De forma crítica, ele argumentou que o uso de várias ferramentas deveria ser imediatamente sinalizado como preocupante. “Instrument Task Scheduler, PsExec, PsPasswd e net user são sinais de alto risco. Estes são o equivalente interno às lockpicks”, disse ele. “Eles devem gerar alertas comportamentais quando usados em grande escala, fora do horário comercial ou por hosts incomuns.”
Levine também sugeriu monitoramento extensivo do sistema. “Se alguém estiver fazendo RDP em um controlador de domínio às 7h48 e criando 16 tarefas agendadas, você deverá ter uma trilha de auditoria semelhante a um vídeo.”
Paul Furtado, um renomado vice-presidente analista do Gartner, disse que incentiva os clientes a garantirem que nenhum administrador possa causar esse tipo de dano.
Fonte: Computer World
