Situação
Muitas
organizações proíbem o uso de memórias de armazenamento USB, tais como
pendrives ou discos rígidos externos para prevenir a fuga de informação a estes
aparelhos. Quando uma organização possui uma solução para a Prevenção da Perda
de Dados, ou DLP segundo sua sigla em inglês, pode configurá-la para detectar o
momento em que uma destas memórias é conectada a algum dispositivo da rede
empresarial. Uma solução DLP está desenvolvida para detectar os possíveis
incidentes de violação de dados de maneira oportuna e preveni-los mediante o
controle de dados enquanto estão em uso (ações tomadas em tempo real em algum
dispositivo), em movimento (quando controla o tráfego de dados na rede) ou em
repouso (quando estão guardados em um dispositivo de armazenamento de dados).
Quando uma
solução DLP detecta a conexão de algum destes dispositivos USB em um computador
de escritório, notebook ou servidor; manda um sinal de alerta aos componentes
dedicados à administração da segurança da informação e eventos da rede (SIEM,
segundo sua sigla em inglês).
Resposta
Os
componentes SIEM ativam o EnCase Cybersecurity para que faça uma avaliação
completa do endereço I.P. do dispositivo onde se conectou uma memória USB.
EnCase Cybersecurity responde de duas maneiras: capturando os metadados e/ou
criando uma imagem da memória USB.
A captura
de metadados é a captura de todos os dados que descrevem aos arquivos e pastas
de um dispositivo. Por exemplo, se capturáramos os metadados de um documento de
Microsoft Word, seus metadados seriam quem é o autor do documento, a quantidade
de páginas que o documento tem, a quantidade de palavras contidas, quantos caráteres
estão escritos, o nome do arquivo, o caminho no qual o documento está guardado
na memória USB, quando foi criado, quando foi modificado, quando foi a última
vez que foi aberto, etc. A captura de metadados é extremadamente rápida e
altamente informativa, razão pela qual às vezes é preferida sobre uma captura
de imagem.
A captura
da imagem da memória USB constrói uma cópia fiel de todos os dados que estão
contidos na memória do dispositivo USB. EnCase Cybersecurity não captura só
toda a informação atualmente visível no dispositivo, ademais pode revisar todos os setores da memória USB para
capturar a informação dos arquivos eliminados previamente. Quando um arquivo é
eliminado de um sistema, os setores de memória não são realmente apagados senão
que são simplesmente marcados como fora de uso. Essa é a razão pela qual quando
eliminamos um arquivo, já seja de 1KB ou 1GB, acontece instantaneamente. A
captura da imagem não é tão veloz quanto a captura de metadados, mas é tão
rápida como o permita a rede da organização e a memória USB que queremos
recolher. Em uma rede empresarial veloz e com uma memoria USB comum, um
pendrive de 8GB pode ser capturado integramente em poucos minutos.
Nada impede
configurar o EnCase para capturar os metadatos antes e logo após capturar a
imagem da memoria USB, dando-nos a melhor mistura entre velocidade e
integralidade na captura.
Beneficio
Capturar
imediatamente o conteúdo e/ou os metadados da memoria USB antes que seja
desconectada do sistema, assegurando que possa realizar-se uma investigação
exaustiva do conteúdo do dispositivo USB.
RELACIONADOS
Casos de Uso: EnCase Cybersecurity Complementando uma Lista de Contas de Usuário Desativadas
Casos de Uso: EnCase® CyberSecurity Complementando um Antivírus
Casos de Uso: EnCase Cybersecurity Complementando uma Lista Negra / Conteúdo Mal-Intencionado Previamente Reconhecido
Grupo de LinkedIn: Usuários do EnCase - Português
Casos de Uso: EnCase® CyberSecurity Complementando um Antivírus
Casos de Uso: EnCase Cybersecurity Complementando uma Lista Negra / Conteúdo Mal-Intencionado Previamente Reconhecido
Grupo de LinkedIn: Usuários do EnCase - Português
No comments :
Post a Comment