EnCase ao Resgate: Uma Introdução à Descoberta de Ameaças de TI Desconhecidas de Forma Proativa

Por T. Grey

Sejamos sinceros. Poucas organizações têm os conhecimentos e o treinamento que precisam para encontrar e identificar às ameaças de malware desconhecido que não fazem parte de uma base de dados de malware de nossas ferramentas de segurança de TI. Nós aguardamos patches e alertas usando as ferramentas que temos, e esperamos ter o orçamento suficiente para que possamos arcar ferramentas sofisticadas que analisam o comportamento através da rede em tempo real e o hardware necessário para que estas ferramentas não retardem muito a rede para os usuários.

A realidade é que até as organizações com grandes orçamentos para a segurança de TI não estão encontrando as ameaças em um período adequado. Parte do problema é que a maioria das ferramentas precisam saber que um arquivo é malicioso antes de tomar medidas. Pode demorar dias, semanas ou até meses para que as ferramentas de segurança atualizem suas bases de dados para combater as novas ameaças. Em casos de malware especializado que não esteja em uso em qualquer outra organização, ou em casos ocasionados por um ataque interno, uma ameaça poderia nunca ser identificada como algo malicioso. As organizações também podem ter sistemas operacionais mais velhos que já não recebem patches e que não podem ser atualizados até o seguinte ciclo orçamental.

Eu estarei falando e fazendo demonstrações sobre este tópico no CEIC de 2015 em Las Vegas – EUA.

Podem existir ameaças não identificadas nos meus sistemas mesmo seu eu tenho uma ferramenta de segurança de TI?

O primeiro passo para a proteção da sua infraestrutura de TI é saber se existem problemas além dos alertas fornecidos pelas suas ferramentas de segurança de TI. Isto significa ter um processo para auditar proativamente a presença de ameaças ou arquivos que poderiam ser indicadores de problemas potenciais. Muitas ferramentas de segurança de TI podem ajudá-lo se você sabe o que é que está buscando, ou se as ferramentas sabem o que é que elas estão buscando. Pode parecer estranho, mas você precisa uma maneira de identificar ameaças desconhecidas sem saber o que é que você poderia estar buscando.

A maioria das organizações têm ferramentas que usam uma “lista negra” para identificar arquivos que não são permitidos dentro da organização e “listas brancas” para identificar arquivos que definitivamente são seguros ou arquivos conhecidos de aplicativos confiáveis para a organização. Muitos arquivos poderiam não encaixar-se em ambas categorias, e as ferramentas de segurança de TI poderiam deixá-los atravessar a rede sem lançar uma alerta para os administradores ou sem inserir um registro no sistema de gerenciamento de mudanças de TI. Alguns exemplos podem ser:

    •    Novas versões não aprovadas de aplicativos aprovados baixadas pelos usuários
    •    Versões ultrapassadas ou sem patch de aplicativos aprovados que ainda estejam em uso dentro da organização
    •    Novo malware desconhecido que não é identificado pelas ferramentas de segurança de TI
    •    Malware conhecido que é polimórfico (se modifica a cada nova infecção)
    •    Aplicativos não aprovados instalados intencionalmente pelo usuário
    •    Aplicativos não aprovados instalados mediante o uso indevido de privilégios de administrador
    •    Código desconhecido que está residindo no sistema, mas que está inativo

O rango de arquivos que podem ser encontrados é praticamente infinito, e comumente podem parecer estar além do que uma pequena equipe pode gerenciar. Dito isto, existe uma maneira para que as equipes identifiquem rapidamente arquivos suspeitos sem muito treinamento e com uma quantidade razoável de hardware.

Você precisa de uma solução que possa melhorar a capacidade da sua equipe independentemente do nível de conhecimentos que ela tenha.

Como EnCase pode ajudar a identificar rapidamente arquivos desconhecidos ou suspeitos através de toda a organização

EnCase Cybersecurity permite que as organizações construam rapidamente representações de configurações aprovadas de usuários, servidores ou dispositivos. A pesar que auditorias de conformidade mais poderosas podem ser executadas por EnCase Cybersecurity quando está emparelhado com EnCase Analytics, o EnCase Cybersecurity pode efetuar independentemente uma série de tarefas de conformidade, segurança de TI e reposta a incidentes que incluam uma análise de perfil dos sistemas para identificar rapidamente arquivos e processos não autorizados escondidos entre milhares de computadores. Estes arquivos são aqueles que não estão em uma lista negra nem em uma lista branca. Não há necessidade que sua equipe tenha alguma perícia especial em malware ou investigação forense. Os arquivos desconhecidos serão destacados facilmente em um relatório ao final do trabalho. A criação de trabalhos é tão fácil como duplicar um trabalho já existente. EnCase não lhe dirá se os arquivos desconhecidos são bons, seguros, ruins ou maliciosos mas o levará a dar esse primeiro e importante passo para encontrar proativamente problemas potenciais, mesmo se a sua equipe não sabe o que é que está buscando.

Casos de uso para EnCase Cybersecurity podem incluir:

    •    Identificar proativamente arquivos maliciosos não encontrados por outras ferramentas de segurança de TI
    •    Encontrar código ou aplicativos previamente desconhecidos em servidores, estações de trabalho ou notebooks.
    •    Auditar versões aprovadas e os níveis de patches do software aprovado
    •    Responder rapidamente a alertas gerados por outras ferramentas de segurança mediante a identificação de outras ameaças que poderiam ter penetrado um sistema que esteja sob ataque
    •    Verificar a efetividade contínua das políticas de segurança TI durante os câmbios de rede ou de usuários que ocorrem através do tempo
    •    Prover uma monitoração contínua dos sistemas operacionais que já não sejam suportados pelo fabricante ou que não receberam novos patches.

Na seguinte parte deste artigo, veremos alguns exemplos rápidos de como encontrar ameaças proativamente mediante o uso do EnCase em sistemas operacionais suportados pelo fabricante ou em sistemas que estejam perdendo seu suporte. O exemplo deve ser oportuno para muitos, porque o Windows Server 2003 perderá seu suporte no dia 15 de julho de 2015 (aproximadamente quatro meses após a publicação deste artigo). A organização que mostraremos principalmente tem máquinas com Windows 7 e Windows 8, mas ainda tem algumas com Windows 2003 que não serão atualizadas até o ciclo orçamental de 2016.

Fique ligado para a segunda parte deste artigo, onde veremos o EnCase em ação encontrando ameaças desconhecidas de maneira proativa.

TEMAS RELACIONADOS

Visão Geral da Integração com EnCase: EnCase & Splunk

Faça parte do nosso Grupo de Usuários do EnCase em Português no LinkedIn

Guidance Software reconhecida pela Gartner como líder do mercado de ferramentas de detecção e resposta em dispositivos

Curta a Nossa Página em Português no Facebook

EnCase® Cybersecurity e HP Arcsight Express se unem para Entregar Administração e Recuperação de Eventos Críticos Post-Detecção

EnCase ao Resgate

Uma Introdução à Descoberta de Ameaças de TI Desconhecidas de Forma Proativa – Parte 1

No comments :

Post a Comment

We're Here to Help

Connect With Us

Tags

Popular

Archive