Situación
Es común requerir que el equipo TI o el
equipo legal de una organización recolecte los datos de un usuario en
particular en un dispositivo, tanto por motivos legales como para investigaciones
de recursos humanos. Para facilitar este proceso, los componentes dedicados a
la administración de la seguridad de la información y eventos de la red (SIEM,
según su sigla en inglés) mantienen una lista de Sesiones de Usuario. Cuando la
cuenta de un usuario de interés es vista en funcionamiento por los componentes
SIEM, una regla correlacionada es iniciada para pasar a EnCase la dirección
I.P. del dispositivo que está siendo utilizado por este usuario.
Respuesta
de EnCase Cybersecurity
EnCase es activado para crear una imagen
del sistema. Esta imagen del sistema contiene el estado integral del
dispositivo en un momento dado, mostrando con exactitud la configuración del
dispositivo y las actividades que estén siendo realizados en ese momento en
específico. No son solamente capturados los datos guardados en unidades de
almacenamiento, sino que también es capturada la memoria volátil del sistema en
su totalidad. A partir de esto, EnCase Cybersecurity ofrece la siguiente
información al examinador:
·
Visualización completa de los archivos del dispositivo: Como EnCase funciona mediante un agente cargado antes de la
finalización de la inicialización del sistema operativo, EnCase puede acceder a
archivos cuyo acceso es normalmente
restringido por el sistema operativo.
·
Procesos abiertos: Permite examinar
todos los programas que el usuario está usando.
·
Puertos usados: Todas las comunicaciones
entre dispositivos son mandadas mediante un puerto, esto permite a los
dispositivos mantener varias conexiones simultáneamente. El puerto usado por
una conexión puede indicar que tipo de información se está recibiendo o
enviando. Aplicaciones que intentan utilizar puertos distintos a los empleados
por las herramientas usadas dentro de la empresa indican la posibilidad de fuga
de información.
·
Direcciones de I.P. de destino: EnCase
nos permite saber dónde está enviando información el usuario en el momento que
la cuenta esta utilizando el dispositivo.
·
Uso de dispositivos removibles: EnCase
Cybersecurity también informa si alguna memoria removible ha sido instalada en
el sistema, tales como llaves flash o discos duros externos. Actividad de estos
dispositivos puede ser un indicativo de hurto de información.
·
Carpetas compartidas: Permite saber si
alguna carpeta del dispositivo está compartida, de manera que se pueda
analizarla más detalladamente. Cualquier cosa contenida en estas carpetas puede
ser accedida en otros dispositivos de la red sin necesidad de que la cuenta de
usuario investigada inicie su sesión en el dispositivo.
Toda la información recopilada es mostrada
de manera estructurada y de fácil compresión, permitiendo al examinador deducir
rápidamente que elementos requieren de su atención. El examinador puede usar
las poderosas herramientas de búsqueda de EnCase para encontrar cuáles son los
archivos que contienen términos de interés para la investigación que está
siendo realizada y también puede buscar la existencia de algún archivo en
particular en el dispositivo, encontrando no solo coincidencias exactas sino
también coincidencias parciales con los archivos buscados.
Beneficio
Permite que la información requerida sea
recolectada en el momento en que el usuario investigado se conecte. Esto es
particularmente útil en casos de usuarios que no se conectan comúnmente en la
red de la organización. EnCase Cybersecurity sigue estándares internacionales
para la recolección y análisis de la información que permiten la admisión de la
información encontrada como evidencia en casos legales.
RELACIONADOS
Casos de Uso: EnCase Cybersecurity Complementando una Lista de Cuentas de Usuarios Desactivadas
Casos de Uso: EnCase Cybersecurity Complementando un Antivirus
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
Casos de Uso: EnCase Cybersecurity Complementando un Antivirus
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
No hay comentarios :
Publicar un comentario