Una gran parte de
nuestros Workshops de EnCase sobre Seguridad y Cumplimiento se centran en
demostrar cuán fácil la identificación de códigos desconocidos puede ser, como
malware avanzado puede estar usando la funcionalidad de auditoría del perfil de
sistema y análisis de EnCase. Usando esta funcionalidad, una organización puede
construir líneas bases (o perfiles) para las computadoras de su organización
identificando procesos aprobados, ejecutables u otros archivos definidos por el
usuario. Las organizaciones pueden luego, auditar y rápidamente identificar
cualquier cambio (autorizado o no) fuera de la línea base del perfil. Esta
funcionalidad de EnCase es bastante efectiva y un gran complemento para otras
herramientas que trabajan con firmas como ser antivirus, firewall e IPS/IDS.
Para cualquiera que
haya participado de nuestros Workshops en Latinoamérica, han podido ver que tan
fácil puede ser burlar las herramientas de seguridad de TI, mismas que son
mucho mejores identificando amenazas conocidas que “código desconocido”. Código
desconocido puede significar diferentes cosas para los diversos tipos de
organización. Para bancos, puede que sea un malware específicamente
desarrollado para atacar el código de ése banco, escrito por un miembro de
familia, de un empleado del banco para robar información de cuentas. Para
gobiernos, puede ser código introducido por otro gobierno o un empleado
interno. En cualquier organización, puede ser tomado como código malicioso,
como por ejemplo un nuevo y avanzado malware, aplicaciones para facilitar el
fraude de empleados o algo simple como un diseñador gráfico descargando e
instalando una nueva versión de software de diseño sin pasar por el proceso de
aprobación. Ninguno de estos casos sería identificado por sus defensas que trabajan
con firmas o proveen alerta. Pero, todas éstas son cosas que un administrador
de alertas debe saber.
Usando EnCase para identificar riesgos de TI Fuera de
Procesos y Ejecutables
Vamos a expandir
esta idea un poco para ver como la funcionalidad de auditoría del perfil de
sistema y análisis de EnCase puede ser aplicado para identificar otros riesgos
de seguridad de TI fuera de los procesos y ejecutables. Un riesgo común
presentado por el malware involucra cambios no autorizados a los archivos HOSTS
de un usuario. La definición de Wikipedia es la más simple, “ Los archivos
hosts son un archivo de la computadora usado por un sistema operativo para
mapear los hostnames a direcciones de IP. Los archivos hosts son archivos de
texto simple…”
Entonces, el malware
puede hacer cosas como modificar el archivo HOSTS para re direccionar una
consulta desde su navegador preferido o sitios web de visita frecuente hacia
una página web maliciosa. Dependiendo de las inversiones de una organización en
las herramientas de seguridad, rastrear los cambios en un texto como el de los
archivos HOSTS a través de miles de computadoras, puede ser una ardua tarea.
Esta escena puede
ser particularmente difícil en incidentes que incluyen, en otro caso, una
respuesta a incidentes bastante exitosa. Imaginémonos que el malware inyector
alcanza un dispositivo, despliega sus archivos maliciosos, luego cambia los
archivos HOSTS locales antes de saltar hacia el próximo dispositivo. Más tarde
el equipo de respuesta ante incidentes identifica un proceso malicioso o
desconocido y remedia la amenaza de malware. Sin embargo, la posibilidad de que
un HOSTS no autorizado permanezca ahí aún persiste si el equipo de respuesta a
incidentes no tiene métodos o herramientas para encontrar efectos secundarios o
terciarios de un ataque previamente desconocido.
¿Qué debe hacer una
organización para proteger estos archivos? Existe un poco de protección con
Windows 8 pero versiones más antiguas de Windows hacen que cambiar los archivos
HOSTS sea relativamente fácil.
Afortunadamente, la
funcionalidad de auditoría del perfil de sistema y análisis de EnCase tiene la
opción para apoyar archivos definidos por el usuario en adición a procesos y
ejecutables. Una organización puede identificar un archivo HOSTS aprobado o una
serie de configuraciones HOSTS en el perfil, realizar auditorías regulares de
terminales que incluyen a los archivos HOSTS de los dispositivos, luego,
fácilmente marcar cualquier cambio que haya sido hecho sin autorización a los
archivos HOSTS, hechos por el malware o bien usuarios en cualquier parte de la
organización. Con este simple cambio, una organización puede ver cualquier
cambio en los HOSTS en la misma auditoría que usan para identificar los
procesos nuevos o modificados y ejecutables.
Los archivos HOSTS
pueden ser auditados de manera rutinaria como un indicador de malware o
actividad maliciosa interna como también ser verificados de manera posterior a
un incidente que haya sido resuelto.
Estos métodos
proactivos y reactivos son sólo algunos ejemplos de un acercamiento que puede
ser aplicado para validar, verificar y auditar cualquier archivo no ejecutable
que una organización necesita proteger. Las posibilidades son limitadas sólo en
su imaginación.
¿Quiere ver más
casos de uso interesantes de EnCase Cybersecurity y EnCase eDiscovery? Venga a
ver uno de nuestros Workshops de Cumplimiento y Seguridad EnCase o pida un demo
al equipo de ventas de EnCase (sales-latam@encase.com).
Usted verá cómo EnCase puede complementar sus inversiones en otras herramientas
de seguridad, reforzar las debilidades de ésas herramientas y reducir de manera
notoria los riesgos de seguridad.
RELACIONADOS
Casos de Uso: EnCase Cybersecurity Complementando una Lista de Cuentas de Usuarios Desactivadas
Casos de Uso: EnCase Cybersecurity Complementando un Antivirus
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase
Casos de Uso: EnCase Cybersecurity Complementando un Antivirus
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase
No hay comentarios :
Publicar un comentario