Uma empresa conta com um Filtro de Conteúdo da Internet entre suas ferramentas de segurança. Esta ferramenta foi desenvolvida e aperfeiçoada para controlar qual conteúdo da Internet um usuário pode acessar e qual conteúdo é de acesso restrito. Este conteúdo restrito contém maioritariamente websites; mas também pode incluir servidores de correio eletrônico, protocolos específicos de mensageria instantânea, protocolos para o intercâmbio de arquivos (P2P), etc.
Quando o Filtro de Conteúdo bloqueia muitas conexões de saída provenientes de um dispositivo em particular, existe uma possibilidade alta de que o dispositivo mencionado haja sido infectado por spyware que está tentando propagar-se pela rede interna da empresa ou que esteja tentando comunicar informação confidencial ao seu criador. Ao apresentar-se uma situação como a relatada anteriormente, os componentes dedicados à administração e segurança da informação e eventos da rede (SIEM, segundo sua sigla em inglês) manda um sinal de alerta.
Resposta
Os componentes SIEM ativam EnCase Cybersecurity para que realize uma avaliação extensa no endereço I.P. do dispositivo afetado dentro da empresa. EnCase Cybersecurity responde criando uma imagem do dispositivo.
Esta imagem é uma instantânea que contém o estado íntegro do dispositivo em um momento dado, mostrando com exatidão a configuração do dispositivo e as atividades que estejam sendo realizadas nesse momento em específico. Não são capturados somente os dados guardados em aparelhos de armazenagem, senão que também é capturada a memória volátil do sistema na sua totalidade. Os dispositivos eletrônicos usam a memoria do sistema (memoria RAM) para guardar todas as aplicações que estão correndo no dispositivo durante um momento específico. EnCase Cybersecurity permite capturar toda esta informação para descobrir exatamente que aplicação está gerando as conexões incomuns, em que localização do dispositivo está armazenada, os portos que usa para sua comunicação e os endereços I.P. aos quais está tentando conectar-se.
Depois de encontrar a aplicação perturbativa, EnCase permite ao examinador analisar se a aplicação é um spyware infiltrado. Em caso de que realmente se trate de um spyware, EnCase pode extrair a assinatura digital do programa para que seja removido em todos os dispositivos nos endereços I.P. aos quais o spyware tentava conectar-se. As assinaturas digitais são particularmente úteis porque permitem a EnCase encontrar o spyware em outros dispositivos independentemente de que mudem de localização ou de nome. Ademais, a análise da assinatura digital permite encontrar spyware polimórfico, casos nos quais o spyware modifica seu formato em cada dispositivo infectado.
Beneficio
Confirmar rapidamente se os dispositivos foram infectados pelo spyware e corroborar se ele propagou-se pela rede da empresa. EnCase Cybersecurity pode remover todas as instancias do spyware na rede de maneira automatizada.
RELACIONADOS
Casos de Uso: EnCase Cybersecurity Complementando uma Lista de Contas de Usuário Desativadas
Casos de Uso: EnCase® CyberSecurity Complementando um Antivírus
Casos de Uso: EnCase Cybersecurity Complementando uma Lista Negra / Conteúdo Mal-Intencionado Previamente Reconhecido
Grupo de LinkedIn: Usuários do EnCase - Português
No comments :
Post a Comment