Situação
Uma
organização conta com um Filtro de Conteúdo da Internet entre suas ferramentas
de segurança. Esta ferramenta foi desenvolvida e aperfeiçoada para controlar
qual conteúdo da Internet um usuário pode acessar e qual conteúdo é de acesso
restrito. Este conteúdo restrito contém maioritariamente websites; mas também
pode incluir servidores de correio eletrônico, protocolos específicos de
mensageria instantânea, protocolos para o intercâmbio de arquivos (P2P), etc.
Especificamente
um Filtro de Conteúdo da Web, tal como os reconhecidos SmartWeb, WebSense e
OPSEC entre outros, mantém uma lista extensa dos sites que contêm conteúdo não
apto para ser acessados pelos usuários da organização.
Quando um
usuário tenta aceder a um site inapropriado da Internet, o Filtro De Conteúdo da
Web levanta uma alerta mediante uma regra correlacionada, enviando a informação
aos componentes de dedicados à administração e segurança da informação e
eventos da rede (SIEM, segundo sua sigla em inglês).
Resposta
Os
componentes SIEM chamam o EnCase Cybersecurity para que faça uma recolecção de
todos os artefatos da Internet no endereço I.P. do dispositivo afetado dentro
da organização. Entre estes artefatos da Internet podemos mencionar:
·
NTUSER.DAT: Este é um arquivo que contem as
configurações de registro individuais de cada usuário em um dispositivo.
Particularmente útil para encontra qual usuário realizou uma operação em um
dispositivo com múltiplos usuários.
·
Cachê Web: Um mecanismo para guardar de maneira
temporal os documentos web, tais como páginas HTML ou imagens, para reduzir o
uso da largura de banda em sites previamente visitados. A captura do cachê web
permite revisar exatamente que conteúdo foi descarregado no dispositivo.
·
Cookies: Os cookies são arquivos pequenos individuais a
cada site da internet que permitem que um site guarde configurações de
personalização no dispositivo. Podem dar-nos pistas de sites similares aos de
acesso restrito que não hajamos conhecido previamente.
·
Historial: Permite-nos saber o nome de todos
os sites que hajam sido visitados em um navegador e também nos permite saber
que arquivos um usuário descarregou com o navegador. Ademais, inclui as datas e
os horários nos quais um site foi visitado. Isto é particularmente útil para
criar uma linha de tempo de todas as vezes que um site foi acessado.
Não são
capturados somente os artefatos da internet guardados em unidades de
armazenamento, senão que também é capturada a informação que está em uso na
memória volátil do dispositivo. Como o EnCase Cybersecurity funciona mediante
um agente que é carregado antes da finalização da inicialização do sistema
operativo, ele tem acesso total a arquivos que normalmente são bloqueados pelo
sistema operativo.
Beneficio
Confirmar
rapidamente se um site foi acessado no dispositivo, saber se algum material foi
descarregado e encontrar se foram visitados outros sites similares que não
hajam sido localizados pelo filtro de conteúdo da web.
RELACIONADOS
Casos De Uso: EnCase Cybersecurity Quando Um Usuário De Interesse Inicia Sua Sessão
RELACIONADOS
Casos De Uso: EnCase Cybersecurity Quando Um Usuário De Interesse Inicia Sua Sessão
No comments :
Post a Comment