Guidance Software 101: As Bases – Fazendo a Transição entre a Detecção no Endpoint e a Resposta a Incidentes (#5)


Esta é a quinta publicação da nossa série de 101 artigos. No último artigo postado, fomos além da busca e coleção de arquivos para discutir as bases da visibilidade a nível forense em centenas ou milhares de endpoints. Este artigo tomará estes três temas anteriores para combiná-los sob a expressão “Detecção no Endpoint” e profundará nas respostas acionáveis para os incidentes detectados nesses endpoints. Ao final deste artigo, você entenderá não só os conceitos e metodologias da detecção e resposta em endpoints, senão que também entenderá as vantagens acionáveis oferecidas pelos produtos da Guidance Software.

O QUE É DETECÇÃO E RESPUESTA EM ENDPOINTS?

Em 2015, a Gartner definiu uma nova categoria competitiva e lhe deu o nome de “Detecção e Resposta em Endpoints”. Definiram esta categoria de soluções da seguinte maneira:

“O mercado de Detecção e Resposta em Endpoints é um mercado emergente entre as tecnologias de segurança, criado para satisfazer a necessidade duma detecção e resposta contínua diante das ameaças avançadas, principalmente com o objetivo de aumentar significativamente as capacidades de monitoração da segurança, detecção de ameaças e resposta a incidentes.”

Cabe mencionar que a Guidance Software tem figurado como o mais forte competidor desta categoria no relatório inicial da Gartner.

Voltando ao tema, para poder responder a um incidente, uma organização precisa saber se o incidente está em progresso atualmente o se ocorreu anteriormente. Existem duas maneira de fazer isto:

1)    Buscando arquivos que cumpram critérios coincidentes com arquivos maliciosos
2)    Buscando artefatos da atividade de usuários ou de conexões remotas que poderiam indicar aceso ou atividade não autorizada por parte de usuários ou a presença de arquivos maliciosos.

Se você tem estado lendo esta série de artigos, estas duas metodologias podem parecer familiares. Dito isto, uma vez um incidente é encontrado, a organização deve responder.

ENFOQUES TÍPICOS DA DETECÇÃO E RESPOSTA EM ENDPOINTS

Como esta é uma visão general, cobriremos rapidamente alguns dos enfoques típicos da parte de resposta da detecção e resposta em endpoints. Isto inclui:

Enfoque da resposta
Descrição
Vantagens/Desvantagens

Alertas

Os alertas normalmente são desencadeados como resultado duma coincidência entre arquivos, recente entrada no log, definição duma política ou uma entrada que coincida com algum tipo de algoritmo gerado por alguma ferramenta de segurança ou monitoração de TI.

Vantagens:
        Monitoração contínua
        Quase em tempo real
        Pode ser integrado em um só console

Desvantagens:
        Requere da organização para investigar ou remediar os riscos
        Quanto mais políticas monitoram-se, mais alertas são gerados
        O volume de alertas pode sobrecarregar os recursos
       Entradas de log ambíguas
        Falsos Positivos
        Falsos Negativos
        Requisitos de hardware para seu suporte


Gravação remota da atividade dos usuários

Gravação das atividades dos usuários mediante capturas de tela ou vídeos

Vantagens:
        Pode ver e guardar as atividades dos usuários (ameaças internas)
        Pode ser automatizado ou manual

Desvantagens:
        Não é uma verdadeira remediação dos problemas
        Potenciais problemas de escalabilidade conforme cresça o número de usuários


Bloqueio de arquivos

Bloquear a transmissão através da rede de um arquivo que cumpra certos critérios de conteúdo ou de destino

Vantagens:
        Reduze o risco de perda de dados

Desvantagens:
        Pode ser difícil de configurar em organizações grandes
        Requisitos de hardware potencialmente grandes
        Potenciais problemas de conectividade na rede devido a que as políticas de bloqueio de arquivos usualmente são atualizadas através da rede


Bloqueio de processos

Bloquear a execução de algum processo existente

Vantagens:
        A execução de processos desconhecidos ou maliciosos é bloqueada de alguma maneira
        Pode ser automatizado ou manual

Desvantagens:
        Limitado a “remediar” processos
        Não é uma remediação real visto que o arquivo ainda reside no sistema operacional e, dependendo do enfoque, o processo ainda pode estar ao vivo na memória


Uma revisão rápida da tabela mostra como poucos enfoques típicos fornecem à organização com uma verdadeira capacidade de remediação. A responsabilidade da validação, remediação e de uma potencial investigação a nível forense das ameaças usualmente é retornada à organização.

A VANTAGEM DA GUIDANCE SOFTWARE PARA A RESPOSTA A INCIDENTES


Endpoint Security da Guidance Software oferece vantagens significativas, tanto quando funciona como uma solução autossuficiente, como quando é integrado com as outras ferramentas de segurança de TI da organização para automatizar respostas configuráveis. Enquanto que muitas outras soluções só examinam entradas de log, EnCase Endpoint Security fornece uma visão a nível forense de 360 graus e capacidades de remediação em todos seus endpoints.

EnCase Endpoint Security dispõe de diversas opções de resposta para as organizações, apresentadas como o resultado duma auditoria e/ou investigação independente ou como respostas automatizadas a alertas. Alguns exemplos incluem o seguinte:

Opção de resposta
Exemplos de respostas

Validação

Validação do resultado de auditorias, buscas investigativas, detecção de malware ou alertas derivadas de outras ferramentas de segurança de TI



Possíveis exemplos de respostas incluem:

    •    Lista completa de processos ao vivo executando-se em um endpoint
    •    Lista completa de conexões remotas ao endpoint, incluindo o processo e a conta de usuário associada a uma conexão
    •    Identificação de arquivos ou de processos que não fazem parte duma configuração autorizada
    •    Artefatos de internet dum usuário em específico (incluindo uma lista completa das URLs visitadas, cookies, descargas, etc.)
    •    Visualização completa das chaves de registro dos endpoints
    •    Coleção remota da memória de um ou mais endpoints para maior análise


Remediação remota

Uma verdadeira remediação remota que opcionalmente pode coletar arquivos. A remediação inclui:

    •    Remoção a nível forense do arquivo no sistema operacional, inclusive se o arquivo está em uso
    •    Remoção a nível forense dum processo associado na memória, inclusive se está em uso
    •    Capacidade configurável de preservar uma cópia forense do arquivo que está sendo remediado


Exemplos incluem o seguinte:

    •    Verdadeira remediação remota dos EXEs e DLLs
    •    Verdadeira remediação remota de documentos
    •    Verdadeira remediação remota de emails
    •    Verdadeira remediação remota de qualquer tipo de arquivo
    •    Verdadeira remediação remota de chaves de registro

Diferentes tipos de alertas obviamente requerem diferentes tipos de respostas automatizadas. Um ponto chave de como os produtos da Guidance Software podam adicionar valor aos seus investimentos atuais na segurança ou monitoração de TI é que permite configurar os alertas para que gerem um tipo específico de resposta automatizada. Discutiremos isto em maior detalhe em próximos artigos.


Espero que tenha podido notar que a vantagem da Guidance Software para a resposta a incidentes realmente está em poder não só detectar riscos e ameaças em praticamente qualquer lugar da infraestrutura da organização senão também em fornecer uma resposta acionável de forma remota desde um ponto central dentro da organização. Estas capacidades de visibilidade e resposta são desenvolvidas enquanto a evidência investigativa crítica é preservada caso seja requisitada no futuro pelo departamento jurídico, R.H. ou outras equipes.

Consideraria este nível de visibilidade e remediação em endpoints como “exaustivo”.

Finalizando, este artigo tem tentado entregar uma visão panorâmica da resposta a incidentes e as vantagens acionáveis que os produtos da Guidance Software podem oferecer a uma organização. Nosso seguinte artigo o ajudará a entender os componentes que os produtos da Guidance Software usam para entregar-lhe resultados integrais e confiáveis em auditorias e investigações.

Proximamente chegaremos aos temas mais substanciosos… agradeço sua paciência enquanto navegamos as bases.

Tony Grey
Guidance Software
América Latina

Para maiores informações sobre os produtos da Guidance Software, entre em contato com nossos revendedores locais ou escreva a sales-latam@guidancesoftware.com.


TEMAS RELACIONADOS

Guidance Software 101: Conceitos Fundamentais

Faça Parte do Nosso Grupo do LinkedIn para Usuários do EnCase em Português

Guidance Software 101: As Bases – Visibilidade a Nível Forense de 360 Graus nos Endpoints (#4)

Curta a Nossa Página em Português no Facebook 
 

1 comment :

  1. I've used AVG protection for a few years, and I'd recommend this product to everyone.

    ReplyDelete