Quando um empregado é demitido de uma empresa, as melhores práticas ditam que sua conta de usuário não seja apagada imediatamente, senão que o acesso da conta de usuário aos recursos da empresa seja revocado. A conta de usuário deve ser mantida durante o período no qual a empresa tenha uma legítima necessidade comercial ou legal de manter os dados e registros do empregado de maneira que as obrigações contratuais sejam cumpridas. Para evitar o mau uso destas contas, os componentes dedicados à administração da segurança da informação e eventos da rede (SIEM, segundo suas sigla em inglês) mantem uma lista com os nomes de todas estas contas de usuário.
Resposta de EnCase Cybersecurity
Ao encontrar qualquer atividade destas contas de usuário, os componentes SIEM ativam a EnCase Cybersecurity para escanear o dispositivo na direção IP desde a qual se origina esta atividade. EnCase Cybersecurity responde analisando o dispositivo em questão e capturando toda a informação pertinente numa instantânea do sistema.
Esta instantânea do sistema permite analisar de uma só vez toda a informação do que está ocorrendo no sistema do dispositivo mencionado, capturando informação como a configuração do sistema e a memória do sistema. Os dispositivos eletrônicos usam a memória do sistema para guardar todas as funções que estão correndo em um dispositivo em um momento específico. A partir disto, EnCase Cybersecurity oferece a seguinte informação ao examinador:
- Processos abertos: Permite examinar todos os programas que a conta de usuário desativada está usando.
- Portos usados: Todas as comunicações entre dispositivos são mandadas mediante um porto, isto permite aos dispositivos manter varias conexões simultaneamente. O porto usado por uma conexão pode indicar que tipo de informação se está recebendo ou enviando.
- Direções IP de destinação: Permite-nos saber onde está sendo enviada a informação no momento que a conta de usuário desativada está usando o dispositivo.
- Uso de dispositivos removíveis: EnCase Cybersecurity também informa se algum dispositivo removível tem sido instalado no sistema, tais como pen drives USB ou discos rígidos externos. Atividade destes dispositivos durante o uso da conta desativada é um indicativo de robô de informação.
- Pastas Compartilhadas: Permite saber se alguma pasta do dispositivo está compartilhada, de maneira que se poda analisá-la mais detalhadamente já que qualquer coisa contida nela pode ser acedida em outros dispositivos sem necessidade de que a conta de usuário desativada inicie sua sessão de usuário no dispositivo ou de maneira remota.
Benefício
EnCase Cybersecurity permite entender imediatamente o que é que o usuário não autorizado estava fazendo no dispositivo ao qual conseguiu ter aceso. Todas as operações são realizadas de maneira invisível ao usuário da conta desativada, deixando recolher informação que permite compreender como é que se conseguiu o acesso aos dispositivos. EnCase Cybersecurity segue standards internacionais para a coleção e o análise da informação que permitem a admissão da informação encontrada como evidencia em casos legais.
RELACIONADOS
Casos de Uso: EnCase® CyberSecurity Complementando um Antivírus
Casos de Uso: EnCase Cybersecurity Complementando uma Lista Negra / Conteúdo Mal-Intencionado Previamente Reconhecido
Guerra na Fronteira: Resposta a Incidentes vs. Investigação Forense
Grupo de LinkedIn: Usuários do EnCase - Português
No comments :
Post a Comment