Quali strumenti sono disponibili per confrontare una linea di sicurezza 'prima' e 'dopo' di una macchina Windows?

2

Un fornitore si occupa di software che fornisce software di messaggistica sicura alle pratiche mediche, che si integra con i più diffusi sistemi clinici. Per installarlo, richiedono un'ora di accesso amministrativo remoto non assistito utilizzando "Team Viewer" al server che contiene il database SQL in cui sono conservati tutti i dati sensibili dei pazienti. Come collezionista dei dati, la nostra pratica è legalmente responsabile per il suo utilizzo e divulgazione a terze parti

Supponendo che dovessi permetterlo (che al momento non è probabile), quali strumenti sono a mia disposizione per enumerare in che modo lo stato del sistema è cambiato dopo che la tecnologia ha lasciato la macchina, in modo da > SAPERE cosa hanno fatto e cosa non hanno fatto? (Per quanto riguarda lo stato finale della macchina).

Per semplificare le cose, la macchina è una VM Hyper-V.

Tali strumenti considererebbero almeno le modifiche:

  • hash dei file
  • permessi per il file system
  • account utente e amp; permessi
  • condivisioni di rete condivise
  • regole del firewall
  • porte di rete ascoltate
  • servizi
  • chiavi di registro e amp; permessi
posta David Bullock 24.07.2018 - 10:07
fonte

5 risposte

2

Come la risposta di Serge cita, potresti prendere in considerazione alcuni controlli contrattuali per questa situazione, oltre al tuo approccio tecnico. Per questa discussione assumerò che questa azione sia già stata approvata dal Programma di conformità della tua azienda e sia conforme alle tue Politiche. Non concedere l'accesso a sistemi di basso livello a una terza parte come questa senza prima confermare l'origine della richiesta e dell'autorizzazione, ecc.

Ma dal momento che hai chiesto strumenti ... ReverseDSC potrebbe essere un'opzione. Usa le funzionalità di PowerShell per produrre un inventario delle impostazioni correnti del sistema. Non prenderà assolutamente tutto, ma dovrebbe darti una base di confronto decente per il confronto.

Dai un'occhiata a Blog di Nik Charlebois per un'introduzione allo strumento. O se preferisci dei buoni contenuti audio, RunAsRadio Episode # 566 è un'intervista con Nik e copre alcuni degli stessi concetti.

In piena divulgazione, non lavoro nemmeno in un ambiente Windows, quindi non l'ho mai usato. Ma in teoria, sembra quello che stai cercando.

    
risposta data 24.07.2018 - 13:56
fonte
1

Questa è una richiesta completamente irragionevole.

Perché è necessario non essere monitorato (TeamViewer non è "non sorvegliato")? "Non presidiato" significa automatizzato ad es. imaging non presidiato / zti ... ti stanno solo chiedendo di di non partecipare.

Se si tratta di un cambiamento proprietario, è meglio affrontarlo da una NDA; dopotutto, è possibile invertire le eventuali modifiche in seguito, come si sta chiedendo di fare.

Il problema è che quello che stai chiedendo non è semplicemente il confronto tra un cambiamento di stato, ma il modo di fare analisi forense per un sistema; "come è stato modificato (cioè in base a quale processo)", "quale effetto ha avuto tale cambiamento al momento in cui si è verificato " e "quali interazioni ha avuto con altri dispositivi" non sono solo domande di stato.

Comprendi che le invierai essenzialmente una copia di quel database. Anche se non lo copiano all'ingrosso, possono prendere screenshot (che non vengono registrati dal momento in cui avviene sul loro computer), copiare e incollare o anche solo leggerli autonomamente per trovare i dati specifici che vogliono.

    
risposta data 27.07.2018 - 20:08
fonte
0

Poiché il sistema è una VM, creare un clone del sistema da utilizzare come sandbox. Consentire al fornitore di apportare le modifiche necessarie a questo sistema sandbox e richiedere la produzione di un documento di modifica. Ciò compirà quanto segue:

  1. I sistemi di produzione non subiranno alcun impatto. Questo ti protegge e protegge anche il venditore nel caso in cui configuri qualcosa o finger-finger qualcosa.
  2. Avrai un documento di modifica con i dettagli dei comandi e / o delle modifiche alla configurazione che devono essere apportate alla produzione, consentendo a il tuo personale di firmare e implementarle.
  3. Non è necessario installare software aggiuntivo per il monitoraggio delle modifiche o consentire l'accesso remoto ai sistemi di produzione. Per non parlare dell'analisi dei log per identificare le modifiche applicabili.

Per quanto riguarda l'accesso a dati pazienti sensibili , questo dovrebbe essere coperto nel contratto del fornitore. Operano nello spazio medico quindi è un argomento che avrebbe dovuto essere discusso. In caso di dubbi, consultare il proprio responsabile e / o il consulente legale.

    
risposta data 27.07.2018 - 21:07
fonte
0

Devono essere applicati due principi di sicurezza:

  • Bisogno di sapere
  • Minimo privilegio

Il venditore deve sempre indicare "Perché" è necessario accedere alle risorse / risorse richieste. Devono inoltre essere forniti (dalla tua parte) con il minimo (controlli di accesso / permessi / diritti) per eseguire il lavoro richiesto. Il motivo è ridurre le minacce causate dal lavoro e limitare il fornitore dall'accesso alle risorse indesiderate.

Tutto ciò deve essere concordato e firmato dal venditore tramite una NDA scritta e un contratto.

È possibile utilizzare diversi strumenti di integrità dei file sui file a cui il fornitore accederà, ad esempio "Verification Integrity checksum file Microsoft" o qualsiasi strumento di integrità file attendibile.

link

Tuttavia, per avere un processo di monitoraggio completo dell'attività del venditore, è necessario avere una corretta gestione dei registri in cui si dovrà implementare il controllo e la registrazione delle applicazioni, sistema operativo, rete, firewall e tutte le entità che il venditore utilizzerà e accederà.

I registri possono dimostrare e possono ritenere il venditore responsabile di qualsiasi impatto (sistema / risorse / risorse) durante le indagini sugli incidenti.

Microsoft offre diverse funzionalità di sicurezza integrate per le funzionalità di controllo e registrazione su cloud, server Windows e attraverso le loro diverse applicazioni.

Per ulteriori informazioni: link

    
risposta data 30.07.2018 - 14:08
fonte
-1

Non appena hai concesso l'accesso amministrativo per un'ora, non puoi fare affidamento su nulla su quella macchina se non ti puoi fidare della terza parte. La teoria dice che si potrebbe fare uno snapshot prima e uno snapshot dopo e controllare manualmente le differenze, ma l'ultimo sistema su cui avrei potuto provare una simile operazione è MS / DOS!

Se hai davvero bisogno di farlo, la protezione non può essere tecnica ma legale. Ciò significa che la terza parte dovrebbe approvare la piena responsabilità. In particolare:

  • la terza parte deve poter vedere ed elaborare tutti i dati sul tuo sistema
  • devi essere autorizzato a convalidare l'accesso per tale terza parte

Il lato oscuro di IMHO sarà come dimostrare chi è il colpevole se le cose vanno male in seguito (divulgazione di informazioni sensibili, perdita di dati, errori di applicazione, ecc.).

Per questo motivo, la mia opinione è che può avere senso solo se quella terza parte sarà un partner e condividerà la responsabilità con te. In ogni altro caso, dovresti consentire un accesso amministrativo supervisionato nel tuo ufficio con un membro del tuo team costantemente con il dipendente di terze parti.

    
risposta data 24.07.2018 - 11:21
fonte

Leggi altre domande sui tag