Guidance Software 101: Conceptos Fundamentales (#1)

Este es el primer post de una serie titulada “Guidance Software 101” que estará diseñada para entregar una vista general sobre cómo las soluciones de software empresarial de Guidance Software pueden ayudar a su organización a resolver una amplia gama de casos de uso investigativos y de auditoría de TI. Esta serie de artículos está diseñada para ofrecer una orientación sobre capacidades y casos de uso así como situarse como una referencia para profesionales de seguridad de TI, profesionales de cumplimiento de TI, investigadores internos, consejeros legales, investigadores de malware, profesionales de RR.HH. e incluso revendedores de Guidance Software.

La serie será organizada de la siguiente manera:

Área	Artículos
Conceptos Fundamentales	#1 Comprendiendo Nuestras Ventajas
Las Bases	#2: Búsqueda de Archivos #3: Recolección y Preservación de Archivos #4: Aplicación de una Visibilidad Forense de 360 grados en los Endpoints #5: Respuesta a Alertas e Incidentes #6: Comprendiendo el Sistema de Componentes de Guidance Software
Capacidades de Software Específicas y Casos de Uso	#6-#101 Tópicos específicos

Sin más, empecemos comprendiendo los conceptos fundamentales que están por detrás de las soluciones de Guidance Software.

Primero, necesitamos entender que existen al menos cuatro grupos involucrados en cualquier auditoría o investigación interna.

1) Administradores de TI: estos equipos manejan la infraestructura y los registros (logging) de los sistemas usados o subcontratados por la organización.

2) Investigadores o Auditores: estos son los equipos que detectan, encuentran y/o analizan la evidencia de problemas de cumplimiento de TI, uso indebido de computadoras, ataques de malware o violaciones de políticas de RR.HH. que involucren recursos de TI. Estos pueden ser equipos con roles proactivos que involucren monitoreo o roles reactivos como respuesta a alertas de seguridad o acusaciones.

3) Personal Legal: estos equipos incluyen el Departamento Jurídico, RR.HH. y el personal encargado del cumplimiento. Tienen la responsabilidad de imponer los estándares de políticas y tomar decisiones relacionadas a la evidencia que rodea a un caso. 

4) Usuarios: El conjunto de personas autorizadas o de cuentas de servicios que cuentan individualmente con un conjunto de privilegios propios.

Por último, la evidencia digital (o partir de ahora, simplemente “evidencia”) es todo artefacto detectable creado por actividades fuera de norma y generado por un usuario en los sistemas de la organización. Estos podrían ser archivos o procesos creados por archivos de malware, documentos confidenciales guardados en sistemas no autorizados, conexiones de red no autorizadas hacia alguna máquina, claves de registro desconocidas, código malicioso residiendo dentro de un archivo, texto en comunicaciones, acceso a máquinas por usuarios no autorizados, privilegios de usuario no autorizados o un sinnúmero de otros tipos de artefactos.

En resumen, los investigadores/auditores son los que intentan identificar artefactos no autorizados en los sistemas de TI organizacionales, analizan esos artefactos y toman acciones para preservarlos y eliminarlos, además de, cuando sea posible, tomar acciones necesarias contra cualquier usuario responsable por esos artefactos. La evidencia y su intacta manutención son una parte central de la habilidad que las organizaciones tienen para poder responder de forma significativa ante incidentes. Las herramientas que los investigadores quieren necesitan una interfaz sencilla que ofrezca visualizaciones forenses que rápidamente expongan anomalías escondidas dentro de centenas o miles de endpoints y que además muestren todas las actividades de esos sistemas sin la necesidad de un investigador forense.

Las herramientas disponibles para encontrar evidencia dentro de una organización se presentan en dos lugares:

	Perímetro	Endpoint
Búsqueda rápida	Producir alertas	Analizar logs (registros)
Búsqueda profunda	Producir reportes	Analizar todos los archivos sin preocuparse por la contaminación de la evidencia
Nuestro enfoque en Guidance	Validar alertas de otras herramientas de seguridad mediante visibilidad forense dentro de los endpoints	Analizar con rigor forense todos los archivos y datos de una máquina sin modificar la evidencia potencial

¿Por qué Guidance Software no se enfoca en alertas rápidas sino más en un análisis profundo? Obviamente, porque usted no confiaría en un doctor que le diagnostique algo grave en pocos segundos, por tanto, comúnmente se requiere un análisis profundo a los problemas.

El enfoque más común al tratar de encontrar, analizar y reportar evidencia de forma profunda se basa en el uso de herramientas de TI que originalmente fueron creadas como herramientas para administración de los sistemas. Aquí puede surgir un problema, porque el método de inspección profunda de estas herramientas puede ocasionar cambios en la evidencia original o en los metadatos que rodean a un archivo. Por ejemplo, si una herramienta de administración de sistemas de TI altera la fecha u hora en la que un archivo fue modificado o abierto por última vez, ¿cómo puede el equipo legal probar que un incidente fue ocasionado por un usuario en un momento en particular? Preservar evidencia contaminada se convierte en un proceso comprometido desde su origen. Adicionalmente, la organización necesitará formar una opinión sobre si estos enfoques cumplen con cualquier regulación nacional o con cualquier normativa de protección y/o privacidad de datos que sea aplicable. Además, una remediación real donde el archivo (y el proceso) es removido de forma forense de un sistema después de su preservación no es algo que esté disponible a toda organización. 

El enfoque de Guidance Software inicia desde la perspectiva de los investigadores y equipos legales. Tenemos años de experiencia en encontrar y preservar evidencia para presentarla ante tribunales mediante recursos de nuestros varios productos. Gracias a nuestras experiencias con productos diseñados para investigadores y abogados, Guidance Software entiende y hace provecho de una recolección y preservación de evidencia a un nivel poco alcanzado en la industria. Adicionalmente, con las soluciones de Guidance los archivos, claves de registro y procesos pueden ser remediados de una forma verdaderamente remota. El resultado es que la investigación de un incidente y la identificación de artefactos relacionados a ese incidente se convierten en elementos accionables para su departamento legal, equipo de cumplimiento o para RR.HH., sin importar si el estándar de evidencia es para un caso criminal o para determinar si una política interna fue incumplida. Nuestro nivel de visibilidad dentro de los sistemas, recursos de red y en la nube no tienen par.

En Guidance Software, nosotros nos enfocamos en lo que hacemos mejor que nadie, ofreciendo una poderosa detección y respuesta en endpoints para organizaciones. Los productos de Guidance Software pueden ser usados por organizaciones como una solución autónoma o pueden ser integrados con otras herramientas de seguridad de TI para ayudar a que las organizaciones consigan un mayor aprovechamiento de sus herramientas actuales al validar automáticamente los miles de alertas que estas herramientas generan y que comúnmente son falsos positivos. Cubriremos este tema a mayor detalle en futuros artículos. Guidance Software también se ha comprometido a ser compatible con una selección de herramientas Open Source cuando esas herramientas pueden proveer las soluciones correctas para los auditores o investigadores.

En nuestro siguiente artículo empezaremos a cubrir las bases de las soluciones de Guidance Software. Ahora que usted entiende los fundamentos de Guidance Software, espero que siga leyendo para ver cómo podemos ayudarlo con auditorías proactivas e investigaciones reactivas.

Tony Grey
Guidance Software
Latinoamérica

Para obtener mayor información sobre los productos de Guidance Software, contacte nuestros revendedores locales o escríbanos a sales-latam@guidancesoftware.com.


TEMAS RELACIONADOS
 
EnCase Endpoint Security 5.10: Guidance Software acelera y sintetiza la respuesta a incidentes
 
Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español

SC Magazine califica con 5 estrellas a EnCase® Endpoint Security

Dé un "Me Gusta" a Nuestra Página en Facebook