Esta é a quinta publicação da nossa série de 101 artigos. No último artigo postado, fomos além da busca e coleção de arquivos para discutir as bases da visibilidade a nível forense em centenas ou milhares de endpoints. Este artigo tomará estes três temas anteriores para combiná-los sob a expressão “Detecção no Endpoint” e profundará nas respostas acionáveis para os incidentes detectados nesses endpoints. Ao final deste artigo, você entenderá não só os conceitos e metodologias da detecção e resposta em endpoints, senão que também entenderá as vantagens acionáveis oferecidas pelos produtos da Guidance Software.
O QUE É DETECÇÃO E RESPUESTA EM ENDPOINTS?
Em 2015, a Gartner definiu uma nova categoria competitiva e lhe deu o nome de “Detecção e Resposta em Endpoints”. Definiram esta categoria de soluções da seguinte maneira:
“O mercado de Detecção e Resposta em Endpoints é um mercado emergente entre as tecnologias de segurança, criado para satisfazer a necessidade duma detecção e resposta contínua diante das ameaças avançadas, principalmente com o objetivo de aumentar significativamente as capacidades de monitoração da segurança, detecção de ameaças e resposta a incidentes.”
Cabe mencionar que a Guidance Software tem figurado como o mais forte competidor desta categoria no relatório inicial da Gartner.
Voltando ao tema, para poder responder a um incidente, uma organização precisa saber se o incidente está em progresso atualmente o se ocorreu anteriormente. Existem duas maneira de fazer isto:
1) Buscando arquivos que cumpram critérios coincidentes com arquivos maliciosos
2) Buscando artefatos da atividade de usuários ou de conexões remotas que poderiam indicar aceso ou atividade não autorizada por parte de usuários ou a presença de arquivos maliciosos.
Se você tem estado lendo esta série de artigos, estas duas metodologias podem parecer familiares. Dito isto, uma vez um incidente é encontrado, a organização deve responder.
ENFOQUES TÍPICOS DA DETECÇÃO E RESPOSTA EM ENDPOINTS
Como esta é uma visão general, cobriremos rapidamente alguns dos enfoques típicos da parte de resposta da detecção e resposta em endpoints. Isto inclui:
Enfoque da resposta
|
Descrição
|
Vantagens/Desvantagens
|
Alertas
|
Os alertas
normalmente são desencadeados como resultado duma coincidência entre arquivos,
recente entrada no log, definição duma política ou uma entrada que coincida
com algum tipo de algoritmo gerado por alguma ferramenta de segurança ou
monitoração de TI.
|
Vantagens:
• Monitoração contínua
• Quase em tempo real
• Pode ser integrado em um só console
Desvantagens:
• Requere da organização para investigar ou remediar os riscos
• Quanto mais políticas monitoram-se, mais alertas são gerados
• O volume de alertas pode sobrecarregar
os recursos
• Entradas de log ambíguas
• Falsos Positivos
• Falsos Negativos
• Requisitos de hardware para seu suporte
|
Gravação remota da atividade dos usuários
|
Gravação das
atividades dos usuários mediante capturas de tela ou vídeos
|
Vantagens:
• Pode ver e guardar as atividades dos usuários (ameaças internas)
• Pode ser automatizado ou manual
Desvantagens:
• Não é uma verdadeira remediação dos problemas
• Potenciais problemas de escalabilidade conforme cresça o número de usuários
|
Bloqueio de arquivos
|
Bloquear a transmissão
através da rede de um arquivo que cumpra certos critérios de conteúdo ou de
destino
|
Vantagens:
• Reduze o risco de perda de dados
Desvantagens:
• Pode ser difícil de configurar em organizações grandes
• Requisitos de hardware potencialmente grandes
• Potenciais problemas de conectividade na rede devido a que as
políticas de bloqueio de arquivos usualmente são atualizadas através da rede
|
Bloqueio de processos
|
Bloquear a execução
de algum processo existente
|
Vantagens:
• A execução de processos desconhecidos ou maliciosos é bloqueada de alguma
maneira
• Pode ser automatizado ou manual
Desvantagens:
• Limitado a “remediar” processos
• Não é uma remediação real visto que o arquivo ainda reside no sistema
operacional e, dependendo do enfoque, o processo ainda pode estar ao vivo na
memória
|
Uma revisão rápida da tabela mostra como poucos enfoques típicos fornecem à organização com uma verdadeira capacidade de remediação. A responsabilidade da validação, remediação e de uma potencial investigação a nível forense das ameaças usualmente é retornada à organização.
A VANTAGEM DA GUIDANCE SOFTWARE PARA A RESPOSTA A INCIDENTES
Endpoint Security da Guidance Software oferece vantagens significativas, tanto quando funciona como uma solução autossuficiente, como quando é integrado com as outras ferramentas de segurança de TI da organização para automatizar respostas configuráveis. Enquanto que muitas outras soluções só examinam entradas de log, EnCase Endpoint Security fornece uma visão a nível forense de 360 graus e capacidades de remediação em todos seus endpoints.
EnCase Endpoint Security dispõe de diversas opções de resposta para as organizações, apresentadas como o resultado duma auditoria e/ou investigação independente ou como respostas automatizadas a alertas. Alguns exemplos incluem o seguinte:
Opção de resposta
|
Exemplos de respostas
|
Validação
Validação do resultado de auditorias,
buscas investigativas, detecção de malware ou alertas derivadas de outras ferramentas
de segurança de TI
|
Possíveis exemplos de respostas incluem:
•
Lista completa de processos ao vivo executando-se em um endpoint
•
Lista completa de conexões remotas ao endpoint, incluindo o processo e a conta
de usuário associada a uma conexão
•
Identificação de arquivos ou de processos que não fazem parte duma configuração
autorizada
•
Artefatos de internet dum usuário em específico (incluindo uma lista completa
das URLs visitadas, cookies, descargas, etc.)
•
Visualização completa das chaves de registro dos endpoints
•
Coleção remota da memória de um ou mais endpoints para maior análise
|
Remediação remota
Uma verdadeira remediação remota que
opcionalmente pode coletar arquivos. A remediação inclui:
•
Remoção a nível forense do arquivo no sistema operacional, inclusive se o arquivo
está em uso
•
Remoção a nível forense dum processo associado na memória, inclusive se está
em uso
•
Capacidade configurável de preservar uma cópia forense do arquivo que está sendo
remediado
|
Exemplos incluem o seguinte:
•
Verdadeira remediação remota dos EXEs e DLLs
•
Verdadeira remediação remota de documentos
•
Verdadeira remediação remota de emails
•
Verdadeira remediação remota de qualquer tipo de arquivo
•
Verdadeira remediação remota de chaves de registro
|
Diferentes tipos de alertas obviamente requerem diferentes tipos de respostas automatizadas. Um ponto chave de como os produtos da Guidance Software podam adicionar valor aos seus investimentos atuais na segurança ou monitoração de TI é que permite configurar os alertas para que gerem um tipo específico de resposta automatizada. Discutiremos isto em maior detalhe em próximos artigos.
Espero que tenha podido notar que a vantagem da Guidance Software para a resposta a incidentes realmente está em poder não só detectar riscos e ameaças em praticamente qualquer lugar da infraestrutura da organização senão também em fornecer uma resposta acionável de forma remota desde um ponto central dentro da organização. Estas capacidades de visibilidade e resposta são desenvolvidas enquanto a evidência investigativa crítica é preservada caso seja requisitada no futuro pelo departamento jurídico, R.H. ou outras equipes.
Consideraria este nível de visibilidade e remediação em endpoints como “exaustivo”.
Finalizando, este artigo tem tentado entregar uma visão panorâmica da resposta a incidentes e as vantagens acionáveis que os produtos da Guidance Software podem oferecer a uma organização. Nosso seguinte artigo o ajudará a entender os componentes que os produtos da Guidance Software usam para entregar-lhe resultados integrais e confiáveis em auditorias e investigações.
Proximamente chegaremos aos temas mais substanciosos… agradeço sua paciência enquanto navegamos as bases.
Tony Grey
Guidance Software
América Latina
Para maiores informações sobre os produtos da Guidance Software, entre em contato com nossos revendedores locais ou escreva a sales-latam@guidancesoftware.com.
TEMAS RELACIONADOS
Guidance Software 101: Conceitos Fundamentais
Faça Parte do Nosso Grupo do LinkedIn para Usuários do EnCase em Português
Guidance Software 101: As Bases – Visibilidade a Nível Forense de 360 Graus nos Endpoints (#4)
Curta a Nossa Página em Português no Facebook
No comments :
Post a Comment