Situação
Uma empresa
conta com um Filtro de Conteúdo da Internet entre suas ferramentas de
segurança. Esta ferramenta foi desenvolvida e aperfeiçoada para controlar qual
conteúdo da Internet um usuário pode acessar e qual conteúdo é de acesso
restrito. Este conteúdo restrito contém maioritariamente websites; mas também
pode incluir servidores de correio eletrônico, protocolos específicos de
mensageria instantânea, protocolos para o intercâmbio de arquivos (P2P), etc.
Especificamente
um Filtro de Conteúdo Web, tal como os reconhecidos SmartWeb, WebSense e OPSEC
entre outros, mantém uma lista extensa de sites cujo conteúdo não é apto para
ser acessado pelos usuários da empresa. Entre estes sites, podemos encontrar
sites conhecidos por conter informação e ferramentas relacionadas com hacking.
Os
componentes dedicados à administração e segurança da informação e eventos da
rede (SIEM, segundo sua sigla em inglês) podem usar regras correlacionadas a
estas listas para monitorar os registros da internet e os registros do proxy
(logs) para encontrar casos nos quais os usuários de qualquer dispositivo da
empresa tem tentado acessar este tipo de sites.
Ao
apresentar-se uma situação na qual um usuário tenta acessar um site de hacking,
os componentes SIEM mandam um sinal de alerta.
Resposta
Os
componentes SIEM ativam EnCase Cybersecurity para que realize uma avaliação
extensa no endereço I.P. do dispositivo afetado dentro da empresa. EnCase
Cybersecurity responde criando uma imagem do dispositivo com o propósito de
encontrar ferramentas conhecidas por ser usadas para hacking. Entre elas
podemos mencionar netcat, pwdump#, sniffers, Cain, Able, etc.
Esta imagem
é uma instantânea que contém o estado íntegro do dispositivo em um momento
dado, mostrando com exatidão a configuração do dispositivo e as atividades que
estejam sendo realizadas nesse momento em específico. Não são capturados
somente os dados guardados em aparelhos de armazenagem, senão que também é
capturada a memória volátil do sistema na sua totalidade.
Logo após a
captura da imagem, EnCase gera as chaves hash dos arquivos do
dispositivo. As chaves hash são as impressões digitais dos arquivos, criam uma
representação única do conteúdo de um arquivo. EnCase usa estas chaves hash
para fazer um comparação mediante análise de similitude por entropia.
O análise de similitude por entropia permite a EnCase Cybersecurity comparar
os arquivos do dispositivo com os arquivos das ferramentas de hacking, encontrando
sua presença no dispositivo independentemente de que tenham um nome de arquivo
diferente, uma rota diferente ou que sejam versões modificadas de uma ferramenta
de hacking. Esta função inovadora é particularmente útil para identificar os
casos em que o usuário tenta disfarçar as ferramentas de hacking que estejam
guardadas num dispositivo.
Ao encontrar a presença de ferramentas de hacking, EnCase cria um reporte
completo dos arquivos encontrados e pode eliminá-los imediatamente.
Beneficio
Ganhar uma
visibilidade instantânea de se foram ou não foram baixadas e/ou executadas ferramentas
de hacking no dispositivo examinado e eliminar imediatamente as ferramentas de
hacking antes de serem usadas dentro da empresa. EnCase Cybersecurity segue padrões
internacionais para a coleção e o análise da informação que permitem a admissão
da informação encontrada como evidencia em casos legais.
RELACIONADOS
Casos de Uso: EnCase Cybersecurity Complementando uma Lista de Contas de Usuário Desativadas
Casos de Uso: EnCase® CyberSecurity Complementando um Antivírus
Casos de Uso: EnCase Cybersecurity Complementando uma Lista Negra / Conteúdo Mal-Intencionado Previamente Reconhecido
Grupo de LinkedIn: Usuários do EnCase - Português
Casos de Uso: EnCase® CyberSecurity Complementando um Antivírus
Casos de Uso: EnCase Cybersecurity Complementando uma Lista Negra / Conteúdo Mal-Intencionado Previamente Reconhecido
Grupo de LinkedIn: Usuários do EnCase - Português
No comments :
Post a Comment