

Estás en agua turbia. Según Chantaje y extorsión - Estatutos federales modernos - Oficial, Ley, Corte, Hobbs, United e Interstate

It is blackmail to demand or receive a valuable thing by offering not to inform against 

anyone who has violated federal law (18 U.S.C. § 873).

A partir de ahí, es probable que las palabras particulares que utilizó sean un factor para determinar si su oferta de ayuda mutua puede o no interpretarse de esa manera.

Puedo decirte que al menos en mi compañía, mis jefes estarían bastante furiosos si manejara las cosas como tú lo has hecho. Pero trabajo en una empresa con una política de seguridad muy estricta y bien definida. Si sospechara una infracción, mi trabajo como miembro de la empresa consistiría en llamarle la atención suficiente para que la empresa la solucione , incluidos TI, el departamento legal y la cadena de mando en la administración. Asumiéndome a mí mismo para ofrecerle a un ex empleado acceso a sus archivos personales y limpiar los huecos de seguridad dejados atrás, está muy lejos del alcance de las cosas que puedo hacer como ingeniero de fábrica. Personalmente, esperaría una paliza extra, porque he recibido mucha capacitación en este tema y realmente no puedo afirmar que soy un novato o un nerd sin seguridad no informado.

Dicho esto: trabajo en una gran empresa con una gran participación en buenas prácticas de seguridad: no aplicar un paradigma de seguridad sólido no solo es un riesgo debido a la posible pérdida de información o la funcionalidad de las infracciones; El público dañaría nuestra reputación corporativa.

Su millaje puede variar: si trabaja en una pequeña empresa con un perfil bajo y no en la industria de la seguridad, su empresa puede estar totalmente de acuerdo con lo que ha hecho.

De cualquier manera, mi mejor consejo sería que su administración directa se involucre lo antes posible. Incluso si no comprenden la situación técnica de la violación de seguridad del ex empleado, deberían (por escrito) mostrar su aprobación o desaprobación a su forma de manejar la situación hasta ahora.

Si era un administrador de sistemas, ya no puedes confiar en nada en esa caja, ya que puede haber tenido la capacidad de cambiar cualquier cosa.

Debería pasar esto a su equipo de TI o de respuesta a incidentes: es posible que el daño no se limite a ellos simplemente eliminando pruebas, una precaución sensata puede ser limpiar y reconstruir la caja, dependiendo de su sensibilidad.

Si tiene copias de seguridad o registros de auditoría, el equipo de respuesta a incidentes debe solicitar que se conserven. Debe enumerar una línea de tiempo de todo lo que se hizo, incluidos todos los correos electrónicos con el individuo, etc.

El equipo de respuesta a incidentes también debería poder hacer que las personas correctas involucradas vean el punto de vista legal; puede que valga la pena o no avanzar con una investigación, pero eso es una llamada de negocios, no una llamada de TI.