Guidance Software 101: As Bases – A Arte de Buscar Arquivos (#2)


Este é o segundo artigo de nossa série de 101 artigos que postaremos no blog. No primeiro artigo, discutimos como a identificação de evidência é uma peça chave da capacidade de auditoria e investigação duma organização. Este artigo se focalizará em orientar ao leitor sobre as bases da busca de arquivos e as vantagens que os produtos da Guidance Software trazem à busca de arquivos.


VISÃO GERAL DA BUSCA DE ARQUIVOS

Muitos conceitos da busca de arquivos poderiam parecer autoexplicativos, apesar disto, neste artigo do blog descreveremos as bases da busca de arquivos, por tanto, falaremos inclusive sobre as bases mais óbvias para preparar aos leitores nos temas de busca mais avançados que cobriremos mais adiante em outros artigos.

Conceitualmente, a essência de qualquer busca de arquivos precisa da habilidade de criar critérios de busca, da agrupação destes critérios caso seja necessário e da sua aplicação nos arquivos para determinar se um arquivo “responde” a (ou coincide com) os critérios desejados. A um nível geral, existem dois tipos de critérios de busca:

    •    Critérios de busca inclusivos nos quais o investigador ou o auditor estão buscando alguma coisa específica. Os resultados de um critério de busca inclusivo são arquivos que coincidem ou contenham o critério buscado.

    •    Critérios de busca exclusivos nos quais o auditor quere definir o que é normal e aceitável em busca de qualquer coisa que não coincida com o critério de busca.

Exemplos gerais de critérios de busca também podem incluir, entre outros, qualquer elemento da seguinte lista:

    •    Metadados de um arquivo (nome de arquivo, datas, extensão, localização, tipos de arquivos, tamanho de arquivo, etc.)
    •    Conteúdo que poderia estar guardado dentro de um arquivo (palavras chave, padrões de números, etc.)
    •    Valores de hash
    •    Similaridade entre arquivos
    •    Busca de proximidade
    •    Valores de chaves do registro
    •    Permissões de arquivos
    •    Estado de cifrado
    •    Arquivos em estado apagado ou sobrescrito
    •    Metadados de sistema do endpoint onde reside um arquivo (domínio, IP, sistema operacional, service packs, etc.)

Depois disto os critérios de busca precisam ser mandados a um grupo de endpoints, recursos de rede ou na nuvem para determinar que arquivos coincidem com o critério dado. Podem existir certas considerações especiais na mecânica da busca que poderiam precisar ser tomadas em consideração, como as seguintes:

    •    Considerações de escalado conforme cresça o número de endpoints que potencialmente precisem ser explorados durante buscas

    •    Fatores regulatórios como leis nacionais de proteção e privacidade de dados ou normativas específicas duma indústria

    •    Limitações de largura de banda ou fatores de custo que envolvam endpoints acessíveis somente mediante conexões de baixa velocidade ou links de satélite

    •    Tipos de cifrado a nível de disco ou de arquivo usados nos endpoints

    •    Considerações relacionadas ao estado duma máquina como processos específicos em execução, portas específicas, etc.

Nosso seguinte artigo desta série discutirá como os arquivos são coletados uma vez identificados, agora nos focalizaremos somente na busca.

GUIDANCE SOFTWARE E A ARTE DA BUSCA DE ARQUIVOS DIGITAIS

A Guidance Software encontra-se numa posição excepcional para fornecer soluções que ajudam às organizações a buscar arquivos. Graças a um histórico extenso em investigações forenses digitais, os produtos da Guidance podem dar-lhe uma completa visibilidade dentro de praticamente qualquer localização na qual um arquivo possa estar armazenado e permitem que auditores e investigadores apliquem critérios que determinem com sucesso se um arquivo responde (ou coincide) com esses critérios.


Agora mostraremos algumas das vantagens que os produtos da Guidance Software têm para fornecer uma capacidade de busca de primeira categoria como uma parte fundamental de todos seus produtos. A pesar de que cobriremos funcionalidades específicas em artigos futuros, a seguir mostramos uma visão panorâmica de como funcionam estes produtos:

    •    Processo de busca consistente e eficiente: Guidance Software conhece as vantagens que oferece dar-lhe a capacidade de buscar exaustivamente através de todos os sistemas operacionais em discos, discos cifrados, pastas compartilhadas, endpoints protegidos, repositórios de rede e a nuvem usando um processo de busca consistente. Os produtos da Guidance Software não só podem aplicar critérios de busca para todo tipo de arquivos através de centenas ou milhares de máquinas, mas também podem reduzir automaticamente a dimensão das buscas em máquinas que não coincidem com critérios de busca inclusivos ou exclusivos referentes a rangos de IP, nomes de máquina, domínios, sistemas operacionais, service packs instalados, etc.

    •    Disponibilidade de critérios de busca amplos e profundos: Uma vez que o processo de busca identifica um endpoint que precisa ser auditado o examinado, os produtos da Guidance Software têm critérios de busca fáceis que podem encontrar e expor dados e arquivos escondidos, apagado ou sobrescritos com alta pericia, assim como dados e arquivos ativos armazenados na sua rede sem importar o sistema operacional da máquina onde esses dados e arquivos residem. Todos os produtos da Guidance Software usam o mesmo agente, um agente pequeno que aplica efetivamente uma visibilidade a nível forense de forma concorrente em centenas ou milhares de endpoints. Os critérios de busca podem ser tão amplos ou granulares como seja necessário para uma investigação ou auditoria em particular. Enquanto que todos os produtos da Guidance Software lhe dão a capacidade de buscar arquivos ativos, alguns produtos também lhe permitem buscar nas partes mais profundas do sistema operacional, registro, memória, assim como os processos duma máquina. Temos clientes grandes e muito reconhecidos com milhões de endpoints que usam os produtos da Guidance Software diariamente.

    •    Capacidade de busca em discos cifrados: Os produtos da Guidance Software podem executar buscas em discos cifrados com a maioria dos produtos de cifrado comerciais, incluindo pelo menos um produto que abre discos de forma dinâmica.

    •    Configurações para situações de busca especiais: Os produtos da Guidance Software focalizam-se unicamente nos dados em repouso dos endpoints. Isto significa que a Guidance Software pode aplicar critérios de busca de forma mais seletiva que os competidores que interceptam ou capturam dados e documentos em movimento através da rede. A vantagem que isto traz é que os produtos da Guidance Software podem excluir áreas de una unidade de disco que as leis de privacidade de dados considerem “informação privada”. Adicionalmente, muitos produtos da Guidance Software podem ser configurados para operar em redes com largura de banda extremadamente escassa conforme seja necessário. Além disto, o produto EnCase Endpoint Security da Guidance Software pode ser configurado para incluir ou excluir máquinas durante uma busca baseando-se no perfil duma máquina determinada, baseando-se nos processos executados, portas abertas, arquivos abertos, conexões de rede ativas, etc. Isto permite aos investigadores de malware ou auditores de TI identificar e aplicar rapidamente critérios de busca nas máquinas que se consideram sob maior risco.

    •    Integração com capacidades de inteligência de ameaças de primeira categoria: Parte da busca de malware inclui ter a capacidade de identificar ameaças como parte da sua investigação ou auditoria. EnCase Endpoint Security pode integrar-se com algumas das mais poderosas plataformas de inteligência de ameaças a nível mundial e aplicar padrões estandardizados para a busca de indicadores de comprometimento (IoC) como regras YARA e STIX. Discutiremos estas capacidades em grande detalhe mais adiante.

Este artigo forneceu uma perspectiva geral da busca de arquivos e as vantagens que os produtos da Guidance Software trazem à busca de arquivos. No seguinte artigo da série, postaremos as bases da coleção de arquivos encontrados usando os critérios de busca.

Aperte seu cinto, esta viagem só está começando …

Tony Grey
Guidance Software
América Latina

Para maiores informações sobre os produtos da Guidance Software, entre em contato com nossos revendedores locais ou escreva a sales-latam@guidancesoftware.com.


TEMAS RELACIONADOS

Guidance Software 101: Conceitos Fundamentais

Faça Parte do Nosso Grupo do LinkedIn para Usuários do EnCase em Português

SC Magazine dá 5 estrelas para EnCase® Endpoint Security

Curta a Nossa Página em Português no Facebook  


No comments :

Post a Comment