Una empresa cuenta con un Filtro de Contenido de Internet entre sus herramientas de seguridad. Esta herramienta fue diseñada y optimizada para controlar a qué contenido de Internet un usuario tiene el acceso permitido y a qué contenido en particular tiene el acceso denegado. Este contenido incluye mayormente páginas web; pero también puede incluir servidores de correos electrónicos, protocolos específicos de mensajería instantánea, protocolos de intercambio de archivos (P2P), etc.
Cuando el Filtro de Contenido bloquea muchas conexiones salientes provenientes de un dispositivo en particular, existe una alta posibilidad de que el dispositivo mencionado haya sido infectado por spyware que esté tratando de propagarse por la red interna o que esté tratando de comunicar información confidencial a su creador. Ante una situación como la relatada, los componentes dedicados a la administración de la seguridad de información y eventos de la red (SIEM, según sus siglas en inglés) envían una señal de alerta.
Respuesta
Los componentes SIEM activan a EnCase Cybersecurity para que realice una evaluación extensa a la dirección I.P. del dispositivo afectado dentro de la empresa. EnCase Cybersecurity responde creando una imagen del dispositivo.
Esta imagen es una instantánea que contiene el estado íntegro de un dispositivo en un momento dado, mostrándonos con exactitud la configuración del dispositivo y la actividad que está realizando en ese momento en específico. No sólo son capturados datos guardados en los dispositivos de almacenamiento, sino que también es capturada con totalidad la memoria volátil del sistema. Los dispositivos electrónicos utilizan la memoria del sistema (memoria RAM) para guardar todas las aplicaciones que están corriendo en un dispositivo un momento específico. EnCase Cybersecurity permite capturar toda esta información para descubrir exactamente que aplicación está generando las conexiones inusuales, en que localización del dispositivo se encuentra, los puertos que utiliza y las direcciones a las que está tratando de conectarse.
Tras encontrar la aplicación disruptiva, EnCase permite al examinador analizar si se trata de una aplicación spyware infiltrada. En caso de realmente ser spyware, EnCase puede sacarle su firma digital para que sea removido en todos los dispositivos en las direcciones de I.P. a las que se mostraba una conexión. Las firmas digitales son particularmente útiles porque permiten a EnCase encontrar el spyware en otros dispositivos independientemente de que cambien de ubicación o de nombre. Además, el análisis de la firma permite encontrar spyware polimórfico, casos en los que el spyware modifica su forma en cada dispositivo que infecta.
Beneficio
Confirmar rápidamente si dispositivos fueron infectados por el spyware y corroborar si este se propagó por las redes de la empresa. EnCase Cybersecurity puede remover todas las instancias del spyware en la red de forma automatizada.
Casos de Uso: EnCase Cybersecurity Complementando una Lista de Cuentas de Usuarios Desactivadas
Casos de Uso: EnCase Cybersecurity Complementando un IPS, IDS o Firewall
Casos de Uso: EnCase Cybersecurity Complementando un Antivirus
No hay comentarios :
Publicar un comentario