Hoy
vamos hablar de cómo Auditar a través de EnCase
Enterprise si los equipos tienen habilitado y actualizado el antivirus dentro
de los computadores de Pequeñas Organizaciones. Pues para nadie es un secreto
que cada vez más, se está extendiendo el uso de Internet y de correo
electrónico, como la expansión de los
virus por esos medios. Los empleados si se conectan a Internet desde sus
estaciones de trabajo, permiten que otras personas usen el equipo o compartan
los archivos con otros empleados, siempre deben tomar medidas necesarias para
impedir que el equipo sufra daños. Pero también en muchas organizaciones donde
no existen los controles pertinentes hay empleados que poseen privilegios de
administrador que les permite deshabilitar la protección contra el Antivirus.
El
mantener habilitado el antivirus es muy importante, puesto que hay delincuentes
informáticos que están pendientes de este evento para atacar los equipos que
están desprotegidos. Como por ejemplo realizando robo de información
personal, intrusiones a su equipo a
través de Internet o enviando software malintencionado diseñado para dañar el
equipo (virus, gusanos y troyanos). Por
estas y muchas razones más a
continuación expondremos las maneras que se puede Auditar los equipos de
Pequeñas organizaciones, algunas de
forma manual a través de conexión remota con EnCase
Enterprise y otras más avanzadas y automatizadas con EnCase Cybersecurity. Para este artículo vamos a emplear EnCase
Enterprise.
Una
manera rápida y sencilla de previsualizar si los equipos de su Pequeña
Organización tienen habilitado el antivirus es revisar mediante el explorador de
Windows y comprobar en la carpeta de Archivos
de Programa si tiene instalado el Antivirus. En la siguiente imagen vemos
que el equipo tiene instalado el antivirus
AVG:
Otra manera
de comprobar si está en ejecución el antivirus es revisar el Registro de
Windows y buscar la clave de registro Run
o RunOnce, allí se almacena los
nombres de los programas que se están ejecutando en el computador Auditado y
comprobar manualmente que está habilitado el Antivirus :
Otra
manera sencilla de revisar si está instalado el antivirus es construir una condición por tipo de archivo y buscar todos lo ejecutables con extensión .exe y revisar que éste la
que corresponde al antivirus instalado en la Pequeña Organización. En este caso
corresponde al archivo avgrsx.exe de AVG,
además con las fechas creación y de última escritura, se puede establecer
cuando se instaló, cuando se actualizó el antivirus:
Igualmente
a través de EnCase Enterprise ejecutando el proceso de Sweep Enterprise podemos visualizar los procesos que están en
ejecución mediante la opción de Procesos
y también Actividades de Usuario. Es
otra manera de realizar auditorías y verificar si el antivirus está en
actividad o habilitado en la máquina del empleado auditado, en la siguiente imagen
inmediatamente se muestran archivos ejecutables del antivirus AVG así:
Otra opción con Sweep Enterprise, es auditar a
través de la captura datos volátiles
Snapshot, lanzando librerías de HashSet, y buscar el hash del antivirus
instalado para verificar que
efectivamente este habilitado el Antivirus, como se muestra a continuación en
el resultado de la búsqueda del conjunto de hash del antivirus instalado en la
organización:
Bueno,
para concluir, solo falta decir que a pesar que las Pequeñas Organizaciones
carezcan de personal de TI pueden realizar éste tipo de Auditorias mediante la
herramienta EnCase Enterprise.
Identificando a tiempo en cada uno de los equipos de la organización que los
empleados tengan habilitado el antivirus. También la importancia de realizar
estas Auditorias es establecer qué empleados son los que tienen privilegios de
administrador y realizan estos cambios.
Así mismo, los dueños de estas pequeñas
organizaciones, pueden tomas decisiones y crear políticas para la hora de
recibir y abrir archivos o programas desconocidos, pues es allí donde se
infecta el equipo muchas veces siendo transparente para el que abre archivos
desconocidos y culturizar al personal de la importancia de mantener habilitado
y actualizado el Antivirus pues estando habilitado se garantiza la seguridad de
los equipos y de la información de la organización. Porque algo muy cierto no
importa que tan avanzado sea el programa antivirus, firewall o anti espías que se tenga instalado si permanece deshabilitado y no
servirá de mucho si no está debidamente
configurados y actualizados.
RELACIONADOS
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase
No hay comentarios :
Publicar un comentario