Situación
Muchas organizaciones prohíben el uso de memorias
de almacenamiento USB, tales como memorias flash o discos duros externos para
prevenir la fuga de información hacia estos aparatos. Cuando una organización
cuenta con una solución para la
Prevención de Pérdida de Datos, o DLP según su sigla en inglés, puede
configurarla para detectar el momento en que uno de estas memorias es conectada
a algún dispositivo de la red empresarial. Una solución DLP está diseñada para
detectar los posibles incidentes de violación de datos en forma oportuna y
prevenirlos mediante el control de datos; mientras están en uso (acciones tomadas
en tiempo real en un dispositivo), en movimiento (cuando controla el tráfico de
los datos en la red) y en reposo (cuando están guardados en un dispositivo de almacenamiento
de datos).
Cuando una solución DLP detecta la conexión
de alguno de estos dispositivos USB en una computadora de escritorio, portátil
o servidor; envían una señal de alerta a los componentes dedicados a la
administración de la seguridad de la información y eventos de la red (SIEM,
según su sigla en inglés).
Respuesta
Los componentes SIEM activan a EnCase
Cybersecurity para que realice una evaluación completa a la dirección I.P. del
dispositivo donde se ha conectado una memoria USB. EnCase Cybersecurity
responde de dos formas: capturando los
metadatos y/o creando una imagen de la memoria USB.
La captura de metadatos es la captura de
todos los datos que describen a los archivos y carpetas de un dispositivo. Por
ejemplo, si capturamos los metadatos de un documento de Microsoft Word, sus
metadatos vendrían a ser el autor del documento, la cantidad de páginas que
tiene, la cantidad de palabras contenidas, cuantos caracteres están escritos,
el nombre del archivo, la ruta en la que se encuentra almacenado en la memoria
USB, cuando fue creado, cuando fue modificado, cuando fue abierto por última
vez, etc. La captura de metadatos es extremadamente rápida y altamente
informativa, razón por la cual a veces es preferida sobre una captura de
imagen.
La captura de la imagen del dispositivo USB
construye una copia fiel de todos los datos que están contenidos en la memoria
del dispositivo USB. EnCase Cybersecurity no sólo captura toda la información
actual del dispositivo, sino que también puede revisar todos los sectores de la
memoria para capturar información de archivos borrados previamente, ya que
cuando un archivo es borrado por un sistema, en realidad los sectores no son
borrados sino que simplemente son marcados como fuera de uso. Esta es la razón
por la cual cuando borramos un archivo, ya sea de 1KB o de 1GB, sucede
instantáneamente. La captura de la imagen no es tan veloz como la captura de
metadatos, pero es tan rápida como lo permita la red de la empresa y la memoria USB que queremos adquirir. En una
red empresarial veloz y con un dispositivo USB típico, una memoria USB de 8GB
puede ser capturada íntegramente en pocos minutos.
Nada impide configurar a EnCase para
primero capturar metadatos y después capturar la imagen, dándonos la mejor
mezcla de velocidad e integridad en la captura.
Beneficio
Capturar inmediatamente el contenido y/o los metadatos de la memoria USB antes de que sea desconectado del sistema, asegurando que se pueda realizar una investigación exhaustiva del contenido del dispositivo USB.
RELACIONADOS
Casos de Uso: EnCase Cybersecurity Complementando un Filtro de Contenido Contra Spyware
Casos de Uso: EnCase Cybersecurity Complementando una Lista de Cuentas de Usuarios Desactivadas
Casos de Uso: EnCase Cybersecurity Complementando un IPS, IDS o Firewall
Casos de Uso: EnCase Cybersecurity Complementando un Antivirus
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
No hay comentarios :
Publicar un comentario