Casos de Uso: EnCase Cybersecurity Complementando una Lista de Cuentas de Usuarios Desactivadas

Situación

Cuando un empleado es despedido de una empresa, las mejores prácticas dictan que su cuenta de usuario no sea borrada inmediatamente, sino que el acceso de la cuenta de usuario a los recursos de la empresa sea revocado. La cuenta del usuario debe ser mantenida mientras la empresa tenga una legítima necesidad comercial o legal de mantener los datos y registros del empleado de forma que las obligaciones contractuales sean cumplidas. Para evitar el mal uso de estas cuentas, los componentes dedicados a la administración de la seguridad de información y eventos de la red (SIEM, según sus siglas en inglés) mantienen una lista con el nombre de todas estas cuentas de usuarios.



Respuesta de EnCase Cybersecurity

Al encontrar cualquier actividad de estas cuentas de usuarios, los componentes SIEM activan a EnCase Cybersecurity para escanear el dispositivo en la dirección IP desde la cual se origina esta actividad. EnCase Cybersecurity responde analizando el dispositivo en cuestión y capturando toda la información pertinente en una instantánea del sistema.

Esta instantánea del sistema permite analizar de una sola vez toda la información de lo que está ocurriendo en el sistema del dispositivo mencionado, capturando información como la configuración del sistema y la memoria del sistema. Los dispositivos electrónicos utilizan la memoria del sistema para guardar todas las funciones que están corriendo en un dispositivo en un momento específico. A partir de esto, EnCase Cybersecurity ofrece la siguiente información al examinador:

•    Procesos abiertos: Permite examinar todos los programas que la cuenta de usuario desactivada está utilizando.

•    Puertos utilizados: Todas las comunicaciones entre dispositivos son enviadas mediante un puerto, esto permite a los dispositivos mantener varias conexiones simultáneamente. El puerto utilizado para una conexión puede indicar el tipo de información que se está recibiendo o enviando. Aplicaciones que intentan usar puertos distintos a los empleados por las herramientas utilizadas dentro de una empresa indican la posibilidad de fuga de información.

•    Direcciones IP de destino: Nos permite saber hacia dónde está siendo enviada la información en el momento que la cuenta de usuario desactivada está utilizando el equipo.

•    Uso de dispositivos removibles: EnCase Cybersecurity también informa si algún dispositivo removible ha sido instalado en el sistema, tales como llaves USB  o discos duros externos. Actividad de estos dispositivos durante el uso de la cuenta desactivada es un indicativo de robo de información.

•    Carpetas Compartidas: Permite saber si alguna carpeta del dispositivo está compartida, de forma que se pueda analizarla con más detenimiento ya que cualquier cosa contenida en ella puede ser accedida en otros dispositivos sin necesidad de que la cuenta de usuario desactivada inicie su sesión de usuario en el dispositivo o de forma remota.

Toda la información recopilada es mostrada de una forma estructurada y de fácil comprensión, permitiendo al examinador deducir rápidamente que elementos requieren de su atención.

Beneficio

EnCase Cybersecurity permite entender inmediatamente que es lo que un usuario no autorizado estaba haciendo en el dispositivo al que consiguió tener acceso. Todas las operaciones son realizadas de forma invisible al usuario de la cuenta desactivada, dejando recaudar información que permite comprender como se consiguió el acceso a los dispositivos. EnCase Cybersecurity sigue estándares internacionales para la colección y análisis de la información que permiten la admisión de la información encontrada como evidencia en casos legales.

RELACIONADOS

Casos de Uso: EnCase Cybersecurity Complementando una Lista Negra / Contenido Malicioso Previamente Reconocido

Cuando Viejos Procesos Encuentran Nueva Tecnología


Casos de Uso: EnCase Cybersecurity Complementando un IPS, IDS o Firewall

Casos de Uso: EnCase Cybersecurity Complementando un Antivirus

No hay comentarios :

Publicar un comentario