Nella mia azienda (e molti altri in tutto il mondo) c'è un ampio uso da parte di team di strumenti tecnici come ipscanners, psexec, pskill e altri strumenti.
Come gestisci o controlli l'utilizzo di tali strumenti nel tuo ambiente?
È normale che gli attori delle minacce dopo un'intrusione utilizzino strumenti di amministrazione interni già disponibili all'interno di server e workstation, ma vorrei impedire.
Se sei preoccupato per gli attori malintenzionati che utilizzano le utilità interne utente standard ( psexec , pskill ) dopo per accedere a un sistema, sei preoccupante a proposito di uno scenario in cui, indipendentemente dalle azioni intraprese per prepararsi all'intrusione, l'utente malintenzionato sarà in grado di aggirarlo poiché ha già accesso alla macchina. Rendere più difficile l'utilizzo di alcuni degli strumenti "power user user" sul sistema renderà più frustrante per gli utenti legittimi fare il proprio lavoro, e non farà nulla per impedire che l'hacker li offenda in modo lieve.
Tuttavia, se sei preoccupato per gli strumenti e le utilità che richiedono l'accesso root / admin utilizzato dall'hacker dopo un'intrusione, devi cercare di proteggere il tuo sistema utente (ad esempio, dare solo sudo / accesso a livello di amministratore agli utenti che accedono con PGP (o se Windows, solo dagli accessi locali), o solo consentendo l'accesso locale a root (applicabile solo a Linux), ecc) invece di provare a limitare gli strumenti disponibili nel proprio spazio utente.
La cosa più efficace che si può fare per mitigare l'uso di questi tipi di strumenti internamente è creare una politica di utilizzo accettabile. Quindi, una volta approvato dalle autorità decidenti, applicarlo facendo firmare ai dipendenti.
Dovresti disporre di due documenti AUP, uno per gli utenti regolari e uno (o uno aggiuntivo) per gli utenti IT. Ciò ti consente di controllare quali utenti sono autorizzati a installare questi tipi di strumenti.
Se sei preoccupato che questi tipi di strumenti vengano utilizzati contro la tua rete internamente, consiglierei la crittografia del disco completo sui computer che li hanno installati e chiederanno agli utenti di spegnere i computer dopo che l'orario di lavoro è finito.
Se stai cercando una risorsa tecnica, ti consiglio l'applicazione white-listing. Nella nostra organizzazione, usiamo semplicemente una relazione sulle spezie una volta al giorno per comunicarci eventuali applicazioni sulla nostra rete. Sebbene non sia una soluzione completa, ci aiuta a rimanere al passo con le cose.
Leggi altre domande sui tag tools corporate-policy administration