¿Cómo detectar si un administrador del sistema lee el correo del CEO desde el servidor de Outlook?

1

Un amigo me hizo esta pregunta ayer. Los administradores del sistema pueden acceder al servidor de correo de Outlook a través de RDP, que es parte de su trabajo.

¿Es posible detectar quién lee el correo electrónico del CEO u otra persona?

    
pregunta Mehmet Ince 15.03.2017 - 10:03
fuente

3 respuestas

3

No de forma fiable. Su principal problema es que el administrador probablemente necesita acceder a esos archivos por razones legítimas, y es muy difícil separarlo haciendo el mantenimiento de rutina de él leyendo el contenido.

Si los leyera / exportara a través de la interfaz en línea, obviamente aparecería en los registros de auditoría, pero para el administrador de sistemas hay muchas formas de leer los archivos, y no puede detectarlos de manera confiable. .

Pero para configurar la detección donde pueda, puede probar una combinación de estos:

La supervisión del acceso local detectará más que un IDS, pero contendrá una gran cantidad de acceso de rutina.

Para la regla IDS, querrá detectar una cadena única encontrada en su archivo PST como un GUID

    
respondido por el J.A.K. 15.03.2017 - 10:21
fuente
2

@ J.A.K. Ya se dijo que no se puede hacer de manera confiable.

Tenga en cuenta que si sus copias de seguridad no están cifradas, cualquier persona que tenga acceso a las copias de seguridad del servidor de correo también puede leer el buzón de cualquier persona.

Solo hay una forma técnica confiable de evitar que los administradores accedan a archivos a los que no deberían tener acceso: No les dé acceso. Esto se puede hacer así:

  1. Evita que los administradores accedan a un archivo al no almacenarlo en un servidor al que el administrador tiene acceso. Dado que otro servidor también tendrá administradores que se encargarán de la máquina, eso solo mueve el problema de una persona a otra, pero podría ser mejor desde el punto de vista de la seguridad, ya que cree un tipo de solución de contenedor: el administrador 1 tiene acceso a estos datos. y el administrador 2 puede acceder a estos otros datos, pero nadie puede acceder a todo.

  2. Como una extensión de 1., puede usar un servicio de correo electrónico externo. Por supuesto, ahora le da acceso a un correo electrónico a un proveedor externo. Sin embargo, eso podría ser un mejor riesgo, en general. Si se muda a un proveedor muy grande, es probable que exista un motivo mucho menos específico para ver el correo de su CEO, y es posible que haya políticas vigentes que no puede costearse, como el control y el cumplimiento muy estrictos. derechos de acceso, cifrado de datos en reposo, etc., lo que haría más difícil que una persona no autorizada robe el correo. El problema: realmente no controla ninguna de estas políticas y no puede verificar si realmente están implementadas y son efectivas.

  3. Utilice el cifrado de extremo a extremo para el correo electrónico interno. Internamente, probablemente puedas entrenar a tu gente para hacer eso; Es probable que la comunicación externa no sea segura a través del cifrado de extremo a extremo, ya que todos sus socios de comunicación deberían cambiar sus hábitos de correo electrónico.

respondido por el Pascal 15.03.2017 - 21:33
fuente
0
  

¿Es posible detectar quién lee el correo electrónico del CEO u otra persona?

Hasta cierto punto, sí. Pero va a ser "caro", y lleno de muchos agujeros. Para hacerlo de manera confiable se requerirían pistas de auditoría en cualquier máquina que pueda acceder al correo electrónico, copias de seguridad cifradas, separar quién tiene acceso a las copias de seguridad de quién tiene acceso a las claves de descifrado, y algunos costos adicionales significativos de riesgo y mantenimiento de la complejidad adicional.

Incluso después de todo, es posible que no pueda separar el acceso legítimo del ilegítimo. Y todavía hay múltiples vías para obtener datos en vivo sin ser rastreados.

En la práctica, diría que esto rara vez se hace. Debe tener en cuenta que incluso la NSA, con presupuestos sin fondo, en última instancia, tuvo que confiar en Edward Snowden con datos altamente clasificados.

    
respondido por el Steve Sether 16.03.2017 - 01:06
fuente

Lea otras preguntas en las etiquetas