Una empresa cuenta con un Filtro de
Contenido de Internet entre sus herramientas de seguridad. Esta herramienta fue
desarrollada y perfeccionada para controlar qué contenido de internet un
usuario puede acceder y qué contenido es de acceso restringido. Este contenido
restringido contiene mayormente sitios web; pero también puede incluir
servidores de correo electrónico, protocolos específicos de mensajería
instantánea, protocolos para intercambio de archivos (P2P), etc.
Específicamente un Filtro de Contenido Web,
tal como los reconocidos SmartWeb, WebSense y OPSEC entre otros, mantiene una
lista extensa de sitios cuyo contenido no es apto para ser accedido por los
usuarios de la empresa. Entre estos sitios, podemos encontrar sitios conocidos
por contener información y herramientas
relacionadas al hacking.
Los componentes dedicados a la
administración y seguridad de la información y eventos de la red (SIEM, según
su sigla en inglés) pueden usar reglas correlacionadas a estas listas para
monitorear los registros de internet y los registros proxy (logs) y encontrar
casos en los cuales los usuarios de cualquier dispositivo de la empresa han intentado
acceder a este tipo de sitios web.
Al presentarse una situación en la cual un
usuario intenta acceder un sitio de hacking, los componentes SIEM mandan una señal
de alerta.
Respuesta
Los componentes SIEM activan a EnCase
Cybersecurity para que realice una evaluación extensa en la dirección I.P. del
dispositivo afectado dentro de la empresa. EnCase Cybersecurity responde
creando una imagen del dispositivo con el propósito de encontrar herramientas
conocidas por ser usadas para hacking. Entre ellas podemos mencionar netcat,
pwdump#m sniffers, Cain, Able, etc.
Esta imagen es una instantánea que contiene
el estado integral del dispositivo en un momento dado, mostrando con exactitud
la configuración del dispositivo y las actividades que estén siendo realizadas
en ese momento en específico. No son capturados solamente los datos guardados
en las unidades de almacenamiento, sino que también es capturada la memoria
volátil del sistema en su totalidad.
Después de la captura de la imagen, EnCase
genera las llaves hash de los archivos del dispositivo. Las llaves hash son las
huellas digitales de los archivos, crean una representación única del contenido
del archivo. EnCase usa estas llaves hash para hacer una comparación mediante
el análisis de similitud por entropía.
El análisis de similitud por entropía
permite a EnCase Cybersecurity comparar los archivos del dispositivo con los
archivos de las herramientas de hacking, encontrando su presencia en el
dispositivo independientemente de que
tengan un nombre de archivo diferente, una ruta diferente o que sean versiones
modificadas de una herramienta de hacking. Esta función innovadora es
particularmente útil para identificar los casos en los que el usuario intenta
enmascarar las herramientas de hacking guardadas en un dispositivo.
Al encontrar la presencia de herramientas
de hacking, EnCase crea un reporte completo de los archivos encontrados y puede
eliminarlos inmediatamente.
Beneficio
Conseguir una visibilidad instantánea de si
fueron o no bajadas y/o ejecutadas herramientas de hacking en el dispositivo
examinado y eliminar inmediatamente las herramientas de hacking antes de que
sean usadas dentro de la empresa. EnCase Cybersecurity sigue estándares
internacionales para la colección y análisis de la información que permiten la admisión
de la información encontrada como evidencia en casos legales.
RELACIONADOS
Casos de Uso: EnCase Cybersecurity Complementando una Lista de Cuentas de Usuarios Desactivadas
Casos de Uso: EnCase Cybersecurity Complementando un IPS, IDS o Firewall
Casos de Uso: EnCase Cybersecurity Complementando un Antivirus
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
No hay comentarios :
Publicar un comentario