DESCRIPCIÓN GENERAL DE LA SOLUCIÓN CASEWARE™ MONITOR PARA LOS REGISTROS DE SEGURIDAD DE WINDOWS Registros de seguridad de Windows En la mayoría de los entornos de Windows, se utilizan muy poco los registros de auditoría. Suelen ser examinados sólo con fines de investigación y, por lo general, luego de algún incidente. Sin embargo, cuando se los configura correctamente y se los supervisa de manera eficiente, tienen un valor muy importante. El registro en el sistema genera una gran cantidad de datos que provienen de diferentes fuentes. Como resultado, el proceso de consolidación, inspección y análisis de esos datos puede ser tedioso e ineficaz. Los problemas se agravan debido a una configuración inadecuada, lo que tiene como resultado registros saturados, anulados, incompletos e inútiles. Existen soluciones disponibles para facilitar la consolidación y agregación de registros tanto locales como remotos de toda la organización mediante el uso de herramientas de software o dispositivos de hardware. Lo que falta en las soluciones actuales de análisis de registros es la capacidad de filtrar de manera inteligente la información pertinente necesaria para determinar actividades de alto riesgo, enviar notificaciones a las personas correspondientes, sin importar su capacidad técnica, documentar la resolución de excepciones y establecer un flujo de trabajo para escalar excepciones según sea necesario. Políticas de auditoría La auditoría para eventos de seguridad en sistemas informáticos críticos es un requisito esencial de una buena política de seguridad. La política de auditoría de Windows define qué eventos de seguridad tienen resultados de acierto o de error auditados y los registra en el Registro de seguridad. Por ejemplo, Windows 2003 cuenta con nueve políticas de auditoría pero ya que está predeterminado, sólo dos están habilitadas. • • Eventos de inicio de sesión en la cuenta: auditoría de aciertos Eventos de inicio de sesión: auditoría de aciertos Las otras categorías de auditoría (eventos de administración, acceso al servicio de directorio, acceso a objetos, cambio de política, uso de privilegios, seguimiento de procesos y eventos del sistema) no están configuradas para auditoría. Cada organización debe determinar su postura de seguridad y habilitar la auditoría correspondiente. Independientemente de la configuración de su infraestructura, el análisis y monitoreo efectivo de los registros es necesario para garantizar que se logren los objetivos de seguridad, riesgos y control. Solución de CaseWare™ Monitor Nuestra solución se centra en la automatización de los análisis, la presentación de informes, las alertas y la administración de excepciones dentro del entorno de registros de Windows de la organización. Como se indica en la Figura 1, las políticas de auditoría se configuran y se distribuyen mediante Políticas de grupo a los clientes y servidores dentro del entorno. Los resultados de los registros se recopilan en un servidor centralizado de CaseWare™ Monitor para su análisis e interrogación. Una vez finalizado, CaseWare™ Monitor utiliza un marco de monitoreo que examina todas las actividades electrónicas para detectar eventos notificables y alertar a las personas correspondientes. Figura 1 — Monitoreo de eventos de Windows Cliente de Windows Cliente de Windows Registros y configuraciones Registros y configuraciones Excepciones Servidor de aplicación CaseWare™ Monitor Marco CaseWare™ Monitor Definiciones de riesgo y control Centro de desarrollo de normas Sistemas de alerta Enrutamiento de excepciones Escalamiento de excepciones Administración de programaciones Tendencias Reportes Tableros Registros y configuraciones Registros y configuraciones Servidor de Windows Registros y configuraciones Servidor de Windows Controlador de dominio de Active Directory (AD) Flujo de trabajo y presentación de informes Cuando se detectan eventos o secuencias de eventos, se activan alertas y le sigue un estricto proceso de corrección para garantizar que las actividades de alto riesgo sean abordadas según lo estipulado por las políticas de seguridad de la compañía. Otros aspectos clave de la solución son la automatización de los reportes y la visualización del entorno de control. Los siguientes tableros estándar se incluyen en el marco: • Tendencias de los resultados en todas las fechas • Agrupación por clasificación de riesgo • Agrupación por estado (nuevas, pendientes, atrasadas, etc.) • Comparaciones entre las redes y los usuarios E J E M P LO S D E R E P O R T E S Y A L E R TA S Alertas basadas en las actividades Intentos fallidos de acceso a un archivo compartido Creación de nuevas cuentas Creación de políticas y modificaciones a políticas existentes Las personas que están de vacaciones tienen acceso a recursos del sistema Acceso a recursos del sistema en horarios no habituales Identificar personas agregadas a grupos específicos, por ejemplo, VPN, administrador, asesores, usuarios del sistema, etc Se agrega un controlador de dominio Identificar rápidamente a usuarios con varios bloqueos forzados Identificar intentos de inicio de sesión en estaciones de trabajo restringidas Identificar intentos de inicio de sesión con un tipo de inicio de sesión no válido Identificar intentos de inicio de sesión con contraseñas que caducaron y sin cambio de contraseña Identificar intentos de inicio de sesión de cuentas inhabilitadas Identificar intentos de inicio de sesión mediante el uso de cuentas que caducaron Identificar nuevo inicio de sesión con privilegios especiales asignados Inicio de sesión correcto con una cuenta de servicio en la consola Cuentas reactivadas Identificar intentos de inicio de sesión por parte de nombres de dominio no reconocidos Error de autenticación del Servidor Radius Identificar intentos de inicio de sesión con la cuenta predeterminada del administrador Inicio de sesión incorrecto con el nombre de usuario del Administrador pero con un dominio desconocido Identificar inicios de sesión por lotes por parte de cuentas asignadas a personas Usuarios con contraseñas más antiguas que la duración requerida para una contraseña Usuarios con acceso telefónico al servidor de acceso remoto habilitado Cuentas de equipo inactivas Identificar usuarios a los que se les otorgaron nuevas maneras para conectarse a las computadoras Alertas de configuración de Active Directory Cuentas que nunca iniciaron sesión Cuentas que caducaron Usuarios que no necesitan cambiar contraseñas Uso de cuentas de servicio Cuentas que no están vinculadas a un usuario específico sino que son utilizadas por un grupo Identificar usuarios/objetos extraños en los grupos del Controlador de dominios Identificar servidores sin registro habilitado Identificar ex empleados con cuentas activas Cambios en las cuentas de usuario Identificar cambios de grupo (que no sea eliminación, creación o cambio de membresía) Identificar cambios en grupos universales con seguridad habilitada Identificar cambios de Dominio y Relaciones de confianza en el dominio BENEFICIOS DESAFÍOS DEL NEGOCIO SOLUCIÓN DE CASEWARE™ MONITOR REQUISITOS DE LAS PARTES INTERESADAS Requisitos de cumplimiento y escalada de riesgos • Proporciona definición y monitoreo de controles a nivel empresarial y garantiza su implementación efectiva en todos los procesos de negocio • • Detecta violaciones en la fuente de datos Distribuye los resultados en toda la empresa por normas definidas por el cliente a través de tableros, correo electrónico, SMS Proporciona un flujo de trabajo para la corrección, incluida la detección de la resolución de errores Permite a los usuarios definir controles en varios procesos de negocio con una vista consolidada Aumenta la eficiencia al hacer repetitivos los análisis con la capacidad de adaptar tolerancias Las reglas comerciales y los parámetros se pueden personalizar y las organizaciones pueden construir nuevas lógicas El monitoreo también puede aplicarse a las métricas del negocio Las excepciones se identifican tan pronto como se producen AUTOMATIZACIÓN Automatizar la detección y corrección de violaciones en el control • • • • • • INTEGRACIÓN Se integra perfectamente a las soluciones existentes • • • • No se requieren modificaciones a los sistemas subyacentes que se monitorean Acceso no intrusivo a los datos y no se pueden modificar los datos de origen Seguridad del usuario y del grupo con soporte LDAP Criptografía de seguridad OPTIMIZACIÓN DEL PROCESO Aumenta la eficiencia del proceso y reduce los costos • • • • • Las excepciones se detectan de manera más oportuna Disminuye los costos re recuperación Mayor nivel de automatización El cumplimiento y otros informes se generan de manera automática El conocimiento y la experiencia se capturan en los sistemas de control y se hacen repetibles CaseWare RCM Inc. 1420 Blair Place, Suite 400 Ottawa, Ontario, Canadá K1J 9L8 Teléfono: +613 842 7920 ext. 712 Fax: +613 842 9475 Correo electrónico: [email protected] www.caseware.com Copyright © 2010 CaseWare RCM Inc. Todos los derechos reservados. Ninguna parte de este manual deberá ser transmitida, en ninguna forma o por ningún medio (fotocopia, electrónico, mecánico, grabado o de otra forma) o reproducida, almacenada en un sistema de recuperación, sin el permiso por escrito del Editor. Todas las marcas registradas son propiedad de sus respectivas compañías.