Una organización cuenta con un Filtro de
Contenido de Internet entre sus herramientas de seguridad. Esta herramienta fue
diseñada y optimizada para controlar a qué contenido de Internet un usuario
tiene el acceso permitido y a qué contenido en particular tiene el acceso denegado.
Este contenido incluye mayormente páginas web; pero también puede incluir
servidores de correos electrónicos, protocolos específicos de mensajería
instantánea, protocolos de intercambio de archivos (P2P), etc.
Específicamente un Filtro de Contenido Web,
tal como los reconocidos SmartWeb, WebSense y OPSEC entre otros, mantiene una
lista extensa de sitios cuyo contenido no es apto para ser accedido por los
usuarios de la organización.
Cuando un usuario intenta acceder a un sitio
de internet inapropiado, el Filtro de Contenido Web levanta una alerta mediante
una regla correlacionada, enviando la información a los componentes dedicados a
la administración y seguridad de la información y eventos de la red (SIEM,
según su sigla en inglés).
Respuesta
Los componentes SIEM llaman a EnCase
Cybersecurity para que haga una colección de todos los artefactos de Internet
en la dirección I.P. del dispositivo afectado dentro de la organización. Entre
estos artefactos de internet podemos mencionar:
·
NTUSER.DAT: Este es un archivo que contiene
las configuraciones de registro individuales de cada usuario en un dispositivo.
Particularmente útil para encontrar que usuario realizó una operación en un
dispositivo que cuente con múltiples usuarios.
·
Caché Web: Un mecanismo para guardar de forma
temporaria los documentos web, tales como paginas HTML o imágenes, para reducir
el uso del ancho de banda en sitios de internet previamente visitados. Su
captura nos permite revisar exactamente qué contenido fue descargado en el
dispositivo.
·
Cookies: Son archivos pequeños individuales a
cada sitio de internet que permiten a un sitio guardar configuraciones de
personalización en un dispositivo. Nos puede dar pistas de sitios similares a
los de acceso restringido de los cuales no tengamos conocimiento.
·
Historial: Nos permite saber el nombre de
todos los sitios que han sido visitados en un navegador y además nos permiten
saber que archivos el usuario descargó con el navegador. Además incluyen las
fechas y horas en las que un sitio fue visitado. Particularmente útil para
crear una línea de tiempo de todas las veces que un sitio fue accedido.
No sólo son capturados los artefactos de
internet guardados en las unidades de almacenamiento, sino que también es capturada la información
que está en uso en la memoria volátil del dispositivo. Como EnCase
Cybersecurity funciona mediante un agente que es cargado antes de la
finalización del inicio del sistema operativo, tiene un acceso total a archivos
cuyo acceso es bloqueado por el sistema operativo.
Beneficio
Confirmar rápidamente si un sitio web fue accedido
en un dispositivo, saber si algún material fue descargado y encontrar si fueron
visitados otros sitios similares que no hayan sido localizados por el filtro de
contenido web.
RELACIONADOS
Casos de Uso: EnCase Cybersecurity Complementando una Lista de Cuentas de Usuarios Desactivadas
Casos de Uso: EnCase Cybersecurity Complementando un Antivirus
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
Casos de Uso: EnCase Cybersecurity Complementando un Antivirus
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
No hay comentarios :
Publicar un comentario