Las Auditorías con EnCase pueden ser tan oportunas como lo necesite su equipo de seguridad. Las auditorías pueden ser programadas de forma independiente de acuerdo a la superficie de riesgo percibida por la organización, se pueden crear colas para conseguir resultados inmediatos o se pueden integrar como parte de un plan de respuesta a incidentes con alertas de otras herramientas de seguridad de TI.
La organización de este ejemplo tiene muchos sistemas Windows para los empleados y una mezcla de servidores Windows y Linux. Además, esta organización no conseguirá hacer la transición de algunos de sus servidores con Windows 2003 antes de la finalización del ciclo de vida del sistema operativo, agendada por Microsoft para el 15 de julio de 2015.
Dicho esto, la organización quiere usar EnCase Cybersecurity para cumplir exitosamente lo siguiente:
• Identificar proactivamente a cualquier archivo malicioso que no haya sido encontrado por otras herramientas de seguridad de TI
• Encontrar código o aplicaciones previamente desconocidos en servidores, estaciones de trabajo o computadoras portátiles
• Identificar aplicaciones que puedan facilitar el fraude o el mal uso de las computadoras
• Auditar sistemas a través de toda la organización para verificar el uso de versiones aprobadas y los niveles de parche del software aprobado
• Responder rápidamente a las alertas de otras herramientas de seguridad identificando otras amenazas que podrían haber ingresado exitosamente en un sistema cuando esté bajo ataque
• Verificar la eficacia decurrente de la política actual de seguridad de TI según los cambios de red y de usuarios que ocurren con el tiempo
• Proporcionar un monitoreo continuo de los sistemas operativos que están fuera de soporte y que ya no son parcheados hasta que puedan ser reemplazados
Debido a que la protección de los sistemas desactualizados con Windows 2003 tiene una alta importancia, y a que estas máquinas aún son importantes para desarrollar su actividad comercial, la organización construye una máquina virtual limpia con Windows 2003 instalado para usarla durante la creación de un perfil inicial de Windows 2003 (en otras palabras, crear una configuración aprobada). Ellos también podrían haber utilizado una máquina en uso, un “Gold Build” en una imagen ISO, o cualquier otra fuente de archivos de Windows 2003. Como el utilizar una máquina en uso conlleva el riesgo de incluir archivos potencialmente desconocidos en el perfil que se está creando, la organización decidió construir el perfil a partir de una máquina virtual limpia y nueva con Windows 2003.
 |
| Ejemplo de un perfil inicial de EnCase Cybersecurity construido a partir de una máquina virtual |
Esta organización tiene múltiples perfiles para distintos sistemas operativos, y EnCase incluso permite la creación de un número infinito de perfiles distintos para un mismo sistema operativo. Una vez se ha construido el perfil de Windows 2003, el auditor de EnCase puede luego asociar el perfil correcto al sistema que le corresponde utilizando el nombre de la máquina, la dirección de IP o un rango de IP. Esto permite ejecutar auditorías a través de muchos sistemas operativos distintos con la certeza de que siempre se aplicará el perfil correcto. Una vez creado un perfil, este es guardado de forma global.
 |
| Asociando un perfil a las máquinas de acuerdo a su nombre, dirección de IP o rango de IP |
El administrador de EnCase ahora puede ejecutar el perfil limpio de Windows 2003 en un sistema Windows 2003 “sucio” que esté en uso. Yo creé esta demostración desde un hotel en el Brasil y la ejecuté mediante internet en un sistema en uso localizado en un Data Center en los Estados Unidos. El trabajo tomó menos de 10 segundos en ser completado. Como se muestra a continuación, existen 205 DLL y procesos que no pertenecen al perfil limpio en la auditoría inicial.
 |
| Comparación inicial de un perfil limpio contra una máquina en uso |
La lista representa los elementos que están fuera de la configuración aprobada. Nótese que los elementos “sospechosos” o desconocidos tiene un valor de hash. Estos valores de hash pueden ser investigados usando una variedad de métodos, como Cisco ThreatGrid o sitios web como VirusTotal. Cualquier elemento reconocido como malicioso hubiera sido eliminado a nivel forense usando la poderosa capacidad de remediación de EnCase Cybersecurity. Los elementos “buenos y conocidos” encontrados fueron adicionados posteriormente al perfil como se muestra a continuación:
 |
| Adicionando archivos a un perfil |
Puede pensarse en el perfil de EnCase Cybersecurity como una representación viva del estado actual. Una vez adicionados al perfil, estos elementos no serán identificados como “sospechosos” en el futuro. Después de haber trabajado con estos elementos iniciales, cree un perfil de línea de base que solamente mostraba mis elementos con un valor de hash nulo (procesos cuyo archivo generador ya no existe, p. ej. cuando removemos una memoria USB). Mi perfil de Windows 2003 ahora está listo para monitorear continuamente y rápidamente me mostrará cualquier cambio al sistema.
 |
| Un perfil de línea de base listo para el monitoreo |
Entonces, ahora la organización tiene un perfil de línea de base de Windows 2003 que puede usar para auditorías de TI en conjunto a otros perfiles. Un trabajo de EnCase normal en el ambiente laboral puede aplicarse a miles, centenas o decenas de sistemas dentro de la organización. Para esta demostración, ejecutaremos nuestro trabajo de EnCase sólo en dos sistemas diferentes con sistemas operativos distintos, por lo tanto, dos sistemas con perfiles distintos en EnCase Cybersecurity. Finance-win105 usa Windows 7 SP1 y Admin-8538509C6 usa Windows 2003 SP2.
 |
| Un solo trabajo ejecutándose en las máquinas con perfiles distintos |
Una auditoría exitosa sin cambios a ninguno de los dos sistemas mostraría solamente los 8 procesos de las dos máquinas con valores de hash nulos (nuevamente, porque ya no existen los archivos que los generaron)
 |
| Una auditoría exitosa de 2 máquinas mostrando solamente los elementos con valores de hash nulos |
Si instalo una sola aplicación no aprobada a la máquina con Windows 2003 o incluso si tengo un solo proceso no aprobado, los resultados son tan obvios que ni siquiera requieren de la revisión de un ingeniero para notar la diferencia en comparación con la auditoría limpia. Instalemos una aplicación no maliciosa, pero no aprobada (por esta organización), para ver el resultado
 |
| Adicionando una aplicación no autorizada |
Ahora, en la siguiente auditoría o al levantarse una alerta (si está integrado a otras herramientas de seguridad), el auditor verá estos resultados:
 |
| Identificando procesos no autorizados después de la auditoría |
Claramente, existen nuevos procesos fácilmente identificables y atribuibles a la máquina con Windows 2003. Inmediatamente sabemos que la auditoría proactiva identificó un problema. El siguiente paso sería conducir una investigación con EnCase para responder a las preguntas de “¿quién?”, “¿qué?”, “¿cuándo?”, “¿dónde?” y “¿cómo?”.
Como pueden ver, EnCase introduce una poderosa capacidad para que incluso equipos pequeños de cumplimiento, auditoría de TI o respuesta a incidentes puedan identificar de forma rápida y proactiva a las amenazas desconocidas. Con EnCase, estos equipos pueden ser exitosos en este tipo de auditoría independientemente del nivel de capacitación o la pericia que tengan. EnCase les ayuda a destacar rápidamente problemas potenciales incluso en sistemas remotos o cuando existe un proceso o archivo desconocido escondido entre miles de sistemas.
EnCase Cybersecurity es aún más poderoso cuando se lo empareja con EnCase Analytics. Con ambos productos juntos, usted tendrá una caja de herramientas completa para auditar y visualizar anomalías en sus dispositivos.
Si su equipo tiene más preguntas sobre cualquiera de los productos EnCase, por favor escríbanos a sales-latam@encase.com, tanto en español como en portugués. Por favor, considere asistir al Track en Español del CEIC de 2015 en Las Vegas, EE. UU., donde tendré mucho más tiempo para hablar sobre este tema a gran detalle.
TEMAS RELACIONADOS
Introducción a la búsqueda proactiva de amenazas de TI desconocidas – Parte 1
6 Razones por las que Debe Participar del Evento en Español del CEIC en Las Vegas, Entre el 18 y el 21 de mayo
Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español
Guidance Software reconocida por Gartner como líder del mercado de herramientas de detección y respuesta en dispositivos
Dé un "Me Gusta" a Nuestra Página en Facebook
No hay comentarios :
Publicar un comentario