EnCase Para Auditores de TI #2: Os Desafios da Administração de Configurações

A administração de configurações nos dispositivos tem sido historicamente um desafio.  As organizações geralmente escolhem entre fazer da administração de configurações um processo principalmente administrativo, analisando e aplicando os resultados de auditorias contra uma amostra representativa dos dispositivos de toda uma infraestrutura, ou usar testes de vulnerabilidade para medir a eficácia de configurações ideais.

Um plano para administrar, auditar e reportar o estado de configurações reais pareceria ser mais difícil que “descascar o abacaxi” para muitos especialistas em configurações. A pesar das dificuldades envolvidas, será que existe uma metodologia defensível e escalável que possamos desenvolver para fornecer uma administração abrangente da configuração dos dispositivos? Eu diria que sim, mas antes, vejamos algumas das dificuldades apresentadas.

Dificuldade: As Redes e os Dispositivos Mudam com o Passar do Tempo

A pesar de quanto pretendamos ter uma rede e uma infraestrutura ideal, as redes mantêm-se em um fluxo constante. Dispositivos são adicionados ou removidos quando usuários são adicionados, removidos, quando eles mudam de trabalho ou quando novo hardware é comprado. Às vezes, dispositivos velhos são administrativamente abandonados ou perdidos, deixando dispositivos sem patches funcionando na rede ou permitindo o acesso a contas de usuário e permissões muito após do período em que deveriam ser usados. Os dispositivos podem abandonar o domínio temporalmente e não ser monitorados durante esse tempo.


Os administradores de redes também mudam a rede durante seu trabalho diário. Os administradores constantemente mudam configurações como parte da instalação de patches e atualizações. Novas tecnologias são providenciadas aos usuários que potencialmente podem transferir e guardar todo tipo de dados criados pelos usuários na rede ou na nuvem (cloud computing). Novas versões de aplicações comumente requerem novas configurações ou mudanças às políticas de segurança.

Os mesmos usuários também podem ser parte do problema. Os usuários comumente criam modos para compartilhar documentos, criam maneiras não cobertas pelas ferramentas de segurança de acessar arquivos para trabalhar desde casa ou buscam a maneira mais fácil de compartilhar informação durante seus processos de trabalho.

Estas atividades fazem que as redes se pareçam mais com organismos vivos que com uma “definição” estática em um documento de políticas. Uma administração abrangente das configurações precisa ser adaptável a todos os estados que podem desenvolver-se na rede.

Dificuldade: As Bases da Administração de Configurações Não São Sempre Fáceis

A administração de configurações sempre deve preocupar-se de três estados:

1)    A atual configuração aprovada
2)    A seguinte configuração aprovada
3)    A configuração real

Os pontos um e dois são um trabalho principalmente administrativo que envolve pesquisa e documentação. O problema é que a configuração aprovada de um dispositivo pode mudar enquanto o usuário realmente começa a usá-lo.

Saber o numero total de dispositivos que precisam ser protegidos e rastrear os dispositivos em si durante todo seu ciclo de uso é somente parte do problema. Manter-se seguro significa rastrear, auditar e reportar não só os dispositivos, mas também os patches do software e as versões dos aplicativos. Aplicativos desconhecidos criam um risco independentemente de serem considerados “seguros”, “malware” ou “instalado pelo usuário e malicioso”. Aplicações aprovadas que não são atualizadas com patches podem ser tão perigosas para a rede como um malware.

As configurações requeridas para identificar malware, vulnerabilidades ou indicadores de fraude conduzida por empregados também deveriam ser regularmente definidas, auditadas e medidas. Existem poucas coisas menos úteis que uma aplicação de antivírus desabilitada pelo usuário, por citar um exemplo.

Por último, os usuários acostumam realizar atividades fora do seu domínio assignado. Os usuários podem levar seus notebooks a casa, levá-los em viagens de negócio, fazer login local ou realizar qualquer outra atividade que esteja fora da visibilidade das políticas estabelecidas no controlador de domínio ou nas ferramentas de segurança TI que requerem que o usuário seja membro do domínio. Estes usuários menos tradicionais precisam ser protegidos e auditados sem importar o lugar físico do dispositivo onde geram sua atividade.

EnCase como uma Ferramenta de Administração de Configuração e de Auditoria TI

Neste post, identificamos várias das dificuldades em providenciar uma configuração compreensiva nos dispositivos. EnCase Cybersecurity e EnCase Analytics podem juntos prover capacidades de auditoria, reporte e monitoramento para organizações de qualquer tamanho nas áreas chave da administração de configurações:

-    Administração de Mudanças
-    Administração de Patches
-    Identificação de Malware
-    Identificação e Mitigação de Vulnerabilidades

Ambas a administração de configurações e a auditoria TI são tarefas difíceis que são os dois lados de uma mesma moeda. Ambas as equipes precisam de uma visibilidade completa dos dispositivos, coleção veloz dos dados, ajuda na análise e uma capacidade de reporte de alta funcionalidade.

O EnCase tem tudo isto. As vantagens do EnCase nascem de sua visibilidade dos dispositivos desenvolvida a partir de uma forte herança forense e também da habilidade de ser escalado facilmente e analisar milhares de pontos de dados. EnCase pode ajudar às organizações a identificar mudanças não autorizadas, código desconhecido, dispositivos “esquecidos”, software sem patches, contas de usuário órfãs e outras oportunidades de risco à organização.

RELACIONADOS

EnCase para Auditores de TI: Auditando E Validando Contas de Usuários (Windows)

Hacks mediante o RDP: Como Frustrar a Rede dos Bandidos

Casos de Uso: EnCase Cybersecurity Complementando um Antivírus


 
 
 

No comments :

Post a Comment