As Auditorias com EnCase podem ser tão oportunas como seja requerido pela sua equipe de segurança. As auditorias podem ser programadas de forma independente de acordo à superfície de risco percebida pela organização, podem criar-se filas de tarefas para conseguir resultados imediatos ou se podem integrar como parte de um plano de resposta a incidentes com alertas de outras ferramentas de segurança de TI.
A organização deste exemplo tem muitos sistemas Windows para os empregados e uma mistura de servidores Windows e Linux. Além disto, esta organização não conseguirá fazer a transição de alguns dos seus servidores com Windows 2003 antes da finalização do ciclo de vida desse sistema operacional, marcado para o dia 15 de julho de 2015.
A organização quer usar EnCase Cybersecurity para cumprir com êxito as seguintes tarefas:
• Identificar proativamente qualquer arquivo malicioso que não tenha sido encontrado por outras ferramentas de segurança de TI
• Encontrar código ou aplicativos previamente desconhecidos em servidores, estações de trabalho ou notebooks
• Identificar aplicativos que possam facilitar a fraude ou o uso indevido dos computadores
• Auditar sistemas através de toda a organização para verificar o uso de versões aprovadas e os níveis de patches do software aprovado
• Responder rapidamente aos alertas de outras ferramentas de segurança identificando outras ameaças que poderiam ter ingressado com êxito em um sistema sob ataque
• Verificar a eficácia decorrente da política atual de segurança de TI, de acordo as mudanças de rede e de usuários que ocorrem com o passar do tempo
• Proporcionar uma monitoração continua dos sistemas operacionais que estão fora de suporte e que já não recebem patches, até que possam ser substituídos.
Como a proteção dos sistemas desatualizados com Windows 2003 tem uma alta importância, e como estas máquinas ainda são importantes para efetuar as atividades organizacionais, a organização constrói uma máquina virtual limpa com Windows 2003 instalado para usá-la durante a criação de um perfil inicial do Windows 2003 (em outras palavras, criando uma configuração aprovada). Eles também poderiam ter utilizado uma máquina em uso, um “Gold Build” em una imagem ISO ou qualquer outra fonte de arquivos do Windows 2003. Como utilizar uma máquina em uso traz o risco de incluir arquivos potencialmente desconhecidos no perfil que se está criando, a organização decidiu construir o perfil a partir de uma máquina virtual limpa e nova com Windows 2003.
 |
| Exemplo de um perfil inicial do EnCase Cybersecurity construído a partir de uma máquina virtual |
Esta organização tem múltiplos perfis para diferentes sistemas operacionais, e o EnCase até permite a criação de um número infinito de perfis diferentes para o mesmo sistema operacional. Uma vez se tem construído o perfil do Windows 2003, o auditor de EnCase logo pode associar o perfil correto ao sistema que lhe corresponde usando o nome da máquina, o endereço IP ou um rango de IPs. Isto permite executar auditorias através de muitos sistemas operacionais diferentes com a certeza de que sempre se aplicará o perfil correto. Uma vez um perfil é criado, ele é guardado de forma global.
 |
| Associando um perfil às máquinas de acordo ao seu nome, endereço IP ou rango de IPs |
O administrador de EnCase agora pode executar o perfil limpo de Windows 2003 em um sistema Windows 2003 “sujo” que esteja em uso. Eu criei esta demonstração desde um hotel no Brasil e a executei pela internet em um sistema em uso localizado em um Data Center nos Estados Unidos. O trabalho demorou menos de 10 segundos para ser completado. Como se mostra a seguir, existem 205 DLLs e processos que não pertencem ao perfil limpo na auditoria inicial.
 |
| Comparação inicial de um perfil limpo contra uma máquina em uso |
A lista representa os elementos que estão fora da configuração aprovada. Note-se que os elementos “suspeitos” ou desconhecidos têm um valor de hash. Estes valores de hash podem ser investigados usando uma variedade de métodos, como Cisco ThreatGrid ou sites como VirusTotal. Qualquer elemento reconhecido como malicioso teria sido eliminado a nível forense usando a poderosa capacidade de remediação do EnCase Cybersecurity. Os elementos “bons y conhecidos” encontrados foram adicionados posteriormente ao perfil como se mostra a seguir:
 |
| Adicionando arquivos a um perfil |
Pode-se pensar no perfil de EnCase Cybersecurity como uma representação viva do estado atual. Uma vez adicionados ao perfil, estes elementos não serão identificados como “suspeitos” no futuro. Após ter trabalhado com estes elementos iniciais, criei um perfil de linha de base que somente mostrava meus elementos com um valor de hash nulo (processos cujo arquivo gerador já não existe, como quando removemos una memória USB). Meu perfil de Windows 2003 agora está pronto para monitorar continuamente, e rapidamente me mostrará qualquer mudança ao sistema.
 |
| Um perfil de linha de base pronto para a monitoração |
Então, agora a organização tem um perfil de linha de base de Windows 2003 que pode usar para auditorias de TI conjuntamente com outros perfis. Um trabalho normal do EnCase no ambiente laboral se pode aplicar a milhares, centenas ou dezenas de sistemas dentro da organização. Para esta demonstração, executaremos nosso trabalho de EnCase somente em dois sistemas com sistemas operacionais diferentes, por tanto, dois sistemas com perfis diferentes no EnCase Cybersecurity. Finance-win105 usa Windows 7 SP1 e Admin-8538509C6 usa Windows 2003 SP2.
 |
| Um só trabalho executando-se nas máquinas com perfis diferentes |
Uma auditoria bem sucedida sem mudanças em nenhum dos dois sistemas mostraria somente os 8 processos das duas máquinas com valores de hash nulos (novamente, porque os arquivos que os geraram já não existem)
 |
| Uma auditoria bem sucedida de 2 máquinas mostrando somente os elementos com valores de hash nulos |
Se instalo um só aplicativo não aprovado na máquina com Windows 2003 ou mesmo se tenho um só processo não aprovado, os resultados são tão óbvios que nem sequer requerem da revisão de um engenheiro para notar-se a diferença na comparação com a auditoria limpa. Instalemos um aplicativo não malicioso, mas não aprovado (por esta organização), para ver o resultado
 |
| Adicionando um aplicativo não autorizado |
Agora, na seguinte auditoria ou ao receber uma alerta (se EnCase está integrado a outras ferramentas de segurança), o auditor verá estes resultados:
 |
| Identificando processos não autorizados após a auditoria |
Claramente, existem novos processos facilmente identificáveis e atribuíveis à máquina com Windows 2003. Imediatamente sabemos que a auditoria proativa identificou um problema. O seguinte passo seria conduzir uma investigação com EnCase para responder às preguntas de “quem?”, “que?”, “quando?”, “onde?” e “como?”.
Como você pode ver, EnCase introduz uma poderosa capacidade para que até equipes pequenas de conformidade, auditoria de TI ou resposta a incidentes possam identificar de forma rápida e proativa às ameaças desconhecidas. Com EnCase, estas equipes podem ser bem sucedidas neste tipo de auditorias, independentemente do nível de capacitação ou a pericia que tenham. EnCase lhes ajuda a destacar rapidamente problemas potenciais até em sistemas remotos ou quando existe um processo ou arquivo desconhecido escondido entre milhares de sistemas.
EnCase Cybersecurity é mais poderoso ainda quando é emparelhado com EnCase Analytics. Com ambos produtos juntos, você terá uma caixa de ferramentas completa para auditar e visualizar anomalias nos seus dispositivos.
Se a sua equipe tem mais perguntas sobre qualquer produto EnCase, por favor escreva-nos no endereço sales-latam@encase.com, tanto em português como em espanhol. Por favor, considere assistir ao Track em Espanhol do CEIC de 2015 em Las Vegas, EUA, onde terei muito mais tempo para falar sobre este tema de forma detalhada.
TEMAS RELACIONADOS
Uma Introdução à Descoberta de Ameaças de TI Desconhecidas de Forma Proativa – Parte 1
Faça parte do nosso Grupo de Usuários do EnCase em Português no LinkedIn
Guidance Software reconhecida pela Gartner como líder do mercado de ferramentas de detecção e resposta em dispositivos
Curta a Nossa Página em Português no Facebook
No comments :
Post a Comment