VISIÓN GENERAL DE LA BÚSQUEDA DE ARCHIVOS
Muchos de los conceptos de la búsqueda de archivos podrían parecer auto explicativos, pero dicho esto, en este artículo del blog describiremos las bases de la búsqueda de archivos, por lo tanto, hablaremos incluso sobre las bases más obvias para preparar a los lectores a los temas de búsqueda más avanzados que cubriremos más adelante en otros artículos.
Conceptualmente, la esencia de cualquier búsqueda de archivos requiere la habilidad de crear criterios de búsqueda, la agrupación de esos criterios caso sea necesario y su aplicación a los archivos para determinar si un archivo “responde” (o coincide) con los criterios deseados. A un nivel general, existen dos tipos de criterios de búsqueda:
• Criterios de búsqueda inclusivos en los cuales el investigador o el auditor están buscando algo en específico. Los resultados de un criterio de búsqueda inclusivo son archivos que coinciden o contienen el criterio buscado.
• Criterios de búsqueda exclusivos en los cuales el auditor quiere definir lo que es normal y aceptable en busca de cualquier cosa que no coincida con el criterio be búsqueda.
Ejemplos generales de criterios de búsqueda también pueden incluir, entre otros, cualquier elemento de la siguiente lista:
• Metadatos de un archivo (nombre de archivo, fechas, extensión, localización, tipo de archivos, tamaño de archivo, etc.)
• Contenido que podría estar guardado dentro de un archivo (palabras clave, patrones de números, etc.)
• Valores de hash
• Similitud entre archivos
• Búsqueda de proximidad
• Valores de claves del registro
• Permisos de archivos
• Estado de cifrado
• Archivos en estado borrado o sobrescrito
• Metadatos de sistema del endpoint donde reside un archivo (dominio, IP, sistema operativo, service packs, etc.)
Luego, los criterios de búsqueda necesitan ser enviados a un grupo de endpoints, recursos de red o en la nube para determinar qué archivos coinciden con el criterio dado. Pueden existir ciertas consideraciones especiales en la mecánica de la búsqueda que podrían necesitar ser tomadas en cuenta, como las siguientes:
• Consideraciones de escalado conforme crezca el número de endpoints que potencialmente necesiten ser explorados durante búsquedas
• Factores regulatorios como leyes de protección y privacidad de datos nacionales o normativas pertinentes a una industria particular.
• Limitaciones de ancho de banda o factores de costo que envuelvan a endpoints accesibles solamente mediante conexiones de baja velocidad o enlaces satelitales
• Tipos de encriptación a nivel de disco o de archivo usados en los endpoints
• Consideraciones relacionadas al estado de una máquina como procesos específicos en ejecución, puertos específicos, etc.
Nuestro siguiente artículo de esta serie discutirá cómo los archivos son recolectados una vez identificados, por ahora enfoquémonos solamente en la búsqueda.
GUIDANCE SOFTWARE Y EL ARTE DE LA BÚSQUEDA DE ARCHIVOS DIGITALES
Guidance Software se encuentra en una posición excepcional para proveer soluciones que ayudan a las organizaciones a buscar archivos. Gracias a un extenso historial en investigaciones forenses digitales, los productos de Guidance pueden darle una completa visibilidad hacia prácticamente cualquier localización donde un archivo pueda estar almacenado y permiten que auditores e investigadores apliquen criterios que determinen exitosamente si un archivo responde (o coincide) a esos criterios.
Ahora mostraremos algunas de las ventajas que los productos de Guidance Software tienen para proveer una capacidad de búsqueda de primera clase como una parte fundamental de todos sus productos. Mientras que en artículos futuros cubriremos funcionalidades específicas, a continuación mostramos una visión panorámica de cómo funcionan estos productos:
• Proceso de búsqueda consistente y eficiente: Guidance Software conoce las ventajas que ofrece darle la habilidad de buscar exhaustivamente a través de todos los sistemas operativos en discos, discos cifrados, carpetas compartidas, endpoints protegidos, repositorios de red y la nube usando un proceso de búsqueda consistente. Los productos de Guidance Software no sólo pueden aplicar criterios de búsqueda para todo tipo de archivos a través de centenas o miles de máquinas, sino que también pueden reducir automáticamente la dimensión de las búsquedas en máquinas que no coinciden con criterios de búsqueda inclusivos o exclusivos referentes a rangos de IP, nombres de máquina, dominios, sistemas operativos, service packs instalados, etc.
• Disponibilidad de criterios de búsqueda amplios y profundos: Una vez que el proceso de búsqueda identifica a un endpoint que necesita ser auditado o examinado, los productos de Guidance Software tienen criterios de búsqueda fáciles que pueden encontrar y exponer datos y archivos escondidos, borrados o sobrescritos con alta pericia, así como datos y archivos activos almacenados en su red sin importar el sistema operativo de la máquina donde esos datos y archivos residen. Todos los productos de Guidance Software utilizan el mismo agente, un pequeño agente que aplica efectivamente una visibilidad a nivel forense de forma concurrente en centenas o miles de endpoints. Los criterios de búsqueda pueden ser tan amplios o granulares como sea necesario para una investigación o auditoría particular. Mientras que todos los productos de Guidance Software le dan la habilidad de buscar archivos activos, algunos productos también le permiten buscar en las partes más profundas del sistema operativo, registro, memoria, así como los procesos de una máquina. Tenemos clientes grandes y muy reconocidos con millones de endpoints que usan los productos de Guidance Software diariamente.
• Habilidad de búsqueda en discos cifrados: Los productos de Guidance Software pueden ejecutar búsquedas en discos cifrados con la mayoría de los productos comerciales de cifrado, incluyendo al menos un producto que abre discos de forma dinámica.
• Configuraciones para situaciones de búsqueda especiales: Los productos de Guidance Software se enfocan únicamente en los datos en reposo de los endpoints. Esto significa que Guidance Software puede aplicar criterios de búsqueda de forma más selectiva que los competidores que interceptan o capturan datos y documentos en movimiento a través de la red. La ventaja que esto trae es que los productos de Guidance Software pueden excluir áreas de una unidad de disco que las leyes de privacidad de datos consideren “información privada”. Adicionalmente, muchos productos de Guidance Software pueden ser configurados para operar en redes con ancho de banda extremadamente escaso, caso sea necesario. Además, el producto EnCase Endpoint Security de Guidance Software puede ser configurado para incluir o excluir máquinas durante una búsqueda basándose en el perfil de una máquina en particular, basándose en los procesos ejecutados, puertos abiertos, archivos abiertos, conexiones de red activas, etc. Esto permite a los investigadores de malware o auditores de TI rápidamente identificar y aplicar criterios de búsqueda a las máquinas consideradas bajo mayor riesgo.
• Integración con capacidades de inteligencia de amenaza de primera categoría: Parte de la búsqueda de malware incluye tener la habilidad de identificar amenazas como parte de su investigación o auditoría. EnCase Endpoint Security puede integrarse con algunas de las más poderosas plataformas de inteligencia de amenazas a nivel mundial y aplicar patrones estandarizados para la búsqueda de indicadores de compromiso (IoC) como reglas YARA y STIX. Discutiremos estas capacidades a gran detalle en artículos futuros más avanzados.
Este artículo ha tratado de entregarle una perspectiva general de la búsqueda de archivos y las ventajas que los productos de Guidance Software traen a la búsqueda de archivos. En el siguiente artículo de la serie, postearemos las bases de la recolección de archivos encontrados usando los criterios de búsqueda.
Abroche su cinturón, este viaje solo ha empezado…
Tony Grey
Guidance Software
Latinoamérica
Para obtener mayor información sobre los productos de Guidance Software, contacte nuestros revendedores locales o escríbanos a sales-latam@guidancesoftware.com.
TEMAS RELACIONADOS
Guidance Software 101: Conceptos Fundamentales
Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español
SC Magazine califica con 5 estrellas a EnCase® Endpoint Security
Dé un "Me Gusta" a Nuestra Página en Facebook
No hay comentarios :
Publicar un comentario