Uma grande
parte dos nossos Workshops do EnCase sobre Conformidade Com Padrões e Segurança
é demonstrar a facilidade com a qual se pode identificar código desconhecido
como as ameaças avançadas usando a funcionalidade de auditoria e análise do
perfil do sistema do EnCase. Usando esta funcionalidade, uma organização pode
construir uma serie de linhas de base (ou “perfis”) dos computadores da
organização para identificar processos aprovados, executáveis aprovados e
outros arquivos definidos pelo usuário. As organizações podem posteriormente
fazer uma auditoria e identificar rapidamente qualquer alteração (autorizado ou
não) que não façam parte da linha de base estabelecida. Esta funcionalidade do
EnCase é extremamente efetiva e é um grande complemento para ferramentas
baseadas em assinaturas como os antivírus, firewalls e sistemas de prevenção ou detecção de
intrusões (IPS/IDS).
Qualquer
pessoa que tenha assistido a um dos nossos Workshops no Brasil tem visto a
facilidade com a qual se podem enganar às ferramentas tradicionais de segurança
TI, as quais são muito mais efetivas na identificação de ameaças conhecidas do
que na identificação de “código desconhecido”.
Código desconhecido pode significar diferentes coisas para diferentes
tipos de organizações. Para os bancos, poderia ser um malware específico
desenvolvido exclusivamente para atacar o banco ou código escrito por um
familiar de um empregado para roubar informação sensível de contas. Para os governos, poderia ser
código introduzido por um governo estrangeiro ou um empregado interno. Em
qualquer organização, poderia ser código malicioso como uma nova ameaça
avançada, aplicações desenvolvidas para facilitar a fraude cometida por
empregados ou uma coisa simples como um designer gráfico baixando e instalando
uma nova versão do seu pacote de design sem passar pelo processo de aprovação.
Nenhum destes casos será reconhecido mediante suas defesas baseadas em
assinaturas e nenhuma destas defesas dará um sinal de alerta, a pesar de serem
casos que todo administrador de riscos deve conhecer.
Usando EnCase para identificar riscos TI além
dos processos ou executáveis
Ampliemos
um pouco esta ideia para ver como varreduras que auditam e analisam o perfil do
sistema podem ser aplicadas para identificar outros riscos à segurança TI além
dos processos ou executáveis. Um risco comum apresentado pelo malware envolve
mudanças não autorizadas ao arquivo HOSTS de um usuário. A definição do
Wikipedia é provavelmente a mais simples – “O
arquivo hosts, [sic] é um arquivo de computador utilizado por um sistema operacional
destinado a relacionar hostnames e endereços ip. É um arquivo texto plano...”.
O malware
pode modificar o arquivo HOSTS de um usuário para redirecionar uma consulta
dirigida ao seu site de pesquisa favorito ou dirigida a um site visitado
comumente e destiná-la a um site malicioso. Dependendo dos investimentos de uma
organização em ferramentas de segurança, traçar mudanças a um arquivo de texto
como o arquivo HOSTS através de milhares de computadores pode ser uma tarefa
complexa.
Este
cenário poderia ser particularmente perturbador em incidentes que envolvem uma
resposta ao incidente parcialmente bem sucedida. Imaginemos que o injetor de
malware chega a um dispositivo, instala seus arquivos maliciosos, e depois muda
o arquivo HOSTS local antes de pular para o seguinte dispositivo. A equipe de
resposta a incidentes identifica um processo malicioso ou desconhecido e corrige
a ameaça do malware. A pesar disto, a possibilidade de que um arquivo HOSTS não
autorizado continue ativo permanece se a equipe de resposta a ameaças não tem
métodos ou ferramentas para encontrar efeitos de segunda e terceira ordem de um
ataque previamente desconhecido.
O que é que
uma organização pode fazer para proteger estes arquivos? Alguma proteção existe
no Windows 8, mas versões mais antigas do sistema operacional permitem fazer
mudanças ao arquivo HOSTS facilmente.
Afortunadamente,
a funcionalidade de auditoria e análise do perfil do sistema do EnCase tem a
opção de suportar arquivos definidos pelo usuário além de processos e
executáveis. Uma organização pode criar um arquivo HOSTS aprovado o um set de
configurações aceitadas em um perfil, permitindo realizar auditorias regulares
dos dispositivos que incluem os arquivos HOSTS dos usuários em todos os
dispositivos, identificando facilmente mudanças não autorizadas aos arquivos
HOSTS que hajam sido feitas por malware ou pelos empregados em qualquer lugar
da organização. Com esta simples mudança, uma organização pode ver as mudanças
aos arquivos HOSTS na mesma auditoria que identifica qualquer processo ou
executável novo ou modificado.
Os arquivos
HOSTS podem ser auditados rotineiramente para funcionar como um indicador de
malware ou de atividade maliciosa realizada por pessoas dentro da organização e
para verificar a solução de incidentes apresentados.
Estes
métodos proativos e reativos são somente alguns exemplos de abordagem que podem
ser aplicados para validar, verificar e auditar qualquer arquivo não executável
que uma organização precise proteger. As possibilidades estão limitadas somente
pela imaginação.
Você quer
ver mais casos de uso interessantes do EnCase Cybersecurity e eDiscovery? Venha
assistir um dos nossos Workshops de Conformidade Com Padrões e Segurança ou
peça uma demonstração para a Equipe de Vendas do EnCase (sales-latam@encase.com). Você verá como EnCase pode complementar seus
investimentos em outras ferramentas de segurança, fortalecer as debilidades
dessas ferramentas e reduzir significativamente seus riscos de segurança.
RELACIONADOS
No comments :
Post a Comment