tag:blogger.com,1999:blog-53824005354381855442024-03-13T09:06:04.359-07:00Recorriendo los Caminos de EnCaseAnonymoushttp://www.blogger.com/profile/05219056359611084358noreply@blogger.comBlogger139125tag:blogger.com,1999:blog-5382400535438185544.post-60877383449416806122016-05-20T06:50:00.000-07:002016-05-20T07:53:27.416-07:00Guidance Software 101: Las Bases – Los Componentes que Permiten Estrategias de Endpoint Exitosas (#6)<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://3.bp.blogspot.com/-R66S4mWS53Q/Vztb7F1aVTI/AAAAAAAAAZU/DlXrUGU3wOEhGdXtClnxIe2N65boyibigCKgB/s1600/post%2Blogo%2Bfinal.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="122" src="https://3.bp.blogspot.com/-R66S4mWS53Q/Vztb7F1aVTI/AAAAAAAAAZU/DlXrUGU3wOEhGdXtClnxIe2N65boyibigCKgB/s200/post%2Blogo%2Bfinal.png" width="200" /></a></div>
Esta es la sexta publicación de nuestra serie del blog de 101 artículos que entregará una visión general de los componentes que permiten auditorías e investigaciones en los productos de Guidance Software. Estamos llegando al final de la parte de las bases de nuestra serie, diseñada para orientarlo con conceptos básicos antes de que enfrentemos casos de uso más complejos. Nuestro <b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-las-bases_19.html" target="_blank">último artículo</a></b> respondió a la pregunta de cómo hacer la transición entre la detección en el endpoint a la respuesta en el endpoint. En este artículo, cambiaremos de marcha para discutir los componentes comunes a la mayoría de los productos de Guidance Software. <br />
<br />
<b>¿CUÁLES SON LOS COMPONENTES PRINCIPALES DE LOS PRODUCTOS DE GUIDANCE SOFTWARE?</b><br />
<br />
<span id="goog_340998638"></span><span id="goog_340998639"></span><span id="goog_340998645"></span><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://4.bp.blogspot.com/-dSUfTUf_qxA/Vz8UrdP9kPI/AAAAAAAAAbk/hsWs0WfnvVwdX90iSEvDw9TntT2ZPRM4ACKgB/s1600/Guidance%2BSoftware%2B101_%2BLas%2BBases%2B%25E2%2580%2593%2BLos%2BComponentes%2Bque%2BPermiten%2BEstrategias%2Bde%2BEndpoint%2BExitosas%2B%2528%25236%2529.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="336" src="https://4.bp.blogspot.com/-dSUfTUf_qxA/Vz8UrdP9kPI/AAAAAAAAAbk/hsWs0WfnvVwdX90iSEvDw9TntT2ZPRM4ACKgB/s640/Guidance%2BSoftware%2B101_%2BLas%2BBases%2B%25E2%2580%2593%2BLos%2BComponentes%2Bque%2BPermiten%2BEstrategias%2Bde%2BEndpoint%2BExitosas%2B%2528%25236%2529.PNG" width="640" /></a></div>
<br />
Los productos de Guidance Software son el resultado de componentes altamente escalables. Estos componentes incluyen: <br />
<a name='more'></a><br />
<b>Agente:</b> todos los productos de Guidance Software usan un único agente en común que se ejecuta como un proceso en el endpoint. El agente provee una visibilidad completa a nivel forense del sistema operativo, espacio no asignado y datos volátiles. Existen agentes disponibles para una amplia gama de sistemas operativos, incluyendo Linux, MacOSX, MacPPC, HPUX, Solaris, AIX, etc. El agente es muy pequeño, ocupando 1,4 MB para su instalación y entre 2,4 y 5 MB en memoria.<br />
<br />
Como los agentes disponen de parámetros de línea de comando, normalmente pueden ser desplegados por cualquier software que la empresa use para desplegar parches de seguridad. Los parámetros de línea de comando también ofrecen la capacidad de <a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2014/09/cambiando-las-propiedades-de-archivo-de.html" target="_blank"><b>personalizar el nombre del agente, el puerto de procesamiento y los metadatos del proceso creado</b></a>. El agente de Guidance Software es tan pequeño que puede ser instalado en la configuración mínima de sistemas de tipo Embedded en Windows y Linux, haciéndolo ideal para su instalación en cajeros automáticos (ATM). <br />
<br />
El agente de Guidance Software es muy escalable. El agente está siendo usado frecuentemente por clientes con centenas de miles o incluso millones de endpoints. <br />
<br />
<b>Examiners:</b> estas son las interfaces en las cuales los auditores o investigadores definen sus criterios de búsqueda, analizan sus resultados y definen trabajos automatizados. <br />
<br />
<b>Examiner Services:</b> son los procesos de máquina que reciben los criterios de auditoría o de investigación a partir de una cola, priorizan solicitudes y envían/reciben solicitudes cifradas desde/hacia los agentes en los endpoints deseados. Los examiner services pueden localizarse remotamente en la interfaz de un examiner, haciendo la ejecución de trabajos altamente escalable a través de múltiples regiones geográficas. La actividad del examiner service puede visualizarse en una página web interna centralizada. <br />
<br />
<b>Licencia:</b> normalmente las licencias de Guidance Software son electrónicas, pero ocasionalmente pueden ser dongles físicos. La licencia es emitida por Guidance Software y dicta el número de endpoints que pueden ser auditados/investigados y los componentes permitidos dentro de una organización. Se dispone de opciones de licenciamiento sin límite, lo que representa componentes ilimitados ahora y en el futuro. Las opciones de licenciamiento también incluyen las conexiones simultáneas. Estas conexiones representan el número de endpoints que pueden ser auditados/investigados al mismo tiempo. Si el número de endpoints solicitados excede el número autorizado de conexiones simultáneas, el residuo será examinado al finalizar la examinación del primer grupo de endpoints. <br />
<br />
<b>SAFE:</b> el SAFE de Guidance Software es el mecanismo de autenticación para todos los otros componentes. El SAFE autentica la licencia de la organización y autentica la criptografía de las comunicaciones entre el agente, el examiner y el examiner service. Además, autentica los privilegios particulares a cada usuario de Guidance Software. <br />
<br />
Los componentes de Guidance Software son sencillos, comprobados y escalables, exactamente como lo quieren las organizaciones. <br />
<br />
Acompáñenos en nuestros siguientes artículos, donde dejaremos de lado los temas básicos para profundizarnos en temas específicos más complejos. <br />
<br />
Tony Grey<br />
Guidance Software<br />
Latinoamérica<br />
<br />
Para obtener mayor información sobre los productos de Guidance Software, contacte nuestros revendedores locales o escríbanos a <a href="mailto:sales-latam@guidancesoftware.com"><b>sales-latam@guidancesoftware.com</b></a>.<br />
<br />
<br />
<b>TEMAS RELACIONADOS<br /><br /><span id="goog_340998664"></span><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-conceptos.html">Guidance Software 101: Conceptos Fundamentales (#1)</a><br /><span id="goog_340998665"></span><br /><a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank">Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</a><br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-las-bases_19.html">Guidance Software 101: Las Bases – Haciendo la Transición entre la Detección en el Endpoint y la Respuesta a Incidentes (#5)</a><br /><br /><a href="http://www.facebook.com/encaseenespanol" target="_blank">Dé un "Me Gusta" a Nuestra Página en Facebook</a></b><br />
<br />Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-26184359012921113652016-05-19T11:59:00.000-07:002016-05-19T17:39:53.820-07:00Guidance Software 101: Las Bases – Haciendo la Transición entre la Detección en el Endpoint y la Respuesta a Incidentes (#5)<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://3.bp.blogspot.com/-R66S4mWS53Q/Vztb7F1aVTI/AAAAAAAAAZU/DlXrUGU3wOEhGdXtClnxIe2N65boyibigCKgB/s1600/post%2Blogo%2Bfinal.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="122" src="https://3.bp.blogspot.com/-R66S4mWS53Q/Vztb7F1aVTI/AAAAAAAAAZU/DlXrUGU3wOEhGdXtClnxIe2N65boyibigCKgB/s200/post%2Blogo%2Bfinal.png" width="200" /></a></div>
Esta es la quinta publicación de nuestra serie de 101 artículos. En el <a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-las-bases.html" target="_blank"><b>último artículo</b></a> posteado, nos expandimos más allá de la <b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-las-bases-el-arte.html" target="_blank">búsqueda</a></b> y <a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-las-bases-la.html" target="_blank"><b>recolección de archivos</b></a> para discutir las bases de la visibilidad a nivel forense en cientos o miles de endpoints. Este artículo tomará estos tres temas anteriores para combinarlos bajo el término “Detección en el Endpoint” y profundizará en las respuestas accionables para los incidentes detectados en esos endpoints. Al final de este artículo, usted comprenderá no solo los conceptos y las metodologías de la detección y respuesta en endpoints, sino que también entenderá las ventajas accionables ofrecidas por los productos de Guidance Software. <br />
<br />
<b>¿QUÉ ES DETECCIÓN Y RESPUESTA EN ENDPOINTS?</b><br />
<br />
En 2015, Gartner definió una nueva categoría competitiva y la nombró “Detección y Respuesta en Endpoints”. Definieron a esta categoría de soluciones de la siguiente forma: <br />
<br />
<i>“El mercado de Detección y Respuesta en Endpoints es un mercado emergente entre las tecnologías de seguridad, creado para satisfacer la necesidad de una detección y respuesta continua ante las amenazas avanzadas, principalmente con el objetivo de aumentar significativamente las capacidades de monitoreo de seguridad, detección de amenazas y respuesta a incidentes.”</i><br />
<a name='more'></a><br />
Cabe mencionar que Guidance Software ha figurado como el más fuerte competidor de esta categoría en el reporte inicial de Gartner.<br />
<br />
Volviendo al tema, para poder responder a un incidente, una organización necesita saber si un incidente está en progreso actualmente o si ocurrió anteriormente. Existen dos formas de hacer esto:<br />
<br />
<b>1) </b> Buscando archivos que cumplan criterios coincidentes con archivos maliciosos<br />
<b>2)</b> Buscando artefactos de la actividad de usuarios o de conexiones remotas que podrían indicar acceso o actividad no autorizada por parte de usuarios o la presencia de archivos maliciosos. <br />
<br />
Si usted ha estado leyendo esta serie de artículos, estas dos metodologías pueden resultarles familiares. Dicho esto, una vez un incidente es encontrado, la organización debe responder.<br />
<br />
<b>ENFOQUES TÍPICOS DE LA DETECCION Y RESPUESTA EN ENDPOINTS</b><br />
<br />
Como esta es una visión general, cubriremos rápidamente algunos de los enfoques típicos de la parte de respuesta de la detección y respuesta en endpoints. Esto incluye: <br />
<br />
<table border="1" cellpadding="0" cellspacing="0" class="MsoTable15Grid4Accent1" style="border-collapse: collapse; border: none; mso-border-alt: solid #4F758B .5pt; mso-padding-alt: 0in 5.4pt 0in 5.4pt; mso-yfti-tbllook: 1184;">
<tbody>
<tr style="height: 17.5pt; mso-yfti-firstrow: yes; mso-yfti-irow: -1; mso-yfti-lastfirstrow: yes;">
<td style="background: #4f758b; border: solid #4f758b 1.0pt; height: 17.5pt; padding: 0in 5.4pt 0in 5.4pt; width: 130.25pt;" valign="top" width="174"><div class="MsoNormal" style="mso-yfti-cnfc: 5;">
<b><span style="color: #ff671f; font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Enfoque de la respuesta</span></b><span style="color: #ff671f; font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;"><o:p></o:p></span></div>
</td>
<td style="background: #4f758b; border-left: none; border: solid #4f758b 1.0pt; height: 17.5pt; padding: 0in 5.4pt 0in 5.4pt; width: 171.0pt;" valign="top" width="228"><div class="MsoNormal" style="mso-yfti-cnfc: 1;">
<b><span style="color: #ff671f; font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Descripción</span></b><span style="color: #ff671f; font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;"><o:p></o:p></span></div>
</td>
<td style="background: #4f758b; border-left: none; border: solid #4f758b 1.0pt; height: 17.5pt; padding: 0in 5.4pt 0in 5.4pt; width: 166.25pt;" valign="top" width="222"><div class="MsoNormal" style="mso-yfti-cnfc: 1;">
<b><span style="color: #ff671f; font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Ventajas/Desventajas</span></b><span style="color: #ff671f; font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;"><o:p></o:p></span></div>
</td>
</tr>
<tr style="mso-yfti-irow: 0;">
<td style="border-top: none; border: solid #4f758b 1.0pt; padding: 0in 5.4pt 0in 5.4pt; width: 130.25pt;" valign="top" width="174"><div class="MsoNormal" style="mso-yfti-cnfc: 68;">
<br /></div>
<div class="MsoNormal" style="mso-yfti-cnfc: 68;">
<b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Alertas<o:p></o:p></span></b></div>
</td>
<td style="border-bottom: solid #4f758b 1.0pt; border-left: none; border-right: solid #4f758b 1.0pt; border-top: none; padding: 0in 5.4pt 0in 5.4pt; width: 171.0pt;" valign="top" width="228"><div class="MsoNormal" style="mso-yfti-cnfc: 64;">
<br /></div>
<div class="MsoNormal" style="mso-yfti-cnfc: 64;">
<span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Las
alertas normalmente son desencadenadas como resultado de una coincidencia
entre archivos, reciente entrada en el log, definición de una política o una
entrada que coincida con algún tipo de algoritmo generado por alguna
herramienta de seguridad o monitoreo de TI. <o:p></o:p></span></div>
</td>
<td style="border-bottom: solid #4f758b 1.0pt; border-left: none; border-right: solid #4f758b 1.0pt; border-top: none; padding: 0in 5.4pt 0in 5.4pt; width: 166.25pt;" valign="top" width="222"><div class="MsoNormal" style="mso-yfti-cnfc: 64;">
<br /></div>
<div class="MsoNormal" style="mso-yfti-cnfc: 64;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Ventajas</span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">:
<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Monitoreo
continuo<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Casi en tiempo
real<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Puede ser integrado
en una sola consola<o:p></o:p></span></div>
<div class="MsoListParagraph" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<br /></div>
<div class="MsoNormal" style="mso-yfti-cnfc: 64;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Desventajas:<o:p></o:p></span></b></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Requiere de la
organización para investigar o remediar los riesgos<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Cuanto más
políticas se monitorean, más alertas se generan<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">El volumen de
alertas puede sobrecargar a los recursos <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>• <span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Entradas de log
ambiguas<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Falsos
Positivos<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Falsos
Negativos<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Requisitos de
hardware para su soporte<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<br /></div>
</td>
</tr>
<tr style="mso-yfti-irow: 1;">
<td style="background: #d9d9d6; border-top: none; border: solid #4f758b 1.0pt; padding: 0in 5.4pt 0in 5.4pt; width: 130.25pt;" valign="top" width="174"><div class="MsoNormal" style="mso-yfti-cnfc: 132;">
<br /></div>
<div class="MsoNormal" style="mso-yfti-cnfc: 132;">
<b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Grabación
remota de la actividad de los usuarios<o:p></o:p></span></b></div>
</td>
<td style="background: #d9d9d6; border-bottom: solid #4f758b 1.0pt; border-left: none; border-right: solid #4f758b 1.0pt; border-top: none; padding: 0in 5.4pt 0in 5.4pt; width: 171.0pt;" valign="top" width="228"><div class="MsoNormal" style="mso-yfti-cnfc: 128;">
<br /></div>
<div class="MsoNormal" style="mso-yfti-cnfc: 128;">
<span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Grabado
de las actividades de los usuarios mediante capturas de pantalla o videos<o:p></o:p></span></div>
</td>
<td style="background: #d9d9d6; border-bottom: solid #4f758b 1.0pt; border-left: none; border-right: solid #4f758b 1.0pt; border-top: none; padding: 0in 5.4pt 0in 5.4pt; width: 166.25pt;" valign="top" width="222"><div class="MsoNormal" style="mso-yfti-cnfc: 128;">
<br /></div>
<div class="MsoNormal" style="mso-yfti-cnfc: 128;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Ventajas:<o:p></o:p></span></b></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Puede ver y
guardar las actividades de los usuarios (amenazas internas)<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Puede ser
automatizado o manual <o:p></o:p></span></div>
<div class="MsoListParagraph" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<br /></div>
<div class="MsoNormal" style="mso-yfti-cnfc: 128;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Desventajas:<o:p></o:p></span></b></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">No es una
verdadera remediación de los problemas<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Potenciales
problemas de escalabilidad conforme crezca el número de usuarios<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<br /></div>
</td>
</tr>
<tr style="mso-yfti-irow: 2;">
<td style="border-top: none; border: solid #4f758b 1.0pt; padding: 0in 5.4pt 0in 5.4pt; width: 130.25pt;" valign="top" width="174"><div class="MsoNormal" style="mso-yfti-cnfc: 68;">
<br /></div>
<div class="MsoNormal" style="mso-yfti-cnfc: 68;">
<b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Bloqueo
de archivos<o:p></o:p></span></b></div>
</td>
<td style="border-bottom: solid #4f758b 1.0pt; border-left: none; border-right: solid #4f758b 1.0pt; border-top: none; padding: 0in 5.4pt 0in 5.4pt; width: 171.0pt;" valign="top" width="228"><div class="MsoNormal" style="mso-yfti-cnfc: 64;">
<br /></div>
<div class="MsoNormal" style="mso-yfti-cnfc: 64;">
<span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Bloquear
la transmisión a través de la red de un archivo que cumpla ciertos criterios
de contenido o de destino<o:p></o:p></span></div>
</td>
<td style="border-bottom: solid #4f758b 1.0pt; border-left: none; border-right: solid #4f758b 1.0pt; border-top: none; padding: 0in 5.4pt 0in 5.4pt; width: 166.25pt;" valign="top" width="222"><div class="MsoNormal" style="mso-yfti-cnfc: 64;">
<br /></div>
<div class="MsoNormal" style="mso-yfti-cnfc: 64;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Ventajas:<o:p></o:p></span></b></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Reduce el
riesgo de pérdida de datos<b style="mso-bidi-font-weight: normal;"><o:p></o:p></b></span></div>
<div class="MsoListParagraph" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<br /></div>
<div class="MsoNormal" style="mso-yfti-cnfc: 64;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Desventajas:<o:p></o:p></span></b></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Puede ser
difícil de configurar en organizaciones grandes<b style="mso-bidi-font-weight: normal;"><o:p></o:p></b></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Requisitos de
hardware potencialmente grandes<b style="mso-bidi-font-weight: normal;"><o:p></o:p></b></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Potenciales
problemas de conectividad en la red debido a que las políticas de bloqueo de
archivos usualmente son actualizadas a través de la red<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<br /></div>
</td>
</tr>
<tr style="mso-yfti-irow: 3; mso-yfti-lastrow: yes;">
<td style="background: #d9d9d6; border-top: none; border: solid #4f758b 1.0pt; padding: 0in 5.4pt 0in 5.4pt; width: 130.25pt;" valign="top" width="174"><div class="MsoNormal" style="mso-yfti-cnfc: 132;">
<br /></div>
<div class="MsoNormal" style="mso-yfti-cnfc: 132;">
<b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Bloqueo
de procesos<o:p></o:p></span></b></div>
</td>
<td style="background: #d9d9d6; border-bottom: solid #4f758b 1.0pt; border-left: none; border-right: solid #4f758b 1.0pt; border-top: none; padding: 0in 5.4pt 0in 5.4pt; width: 171.0pt;" valign="top" width="228"><div class="MsoNormal" style="mso-yfti-cnfc: 128;">
<br /></div>
<div class="MsoNormal" style="mso-yfti-cnfc: 128;">
<span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Bloquear
la ejecución de algún proceso existente<o:p></o:p></span></div>
</td>
<td style="background: #d9d9d6; border-bottom: solid #4f758b 1.0pt; border-left: none; border-right: solid #4f758b 1.0pt; border-top: none; padding: 0in 5.4pt 0in 5.4pt; width: 166.25pt;" valign="top" width="222"><div class="MsoNormal" style="mso-yfti-cnfc: 128;">
<br /></div>
<div class="MsoNormal" style="mso-yfti-cnfc: 128;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Ventajas:<o:p></o:p></span></b></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">La ejecución de
procesos desconocidos o maliciosos es bloqueada de alguna forma<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Puede ser
automatizado o manual<o:p></o:p></span></div>
<div class="MsoNormal" style="mso-yfti-cnfc: 128;">
<br /></div>
<div class="MsoNormal" style="mso-yfti-cnfc: 128;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Desventajas:<o:p></o:p></span></b></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Limitado a
“remediar” procesos<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><span style="mso-spacerun: yes;"> </span>•<span style="mso-spacerun: yes;"> </span></span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">No es una
remediación real ya que el archivo aun reside en el sistema operativo y,
dependiendo del enfoque, el proceso aún puede estar al vivo en la memoria<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<br /></div>
</td>
</tr>
</tbody></table>
<br />
Una revisión rápida de la tabla muestra como pocos enfoques típicos proveen a la organización con una verdadera capacidad de remediación. La responsabilidad de la validación, remediación y de una potencial investigación a nivel forense de las amenazas usualmente es retornada a la organización. <br />
<br />
<b>LA VENTAJA DE GUIDANCE SOFTWARE PARA LA RESPUESTA A INCIDENTES</b><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://3.bp.blogspot.com/-8IlyENvcBXQ/Vz3VfwmogXI/AAAAAAAAAa4/tA8Rstq-FucEH7i2jzykd5LaQvfgdaiJQCLcB/s1600/Guidance%2BSoftware%2B101_%2BLas%2BBases%2B%25E2%2580%2593%2BHaciendo%2Bla%2BTransici%25C3%25B3n%2Bentre%2Bla%2BDetecci%25C3%25B3n%2Ben%2Bel%2BEndpoint%2By%2Bla%2BRespuesta%2Ba%2BIncidentes%2B%2528%25235%2529.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="360" src="https://3.bp.blogspot.com/-8IlyENvcBXQ/Vz3VfwmogXI/AAAAAAAAAa4/tA8Rstq-FucEH7i2jzykd5LaQvfgdaiJQCLcB/s640/Guidance%2BSoftware%2B101_%2BLas%2BBases%2B%25E2%2580%2593%2BHaciendo%2Bla%2BTransici%25C3%25B3n%2Bentre%2Bla%2BDetecci%25C3%25B3n%2Ben%2Bel%2BEndpoint%2By%2Bla%2BRespuesta%2Ba%2BIncidentes%2B%2528%25235%2529.png" width="640" /></a></div>
<br />
Endpoint Security de Guidance Software ofrece ventajas significativas, tanto cuando funciona como una solución autosuficiente, como cuando es integrado para automatizar respuestas configurables junto otras herramientas de seguridad de TI de la organización. Mientras que muchas otras soluciones solo examinan entradas de log, EnCase Endpoint Security provee una visión a nivel forense de 360 grados y capacidades de remediación en todos sus endpoints.<br />
<br />
EnCase Endpoint Security dispone de diversas opciones de respuesta para las organizaciones presentadas como el resultado de una auditoría y/o investigación independiente o como respuestas automatizadas a alertas. Algunos ejemplos incluyen lo siguiente: <br />
<br />
<table border="1" cellpadding="0" cellspacing="0" class="MsoTableGrid" style="border-collapse: collapse; border: none;">
<tbody>
<tr>
<td style="background: #4f758b; border: solid #4f758b 1.0pt; padding: 0in 5.4pt 0in 5.4pt; width: 175.25pt;" valign="top" width="234"><div class="MsoNormal">
<b><span style="color: #ff671f; font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Opciones de respuesta</span></b></div>
</td>
<td style="background: #4f758b; border-left: none; border: solid #4f758b 1.0pt; padding: 0in 5.4pt 0in 5.4pt; width: 292.25pt;" valign="top" width="390"><div class="MsoNormal">
<b><span style="color: #ff671f; font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Ejemplos de respuestas</span></b></div>
</td>
</tr>
<tr style="height: 193.9pt;">
<td style="border-top: none; border: solid #4f758b 1.0pt; height: 193.9pt; padding: 0in 5.4pt 0in 5.4pt; width: 175.25pt;" valign="top" width="234"><div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Validación</span></b></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Validación del resultado de auditorías, búsquedas
investigativas, detección de malware o alertas provenientes de otras
herramientas de seguridad de TI</span></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<br /></div>
</td>
<td style="border-bottom: solid #4f758b 1.0pt; border-left: none; border-right: solid #4f758b 1.0pt; border-top: none; height: 193.9pt; padding: 0in 5.4pt 0in 5.4pt; width: 292.25pt;" valign="top" width="390"><div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Posibles ejemplos de respuestas incluyen:</span></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
•</span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
Listado completo de procesos al vivo ejecutándose en un endpoint</span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
•</span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
Listado completo de conexiones remotas al endpoint, incluyendo el proceso y
la cuenta de usuario asociada a una conexión </span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
•</span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
Identificación de archivos o de procesos que no hacen parte de una
configuración autorizada </span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
•</span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
Artefactos de internet de un usuario en particular (incluyendo un listado
completo de las URL visitadas, cookies, descargas, etc.)</span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
•</span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
Visualización completa de las claves de registro de los endpoints</span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
•</span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
Recolección remota de la memoria de uno o más endpoints para mayor análisis</span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<br /></div>
</td>
</tr>
<tr style="height: 116.5pt;">
<td style="background: #d9d9d6; border-top: none; border: solid #4f758b 1.0pt; height: 116.5pt; padding: 0in 5.4pt 0in 5.4pt; width: 175.25pt;" valign="top" width="234"><div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Remediación remota</span></b></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Una verdadera remediación remota que opcionalmente
puede recolectar archivos. La remediación incluye:</span></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
•</span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
Remoción a nivel forense del archivo en el sistema operativo, incluso si el
archivo está en uso</span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
•</span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
Remoción a nivel forense de un proceso asociado en la memoria, incluso si
está en uso</span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
•</span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
Capacidad configurable de preservar una copia forense del archivo que está
siendo remediado </span></div>
<div class="MsoNormal">
<br /></div>
</td>
<td style="background: #d9d9d6; border-bottom: solid #4f758b 1.0pt; border-left: none; border-right: solid #4f758b 1.0pt; border-top: none; height: 116.5pt; padding: 0in 5.4pt 0in 5.4pt; width: 292.25pt;" valign="top" width="390"><div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt; line-height: 115%;">Ejemplos incluyen lo siguiente:</span></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
•</span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
Verdadera remediación remota de los EXE y DLL</span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
•</span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
Verdadera remediación remota de documentos</span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
•</span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
Verdadera remediación remota de emails </span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
•</span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
Verdadera remediación remota de cualquier tipo de archivo</span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0.0001pt; margin-bottom: 0in;">
<b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
•</span></b><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">
Verdadera remediación remota de claves de registro</span></div>
</td>
</tr>
</tbody></table>
<br />
Diferentes tipos de alertas obviamente requieren diferentes tipos de respuestas automatizadas. Un punto clave de cómo los productos de Guidance Software pueden añadirle valor a sus inversiones actuales en seguridad o monitoreo de TI es que permite configurar las alertas para que generen un tipo específico de respuesta automatizada. Discutiremos esto a mayor detalle en futuros artículos.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-duVBVhWhEys/Vz3VsmhtFnI/AAAAAAAAAa8/JGXlrp11X7UxjsTG5WTvI5p8GmDxcUhLQCLcB/s1600/Guidance%2BSoftware%2B101_%2BLas%2BBases%2B%25E2%2580%2593%2BHaciendo%2Bla%2BTransici%25C3%25B3n%2Bentre%2Bla%2BDetecci%25C3%25B3n%2Ben%2Bel%2BEndpoint%2By%2Bla%2BRespuesta%2Ba%2BIncidentes%2B%2528%25235%25292.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="360" src="https://1.bp.blogspot.com/-duVBVhWhEys/Vz3VsmhtFnI/AAAAAAAAAa8/JGXlrp11X7UxjsTG5WTvI5p8GmDxcUhLQCLcB/s640/Guidance%2BSoftware%2B101_%2BLas%2BBases%2B%25E2%2580%2593%2BHaciendo%2Bla%2BTransici%25C3%25B3n%2Bentre%2Bla%2BDetecci%25C3%25B3n%2Ben%2Bel%2BEndpoint%2By%2Bla%2BRespuesta%2Ba%2BIncidentes%2B%2528%25235%25292.png" width="640" /></a></div>
<br />
Espero que haya podido notar que la ventaja de Guidance Software para la respuesta a incidentes realmente está en poder no solo detectar riesgos y amenazas en prácticamente cualquier lugar de la infraestructura de la organización sino también en proveer una respuesta accionable de forma remota desde un punto central dentro de la organización. Estas capacidades de visibilidad y respuesta son desarrolladas mientras la evidencia investigativa crítica es preservada caso sea requerida en el futuro por el departamento jurídico, RR.HH. u otros equipos. <br />
<br />
Consideraría este nivel de visibilidad y remediación en endpoints como “exhaustivo”. <br />
<br />
Finalizando, este artículo ha tratado de entregar una visión panorámica de la respuesta a incidentes y las ventajas accionables que los productos de Guidance Software pueden ofrecer a una organización. Nuestro siguiente artículo le ayudará a entender los componentes que los productos de Guidance Software usan para entregar resultados integrales y confiables en auditorías e investigaciones. <br />
<br />
Pronto llegaremos a los temas más jugosos… agradezco su paciencia mientras navegamos lo básico. <br />
<br />
Tony Grey<br />
Guidance Software<br />
América Latina<br />
<br />
Para obtener mayor información sobre los productos de Guidance Software, contacte nuestros revendedores locales o escríbanos a <a href="mailto:sales-latam@guidancesoftware.com"><b>sales-latam@guidancesoftware.com</b></a>.<br />
<br />
<br />
<b>TEMAS RELACIONADOS</b><br />
<b><br /></b>
<a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-conceptos.html"><b>Guidance Software 101: Conceptos Fundamentales</b></a><br />
<b><br /></b>
<a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank"><b>Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</b></a><br />
<b><br /></b>
<a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-las-bases.html"><b>Guidance Software 101: Las Bases – Visibilidad a Nivel Forense de 360 Grados en los Endpoints (#4)</b></a><br />
<b><br /></b>
<a href="http://www.facebook.com/encaseenespanol" target="_blank"><b>Dé un "Me Gusta" a Nuestra Página en Facebook</b></a><br />
<br />Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-57039688547010167722016-05-18T09:00:00.000-07:002016-05-18T09:00:52.384-07:00Guidance Software 101: Las Bases – Visibilidad a Nivel Forense de 360 Grados en los Endpoints (#4)<div class="separator" style="clear: both; text-align: center;">
<a href="https://3.bp.blogspot.com/-R66S4mWS53Q/Vztb7F1aVTI/AAAAAAAAAZU/DlXrUGU3wOEhGdXtClnxIe2N65boyibigCKgB/s1600/post%2Blogo%2Bfinal.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><br /><img border="0" height="122" src="https://3.bp.blogspot.com/-R66S4mWS53Q/Vztb7F1aVTI/AAAAAAAAAZU/DlXrUGU3wOEhGdXtClnxIe2N65boyibigCKgB/s200/post%2Blogo%2Bfinal.png" width="200" /></a></div>
<br />
Este es el cuarto artículo de nuestra serie de 101 artículos que le darán al lector una visión general o una referencia de cómo los productos de Guidance Software pueden ayudar a una organización y las ventajas que nuestros productos ofrecen. Estamos a la mitad de la sección de bases de la serie que intenta orientarlo con conceptos básicos antes de que enfrentemos casos de uso más complejos. Los 2 últimos artículos que hemos posteado discutieron el <a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-las-bases-el-arte.html" target="_blank"><b>arte de la búsqueda de archivos</b></a> y la <a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-las-bases-la.html" target="_blank"><b>ciencia de recolección de archivos</b></a>. En este artículo, expandiremos la discusión más allá de simplemente archivos. Entenderemos de mejor forma cómo su organización puede conseguir fácilmente una visibilidad verdaderamente a nivel forense de todos los tipos de residuo que pueden residir como evidencia en sus endpoints para encontrar rápidamente a través de centenas o miles de computadoras código malicioso previamente desconocido, indicadores de mal uso informático o datos confidenciales almacenados en localizaciones no autorizadas.<br />
<a name='more'></a><br />
<b>QUÉ ES LA VISIBILIDAD A NIVEL FORENSE DE 360 GRADOS?</b><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<b></b></div>
<div class="separator" style="clear: both; text-align: center;">
<b><a href="https://4.bp.blogspot.com/-Vp2EWqbGZNc/VzvLoqa-VeI/AAAAAAAAAaY/eilQRqqUwVkgI1m4eMuZuIuI_i4RGT5SACLcB/s1600/Guidance%2BSoftware%2B101_%2BLas%2BBases%2B%25E2%2580%2593%2BVisibilidad%2Ba%2BNivel%2BForense%2Bde%2B360%2BGrados%2Ben%2Blos%2BEndpoints.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="532" src="https://4.bp.blogspot.com/-Vp2EWqbGZNc/VzvLoqa-VeI/AAAAAAAAAaY/eilQRqqUwVkgI1m4eMuZuIuI_i4RGT5SACLcB/s640/Guidance%2BSoftware%2B101_%2BLas%2BBases%2B%25E2%2580%2593%2BVisibilidad%2Ba%2BNivel%2BForense%2Bde%2B360%2BGrados%2Ben%2Blos%2BEndpoints.PNG" width="640" /></a></b></div>
<br />
Especialmente en casos de malware y mal uso informático donde los riesgos a la organización pueden ser más altos, la visibilidad de 360 grados significa tener la habilidad de identificar, analizar y recolectar cualquier y todo residuo forense a través de todo el ciclo de ataque:<br />
<br />
<b> • </b>Entrega (duración típica: días)<br />
<b> • </b>Exploit (duración típica: minutos)<br />
<b> • </b>Instalación (duración típica: minutos)<br />
<b> • </b>Comando y Control (duración típica: meses a años)<br />
<b> • </b>Exfiltración<br />
<br />
Nadie publicita haber parado ataque en el perímetro. El daño organizacional es causado por los pocos ataques que consiguen eludir las defensas de la organización. En la mayoría casos publicados, el verdadero daño organizacional no ocurrió durante los primeros días, sino que sucedió semanas, meses o incluso años en los que el malware permanecía oculto. <br />
<br />
<b>LA MAYORÍA DE LAS HERRAMIENTAS DE SEGURIDAD SE ENFOCAN EN EL PERÍMETRO</b><br />
<br />
Una estrategia de perímetro es una parte importante de las defensas de una organización. A pesar de ello, las herramientas de defensa del perímetro generalmente operan conceptualmente como una red de pesca. Cuanto mayores son sus agujeros, más peces pueden cruzarla. Cuanto menores son, más atraparemos cosas que queremos dejar pasar. El hecho es que no se puede pescar efectivamente con una red sin huecos. Eso no sería efectivo por mucho tiempo.<br />
<br />
Lo mismo se aplica en las defensas de TI del perímetro. La mayoría de nuestros competidores ponen sus “redes” en las áreas más breves de la cadena de ataque cibernético: entrega, exploit e instalación. Sin embargo, una vez esta áreas son eludidas, los elementos de comando y control del malware residen en el endpoint donde pocas herramientas de seguridad de TI tienen una visibilidad profunda. <br />
<br />
Para poder enfrentar a la actividad no autorizada en los endpoints, estas herramientas de perímetro tienen funciones de comparación de archivos, sandboxes, algoritmos sofisticados y otros métodos para detectar si un archivo podría ser malware. Dicho esto, estos métodos esencialmente son suposiciones. Algunos de estos métodos de estimación son mejores que otros, pero ninguno es 100% efectivo<br />
<br />
<b>LA VENTAJA DE GUIDANCE SOFTWARE</b><br />
<br />
La ventaja de Guidance Software es sencilla: el código malicioso exitoso debe por definición residir en un disco o en memoria volátil (memoria, procesos o registro) y cualquier ataque exitoso interno o externo seguramente dejará alguna forma de residuo forense. Guidance Software puede ayudar a su organización a encontrar el código malicioso o residuos de la actividad de usuarios que puedan existir. ¿Cómo hacemos esto? Las capacidades de visibilidad de discos y memoria de endpoints a nivel forense con fácil escalado a centenas o miles de máquinas entregadas por los productos de Guidance Software, no dejan suposiciones. El residuo forense no tiene donde esconderse en cualquier endpoint de su organización. <br />
<br />
En Guidance Software nos enfocamos en los que hacemos mejor que nadie: aprovechar nuestra herencia forense para enfocarnos en el endpoint, entregando un soporte eficiente y aumentado la rentabilidad de las otras inversiones de seguridad de TI de las organizaciones. Esto significa un nivel de visibilidad, y aún más importante, eficiencia y escalabilidad inigualado por nuestros competidores. <br />
<br />
Usted verá cómo la visibilidad de 360 grados puede trabajar específicamente en pro de su organización en futuros artículos del blog. Aún estamos en las bases. Debemos gatear antes de caminar.<br />
<br />
Tony Grey<br />
Guidance Software<br />
Latinoamérica<br />
<br />
Para obtener mayor información sobre los productos de Guidance Software, contacte nuestros revendedores locales o escríbanos a <a href="mailto:sales-latam@guidancesoftware.com"><b>sales-latam@guidancesoftware.com</b></a>.<br />
<br />
<b><br />TEMAS RELACIONADOS<br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-conceptos.html">Guidance Software 101: Conceptos Fundamentales</a><br /><br /><a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank">Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</a><br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-las-bases-la.html">Guidance Software 101: Las Bases – La Ciencia de la Recolección de Archivos</a></b><br />
<b><br /><a href="http://www.facebook.com/encaseenespanol" target="_blank">Dé un "Me Gusta" a Nuestra Página en Facebook</a></b><br />
<br />Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-28248979278643401052016-05-17T11:16:00.000-07:002016-05-17T21:10:49.068-07:00Guidance Software 101: Las Bases – La Ciencia de la Recolección de Archivos (#3)<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-R66S4mWS53Q/Vztb7F1aVTI/AAAAAAAAAZQ/5qEJ5ydmrPQKR9DKKP2f7AJHZ1iw8vexgCLcB/s1600/post%2Blogo%2Bfinal.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><br /><img border="0" height="122" src="https://1.bp.blogspot.com/-R66S4mWS53Q/Vztb7F1aVTI/AAAAAAAAAZQ/5qEJ5ydmrPQKR9DKKP2f7AJHZ1iw8vexgCLcB/s200/post%2Blogo%2Bfinal.png" width="200" /></a></div>
<br />
Este es el tercer artículo de una serie de 101 artículos que le darán al lector una visión general o una referencia de cómo los productos de Guidance Software pueden ayudar a una organización y las ventajas que nuestros productos ofrecen. Aún estamos en el principio de esta serie, por lo tanto, estamos cubriendo “las bases”. En nuestro <b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-las-bases-el-arte.html" target="_blank">último artículo</a></b> abordamos el arte de la búsqueda de archivos. En este artículo, abordaremos una visión global de la ciencia de la recolección de archivos, una parte central de la ejecución de auditorías o investigaciones accionables por auditores, investigadores y asesores legales.<br />
<br />
<b>QUÉ ES LA RECOLECCIÓN DE ARCHIVOS</b><br />
<br />
Generalmente, cuando datos digitales son recolectados como parte de una investigación, los auditores de TI o investigadores digitales están intentando comprender si las computadoras, recursos de red o recursos en la nube de una organización han sido accedidos o usados como (1) un <b>objetivo</b> para actos criminales, intrusiones o violaciones a las políticas internas; (2) como un <b>instrumento</b> para el crimen, intrusiones o violaciones de políticas internas o (3) como un <b>repositorio de evidencia</b> asociada a un crimen o a una violación a una política interna. Esto se descubre gracias al resultado de la análisis de los resultados de una auditoría de TI proactiva o de una investigación digital. Los archivos identificados como sospechosos o como evidencia son una parte integral del análisis general. <br />
<a name='more'></a><br />
La recolección de archivos es el acto de hacer una réplica digital de un archivo o de un conjunto de archivos en su estado original. Estos se identifican mediante una búsqueda de archivos relacionada a una auditoría proactiva o a una investigación reactiva. Los tipos de archivos que deben ser recolectados como parte de una auditoría o investigación pueden incluir cualquiera de los siguientes: <br />
<br />
<b> • </b>Documentos, comunicaciones e imágenes creadas, modificadas, accedidas, escondidas o cacheadas en cualquier parte del endpoint o en carpetas compartidas. <br />
<b> • </b>Documentos, comunicaciones e imágenes creadas, modificadas, accedidas, escondidas o cacheadas en recursos de red como Exchange o Sharepoint, o en recursos de la nube como Office365, Google Apps, Dropbox, Box o Amazon S3<br />
<b> • </b>Comunicaciones enviadas mediante email, chat o mensajes instantáneas<br />
<b> • </b>Documentos, comunicaciones e imágenes que no hayan sido guardados pero residen en la memoria<br />
<b> • </b>Archivos y otros datos borrados que no hayan sido sobrescritos en el endpoint, recursos de red o recursos de la nube (p. ej. documentos borrados, imágenes, archivos de enlace o de acceso directo y mensajes de email)<br />
<b> • </b>Archivos accedidos o borrados mediante procesos automatizados de la computadora<br />
<b> • </b>Archivos temporales de almacenamiento automático (auto-save)<br />
<b> • </b>Artefactos de internet como archivos descargados (intencionalmente o involuntariamente), transacciones de internet de carácter financiero, cookies u otros artefactos<br />
<b> • </b>El historial de sitios web visitados, incluso cuando el historial del navegador y su cache han sido borrados<br />
<b> • </b>La información de fecha y hora de los archivos (p. ej. cuándo los archivos fueron creados, accedidos, modificados, instalados, borrados o descargados)<br />
<b> • </b>Datos de un disco que haya sido desfragmentado o reformateado<br />
<br />
Los archivos pueden ser recolectados <i>in situ</i> en la misma máquina o remotamente y recolectar tanto a máquinas que hayan sido apagadas como máquinas al vivo. Los archivos pueden ser recolectados de máquinas con cualquier sistema operativo, incluyendo <b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2013/12/encase-para-sistemas-linux-un-vistazo.html" target="_blank">Linux</a></b>, Mac, AIX, UNIX, Solaris u otros. <br />
<br />
<b>¿POR QUÉ ES IMPORTANTE LA RECOLECCIÓN DE ARCHIVOS?</b><br />
<br />
<a href="https://3.bp.blogspot.com/-oIsNtq14jNo/VzteIUlr0II/AAAAAAAAAZc/5bdbc1UTzEEwlOOuyi8JXXhm63GyMq9QgCLcB/s1600/Guidance%2BSoftware%2B101_%2BLas%2BBases%2B%25E2%2580%2593%2BLa%2BCiencia%2Bde%2Bla%2BRecolecci%25C3%25B3n%2Bde%2BArchivos.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="346" src="https://3.bp.blogspot.com/-oIsNtq14jNo/VzteIUlr0II/AAAAAAAAAZc/5bdbc1UTzEEwlOOuyi8JXXhm63GyMq9QgCLcB/s640/Guidance%2BSoftware%2B101_%2BLas%2BBases%2B%25E2%2580%2593%2BLa%2BCiencia%2Bde%2Bla%2BRecolecci%25C3%25B3n%2Bde%2BArchivos.png" width="640" /></a><br />
Los investigadores o auditores pueden necesitar examinar, analizar o investigar archivos en múltiples máquinas remotas. Las máquinas, datos o archivos pueden estar localizados en cualquier lugar. Las herramientas que los investigadores o auditores usen tienen que producir toda la evidencia potencial disponible a ellos sin importar su localización o tipo de archivo. El crimen, la intrusión o política de violación examinada podría envolver la recolección de discos enteros, volúmenes de discos, subconjuntos de archivos, archivos únicos o todo tipo de artefactos forenses que se hayan determinado que residen en una o múltiples máquinas. Después de identificar la evidencia potencial, los auditores o investigadores podrían necesitar probar que un archivo fue producido en los endpoints examinados u obtenido de otro lugar. <br />
<br />
Dados los grandes peligros relacionados a una recolección ejecutada de forma incorrecta, el proceso de recolección de archivos puede representar un riesgo para la organización. La recolección de archivos significa más que simplemente copiar archivos para el análisis, también representa la preservación de la evidencia.<br />
<br />
Los archivos recolectados necesitan ser tratados como evidencia…porque lo son. Su departamento jurídico, equipo de RR.HH. o asesores legales pueden no poder proseguir con un caso si no se recoge la evidencia de forma pericialmente correcta. Adicionalmente, el proceso de cómo un archivo fue recolectado puede ser cuestionado durante un juicio. Como discutimos en el <b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-conceptos.html" target="_blank">artículo inicial</a></b> de esta serie, las herramientas de administración de TI pueden no ser suficientes para la recolección de evidencia al estándar necesario para que la evidencia sea accionable. <br />
<br />
<b>LA VENTAJA DE GUIDANCE SOFTWARE PARA LA RECOLECCIÓN DE ARCHIVOS</b><br />
<br />
Durante mucho tiempo Guidance Software ha servido a las necesidades de los investigadores y abogados con el legado de productos de la familia EnCase Forensic. Hace ya años, Guidance Software fue el pionero en el desarrollo del conjunto de tipos de archivo de evidencia que son el estándar de la industria y representan una perfecta copia forense al nivel del bit de un disco completo (.E01 o .Ex01) o copias forenses de archivos recolectados individualmente (.L01 o .Lx01). <br />
<br />
Cualquier tipo de archivo o dato puede ser preservado junto a sus metadatos originales dentro de estos archivos de evidencia. Actualmente todos los productos de Guidance Software, ya sea para auditorias proactivas o investigaciones reactivas, pueden usar estos mismos archivos de evidencia de forma nativa como parte de sus capacidades de recolección. Como prueba del estándar de excelencia de estos archivos de evidencia, muchos productos de nuestros competidores también usan los formatos de archivos de evidencia de Guidance Software. <br />
<br />
Como los archivos de evidencia pueden verificar la integridad de cualquier archivo que contengan, un archivo recolectado por una organización dentro de un archivo de evidencia de Guidance Software puede ser enviado a otras partes, como fuerzas del orden, sin necesidad de romper la cadena de custodia. Los archivos de evidencia opcionalmente también pueden ser cifrados de forma que solo puedan ser abiertos por personas que tengan la clave de descifrado correcta. <br />
<br />
Espero que este artículo del blog le haya ayudado a entender las bases de la recolección de archivos, qué es lo que potencialmente tendría que ser recolectado y los riesgos a una organización que representa la recolección de evidencia. El siguiente artículo que postearemos discutirá cómo Guidance Software puede aplicar fácilmente un nivel de visibilidad forense dentro de centenas o miles de endpoints remotos para ayudarle a encontrar de forma fácil y proactiva las anomalías que yacen dentro de esos endpoints sin que necesite el entrenamiento de un investigador forense.<br />
<br />
Tony Grey<br />
Guidance Software<br />
Latinoamérica<br />
<br />
Para obtener mayor información sobre los productos de Guidance Software, contacte nuestros revendedores locales o escríbanos a <b><a href="mailto:sales-latam@guidancesoftware.com">sales-latam@guidancesoftware.com</a></b>.<br />
<br />
<br />
<b>TEMAS RELACIONADOS<br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-conceptos.html">Guidance Software 101: Conceptos Fundamentales</a><br /><br /><a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank">Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</a><br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-las-bases-el-arte.html">Guidance Software 101: Las Bases – El Arte de Buscar Archivos </a></b><br />
<b><br /><a href="http://www.facebook.com/encaseenespanol" target="_blank">Dé un "Me Gusta" a Nuestra Página en Facebook</a></b><br />
<br />Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-36768881501051297202016-05-16T11:40:00.000-07:002016-05-17T21:10:39.165-07:00Guidance Software 101: Las Bases – El Arte de Buscar Archivos (#2)<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://2.bp.blogspot.com/-yGh2JI-zV8w/VznQlHHScwI/AAAAAAAAAXY/8aW0149cIVo9sSg_KC0jecAblRxEbB4JgCKgB/s1600/post%2Blogo%2Bfinal.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="121" src="https://2.bp.blogspot.com/-yGh2JI-zV8w/VznQlHHScwI/AAAAAAAAAXY/8aW0149cIVo9sSg_KC0jecAblRxEbB4JgCKgB/s200/post%2Blogo%2Bfinal.png" width="200" /></a></div>
Esta es la segunda publicación de nuestra serie de 101 artículos que postearemos en el blog. En el <b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-conceptos.html" target="_blank">primer artículo</a></b>, discutimos cómo la identificación de evidencia es una parte clave de la capacidad de auditoría e investigación de una organización. Este artículo se enfocará en orientar al lector sobre las bases de la búsqueda de archivos y las ventajas que los productos de Guidance Software traen a la búsqueda de archivos.<br />
<br />
<br />
<b>VISIÓN GENERAL DE LA BÚSQUEDA DE ARCHIVOS</b><br />
<br />
Muchos de los conceptos de la búsqueda de archivos podrían parecer auto explicativos, pero dicho esto, en este artículo del blog describiremos las bases de la búsqueda de archivos, por lo tanto, hablaremos incluso sobre las bases más obvias para preparar a los lectores a los temas de búsqueda más avanzados que cubriremos más adelante en otros artículos. <br />
<a name='more'></a><br />
Conceptualmente, la esencia de cualquier búsqueda de archivos requiere la habilidad de crear criterios de búsqueda, la agrupación de esos criterios caso sea necesario y su aplicación a los archivos para determinar si un archivo “responde” (o coincide) con los criterios deseados. A un nivel general, existen dos tipos de criterios de búsqueda: <br />
<br />
<b> • </b>Criterios de búsqueda <b>inclusivos</b> en los cuales el investigador o el auditor están buscando algo en específico. Los resultados de un criterio de búsqueda inclusivo son archivos que coinciden o contienen el criterio buscado.<br />
<br />
<b> • </b>Criterios de búsqueda <b>exclusivos</b> en los cuales el auditor quiere definir lo que es normal y aceptable en busca de cualquier cosa que no coincida con el criterio be búsqueda. <br />
<br />
Ejemplos generales de criterios de búsqueda también pueden incluir, entre otros, cualquier elemento de la siguiente lista:<br />
<br />
<b> • </b>Metadatos de un archivo (nombre de archivo, fechas, extensión, localización, tipo de archivos, tamaño de archivo, etc.)<br />
<b> • </b>Contenido que podría estar guardado dentro de un archivo (palabras clave, patrones de números, etc.)<br />
<b> • </b>Valores de hash<br />
<b> • </b>Similitud entre archivos<br />
<b> • </b>Búsqueda de proximidad<br />
<b> • </b>Valores de claves del registro<br />
<b> • </b>Permisos de archivos<br />
<b> • </b>Estado de cifrado <br />
<b> • </b>Archivos en estado borrado o sobrescrito<br />
<b> • </b>Metadatos de sistema del endpoint donde reside un archivo (dominio, IP, sistema operativo, service packs, etc.) <br />
<br />
Luego, los criterios de búsqueda necesitan ser enviados a un grupo de endpoints, recursos de red o en la nube para determinar qué archivos coinciden con el criterio dado. Pueden existir ciertas consideraciones especiales en la mecánica de la búsqueda que podrían necesitar ser tomadas en cuenta, como las siguientes:<br />
<br />
<b> • </b>Consideraciones de escalado conforme crezca el número de endpoints que potencialmente necesiten ser explorados durante búsquedas<br />
<br />
<b> • </b>Factores regulatorios como leyes de protección y privacidad de datos nacionales o normativas pertinentes a una industria particular.<br />
<br />
<b> • </b>Limitaciones de ancho de banda o factores de costo que envuelvan a endpoints accesibles solamente mediante conexiones de baja velocidad o enlaces satelitales<br />
<br />
<b> • </b>Tipos de encriptación a nivel de disco o de archivo usados en los endpoints<br />
<br />
<b> • </b>Consideraciones relacionadas al estado de una máquina como procesos específicos en ejecución, puertos específicos, etc.<br />
<br />
Nuestro siguiente artículo de esta serie discutirá cómo los archivos son recolectados una vez identificados, por ahora enfoquémonos solamente en la búsqueda. <br />
<br />
<b>GUIDANCE SOFTWARE Y EL ARTE DE LA BÚSQUEDA DE ARCHIVOS DIGITALES</b><br />
<br />
Guidance Software se encuentra en una posición excepcional para proveer soluciones que ayudan a las organizaciones a buscar archivos. Gracias a un extenso historial en investigaciones forenses digitales, los productos de Guidance pueden darle una completa visibilidad hacia prácticamente cualquier localización donde un archivo pueda estar almacenado y permiten que auditores e investigadores apliquen criterios que determinen exitosamente si un archivo responde (o coincide) a esos criterios.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-jFxzZlSpxHM/VzoRhTbqZpI/AAAAAAAAAYY/ZL3Z4QkhnToU4U6T_x3KdUvsL3jpFYn0ACLcB/s1600/Guidance%2BSoftware%2B101_%2BLas%2BBases%2B%25E2%2580%2593%2BEl%2BArte%2Bde%2BBuscar%2BArchivos.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="520" src="https://1.bp.blogspot.com/-jFxzZlSpxHM/VzoRhTbqZpI/AAAAAAAAAYY/ZL3Z4QkhnToU4U6T_x3KdUvsL3jpFYn0ACLcB/s640/Guidance%2BSoftware%2B101_%2BLas%2BBases%2B%25E2%2580%2593%2BEl%2BArte%2Bde%2BBuscar%2BArchivos.png" width="640" /></a></div>
<br />
Ahora mostraremos algunas de las ventajas que los productos de Guidance Software tienen para proveer una capacidad de búsqueda de primera clase como una parte fundamental de todos sus productos. Mientras que en artículos futuros cubriremos funcionalidades específicas, a continuación mostramos una visión panorámica de cómo funcionan estos productos:<br />
<b><br /></b>
<b> • Proceso de búsqueda consistente y eficiente: </b>Guidance Software conoce las ventajas que ofrece darle la habilidad de buscar exhaustivamente a través de todos los sistemas operativos en discos, discos cifrados, carpetas compartidas, endpoints protegidos, repositorios de red y la nube usando un proceso de búsqueda consistente. Los productos de Guidance Software no sólo pueden aplicar criterios de búsqueda para todo tipo de archivos a través de centenas o miles de máquinas, sino que también pueden reducir automáticamente la dimensión de las búsquedas en máquinas que no coinciden con criterios de búsqueda inclusivos o exclusivos referentes a rangos de IP, nombres de máquina, dominios, sistemas operativos, service packs instalados, etc.<br />
<br />
<b> • Disponibilidad de criterios de búsqueda amplios y profundos: </b>Una vez que el proceso de búsqueda identifica a un endpoint que necesita ser auditado o examinado, los productos de Guidance Software tienen criterios de búsqueda fáciles que pueden encontrar y exponer datos y archivos escondidos, borrados o sobrescritos con alta pericia, así como datos y archivos activos almacenados en su red sin importar el sistema operativo de la máquina donde esos datos y archivos residen. Todos los productos de Guidance Software utilizan el mismo agente, un pequeño agente que aplica efectivamente una visibilidad a nivel forense de forma concurrente en centenas o miles de endpoints. Los criterios de búsqueda pueden ser tan amplios o granulares como sea necesario para una investigación o auditoría particular. Mientras que todos los productos de Guidance Software le dan la habilidad de buscar archivos activos, algunos productos también le permiten buscar en las partes más profundas del sistema operativo, registro, memoria, así como los procesos de una máquina. Tenemos clientes grandes y muy reconocidos con millones de endpoints que usan los productos de Guidance Software diariamente.<br />
<br />
<b> • Habilidad de búsqueda en discos cifrados: </b>Los productos de Guidance Software pueden ejecutar búsquedas en discos cifrados con la mayoría de los productos comerciales de cifrado, incluyendo al menos un producto que abre discos de forma dinámica.<br />
<br />
<b> • Configuraciones para situaciones de búsqueda especiales: </b>Los productos de Guidance Software se enfocan únicamente en los datos en reposo de los endpoints. Esto significa que Guidance Software puede aplicar criterios de búsqueda de forma más selectiva que los competidores que interceptan o capturan datos y documentos en movimiento a través de la red. La ventaja que esto trae es que los productos de Guidance Software pueden excluir áreas de una unidad de disco que las leyes de privacidad de datos consideren “información privada”. Adicionalmente, muchos productos de Guidance Software pueden ser configurados para operar en redes con ancho de banda extremadamente escaso, caso sea necesario. Además, el producto EnCase Endpoint Security de Guidance Software puede ser configurado para incluir o excluir máquinas durante una búsqueda basándose en el perfil de una máquina en particular, basándose en los procesos ejecutados, puertos abiertos, archivos abiertos, conexiones de red activas, etc. Esto permite a los investigadores de malware o auditores de TI rápidamente identificar y aplicar criterios de búsqueda a las máquinas consideradas bajo mayor riesgo.<br />
<br />
<b> • Integración con capacidades de inteligencia de amenaza de primera categoría:</b> Parte de la búsqueda de malware incluye tener la habilidad de identificar amenazas como parte de su investigación o auditoría. EnCase Endpoint Security puede integrarse con algunas de las más poderosas plataformas de inteligencia de amenazas a nivel mundial y aplicar patrones estandarizados para la búsqueda de indicadores de compromiso (IoC) como reglas YARA y STIX. Discutiremos estas capacidades a gran detalle en artículos futuros más avanzados. <br />
<br />
Este artículo ha tratado de entregarle una perspectiva general de la búsqueda de archivos y las ventajas que los productos de Guidance Software traen a la búsqueda de archivos. En el siguiente artículo de la serie, postearemos las bases de la recolección de archivos encontrados usando los criterios de búsqueda.<br />
<br />
Abroche su cinturón, este viaje solo ha empezado…<br />
<br />
Tony Grey <br />
Guidance Software <br />
Latinoamérica<br />
<br />
Para obtener mayor información sobre los productos de Guidance Software, contacte nuestros revendedores locales o escríbanos a <a href="mailto:sales-latam@guidancesoftware.com"><b>sales-latam@guidancesoftware.com</b></a>.<br />
<br />
<br />
<b>TEMAS RELACIONADOS</b><br />
<b><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-conceptos.html">Guidance Software 101: Conceptos Fundamentales </a><br /><br /><a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank">Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</a><br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/09/sc-magazine-califica-con-5-estrellas.html">SC Magazine califica con 5 estrellas a EnCase® Endpoint Security</a><br /><br /><a href="http://www.facebook.com/encaseenespanol" target="_blank">Dé un "Me Gusta" a Nuestra Página en Facebook</a><br /> </b>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-69889792625741115012016-05-12T13:02:00.000-07:002016-05-19T12:01:30.059-07:00Guidance Software 101: Conceptos Fundamentales (#1)<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://4.bp.blogspot.com/-yGh2JI-zV8w/VznQlHHScwI/AAAAAAAAAXU/gXpCKiP1HO0weiLzz1hULPzGXX9XbbHlwCLcB/s1600/post%2Blogo%2Bfinal.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="121" src="https://4.bp.blogspot.com/-yGh2JI-zV8w/VznQlHHScwI/AAAAAAAAAXU/gXpCKiP1HO0weiLzz1hULPzGXX9XbbHlwCLcB/s200/post%2Blogo%2Bfinal.png" width="200" /></a></div>
Este es el primer post de una serie titulada “Guidance Software 101” que estará diseñada para entregar una vista general sobre cómo las soluciones de software empresarial de Guidance Software pueden ayudar a su organización a resolver una amplia gama de casos de uso investigativos y de auditoría de TI. Esta serie de artículos está diseñada para ofrecer una orientación sobre capacidades y casos de uso así como situarse como una referencia para profesionales de seguridad de TI, profesionales de cumplimiento de TI, investigadores internos, consejeros legales, investigadores de malware, profesionales de RR.HH. e incluso revendedores de Guidance Software. <br />
<br />
La serie será organizada de la siguiente manera:<br />
<br />
<table border="1" cellpadding="0" cellspacing="0" class="MsoTableGrid" style="border-collapse: collapse; border: none; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 0in 5.4pt 0in 5.4pt; mso-yfti-tbllook: 1184;">
<tbody>
<tr style="mso-yfti-firstrow: yes; mso-yfti-irow: 0;">
<td style="border: 1pt solid; padding: 0in 5.4pt; width: 233.7pt;" valign="top" width="312"><div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Área<o:p></o:p></span></b></span></span></div>
</td>
<td style="border: 1pt solid; padding: 0in 5.4pt; width: 233.8pt;" valign="top" width="312"><div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Artículos<o:p></o:p></span></b></span></span></div>
</td>
</tr>
<tr style="mso-yfti-irow: 1;">
<td style="border: 1pt solid; padding: 0in 5.4pt; width: 233.7pt;" valign="top" width="312"><div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Conceptos
Fundamentales<o:p></o:p></span></span></span></div>
</td>
<td style="border-color: -moz-use-text-color; border-style: none solid solid none; border-width: medium 1pt 1pt medium; padding: 0in 5.4pt; width: 233.8pt;" valign="top" width="312"><div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">#1
Comprendiendo Nuestras Ventajas<o:p></o:p></span></span></span></div>
</td>
</tr>
<tr style="mso-yfti-irow: 2;">
<td style="border: 1pt solid; padding: 0in 5.4pt; width: 233.7pt;" valign="top" width="312"><div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Las
Bases<o:p></o:p></span></span></span></div>
</td>
<td style="border-color: -moz-use-text-color; border-style: none solid solid none; border-width: medium 1pt 1pt medium; padding: 0in 5.4pt; width: 233.8pt;" valign="top" width="312"><div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-las-bases-el-arte.html" target="_blank">#2: Búsqueda de Archivos</a></b><o:p></o:p></span></span></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-las-bases-la.html" target="_blank">#3: Recolección y Preservación de Archivos</a></b><o:p></o:p></span></span></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-las-bases.html" target="_blank"><b>#4: Aplicación de una Visibilidad Forense de 360 grados en los Endpoints</b></a><o:p></o:p></span></span></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;"><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2016/05/guidance-software-101-las-bases_19.html" target="_blank"><b>#5: Respuesta a Alertas e Incidentes</b></a><o:p></o:p></span></span></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">#6:
Comprendiendo el Sistema de Componentes de Guidance Software <o:p></o:p></span></span></span></div>
</td>
</tr>
<tr style="mso-yfti-irow: 3; mso-yfti-lastrow: yes;">
<td style="border: 1pt solid; padding: 0in 5.4pt; width: 233.7pt;" valign="top" width="312"><div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Capacidades
de Software Específicas y Casos de Uso<o:p></o:p></span></span></span></div>
</td>
<td style="border-color: -moz-use-text-color; border-style: none solid solid none; border-width: medium 1pt 1pt medium; padding: 0in 5.4pt; width: 233.8pt;" valign="top" width="312"><div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">#6-#101
Tópicos específicos<o:p></o:p></span></span></span></div>
</td>
</tr>
</tbody></table>
<br />
Sin más, empecemos comprendiendo los conceptos fundamentales que están por detrás de las soluciones de Guidance Software.<br />
<a name='more'></a><br />
Primero, necesitamos entender que existen al menos cuatro grupos involucrados en cualquier auditoría o investigación interna.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-EF8J372x8Rc/VznaYjiWmzI/AAAAAAAAAXk/G39ilTwswooCGWt927I6ZJ8DBUxcrCqZwCLcB/s1600/Slide1.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="380" src="https://1.bp.blogspot.com/-EF8J372x8Rc/VznaYjiWmzI/AAAAAAAAAXk/G39ilTwswooCGWt927I6ZJ8DBUxcrCqZwCLcB/s640/Slide1.PNG" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<b>1) Administradores de TI: </b>estos equipos manejan la infraestructura y los registros (logging) de los sistemas usados o subcontratados por la organización. <br />
<br />
<b>2) Investigadores o Auditores:</b> estos son los equipos que detectan, encuentran y/o analizan la evidencia de problemas de cumplimiento de TI, uso indebido de computadoras, ataques de malware o violaciones de políticas de RR.HH. que involucren recursos de TI. Estos pueden ser equipos con roles proactivos que involucren monitoreo o roles reactivos como respuesta a alertas de seguridad o acusaciones.<br />
<br />
<b>3) Personal Legal: </b>estos equipos incluyen el Departamento Jurídico, RR.HH. y el personal encargado del cumplimiento. Tienen la responsabilidad de imponer los estándares de políticas y tomar decisiones relacionadas a la evidencia que rodea a un caso. <br />
<br />
<b>4) Usuarios: </b>El conjunto de personas autorizadas o de cuentas de servicios que cuentan individualmente con un conjunto de privilegios propios. <br />
<br />
Por último, la evidencia digital (o partir de ahora, simplemente “evidencia”) es todo artefacto detectable creado por actividades fuera de norma y generado por un usuario en los sistemas de la organización. Estos podrían ser archivos o procesos creados por archivos de malware, documentos confidenciales guardados en sistemas no autorizados, conexiones de red no autorizadas hacia alguna máquina, claves de registro desconocidas, código malicioso residiendo dentro de un archivo, texto en comunicaciones, acceso a máquinas por usuarios no autorizados, privilegios de usuario no autorizados o un sinnúmero de otros tipos de artefactos. <br />
<br />
En resumen, los investigadores/auditores son los que intentan identificar artefactos no autorizados en los sistemas de TI organizacionales, analizan esos artefactos y toman acciones para preservarlos y eliminarlos, además de, cuando sea posible, tomar acciones necesarias contra cualquier usuario responsable por esos artefactos. La evidencia y su intacta manutención son una parte central de la habilidad que las organizaciones tienen para poder responder de forma significativa ante incidentes. Las herramientas que los investigadores quieren necesitan una interfaz sencilla que ofrezca visualizaciones forenses que rápidamente expongan anomalías escondidas dentro de centenas o miles de endpoints y que además muestren todas las actividades de esos sistemas sin la necesidad de un investigador forense. <br />
<br />
Las herramientas disponibles para encontrar evidencia dentro de una organización se presentan en dos lugares:<br />
<br />
<table border="1" cellpadding="0" cellspacing="0" class="MsoTableGrid" style="border-collapse: collapse; border: none; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 0in 5.4pt 0in 5.4pt; mso-yfti-tbllook: 1184;">
<tbody>
<tr style="mso-yfti-firstrow: yes; mso-yfti-irow: 0;">
<td style="border: 1pt solid; padding: 0in 5.4pt; width: 159.6pt;" valign="top" width="213"><div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<br /></div>
</td>
<td style="border: 1pt solid; padding: 0in 5.4pt; width: 159.6pt;" valign="top" width="213"><div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Perímetro<o:p></o:p></span></b></span></span></div>
</td>
<td style="border: 1pt solid; padding: 0in 5.4pt; width: 159.6pt;" valign="top" width="213"><div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Endpoint<o:p></o:p></span></b></span></span></div>
</td>
</tr>
<tr style="mso-yfti-irow: 1;">
<td style="border: 1pt solid; padding: 0in 5.4pt; width: 159.6pt;" valign="top" width="213"><div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Búsqueda rápida<o:p></o:p></span></b></span></span></div>
</td>
<td style="border-color: -moz-use-text-color; border-style: none solid solid none; border-width: medium 1pt 1pt medium; padding: 0in 5.4pt; width: 159.6pt;" valign="top" width="213"><div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Producir
alertas<o:p></o:p></span></span></span></div>
</td>
<td style="border-color: -moz-use-text-color; border-style: none solid solid none; border-width: medium 1pt 1pt medium; padding: 0in 5.4pt; width: 159.6pt;" valign="top" width="213"><div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Analizar
<span class="SpellE">logs</span> (registros)<o:p></o:p></span></span></span></div>
</td>
</tr>
<tr style="mso-yfti-irow: 2;">
<td style="border: 1pt solid; padding: 0in 5.4pt; width: 159.6pt;" valign="top" width="213"><div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><b style="mso-bidi-font-weight: normal;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Búsqueda profunda<o:p></o:p></span></b></span></span></div>
</td>
<td style="border-color: -moz-use-text-color; border-style: none solid solid none; border-width: medium 1pt 1pt medium; padding: 0in 5.4pt; width: 159.6pt;" valign="top" width="213"><div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Producir
reportes<o:p></o:p></span></span></span></div>
</td>
<td style="border-color: -moz-use-text-color; border-style: none solid solid none; border-width: medium 1pt 1pt medium; padding: 0in 5.4pt; width: 159.6pt;" valign="top" width="213"><div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><span style="font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Analizar
todos los archivos sin preocuparse por la contaminación de la evidencia <o:p></o:p></span></span></span></div>
</td>
</tr>
<tr style="mso-yfti-irow: 3; mso-yfti-lastrow: yes;">
<td style="background: rgb(213, 220, 228) none repeat scroll 0% 0%; border: 1pt solid; padding: 0in 5.4pt; width: 159.6pt;" valign="top" width="213"><div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><b style="mso-bidi-font-weight: normal;"><span style="color: #c55a11; font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Nuestro enfoque en Guidance<o:p></o:p></span></b></span></span></div>
</td>
<td style="background: rgb(213, 220, 228) none repeat scroll 0% 0%; border-color: -moz-use-text-color; border-style: none solid solid none; border-width: medium 1pt 1pt medium; padding: 0in 5.4pt; width: 159.6pt;" valign="top" width="213"><div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><span style="color: #c55a11; font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Validar alertas de
otras herramientas de seguridad mediante visibilidad forense dentro de los
endpoints<o:p></o:p></span></span></span></div>
</td>
<td style="background: rgb(213, 220, 228) none repeat scroll 0% 0%; border-color: -moz-use-text-color; border-style: none solid solid none; border-width: medium 1pt 1pt medium; padding: 0in 5.4pt; width: 159.6pt;" valign="top" width="213"><div class="MsoNormal" style="line-height: normal; margin-bottom: 0in;">
<span style="font-size: small;"><span style="font-family: inherit;"><span style="color: #c55a11; font-family: "open sans" , "sans-serif"; font-size: 11.5pt;">Analizar con rigor
forense todos los archivos y datos de una máquina sin modificar la evidencia
potencial<o:p></o:p></span></span></span></div>
</td>
</tr>
</tbody></table>
<br />
¿Por qué Guidance Software no se enfoca en alertas rápidas sino más en un análisis profundo? Obviamente, porque usted no confiaría en un doctor que le diagnostique algo grave en pocos segundos, por tanto, comúnmente se requiere un análisis profundo a los problemas. <br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://4.bp.blogspot.com/-pzRkb-De3Vg/VznaeaulLDI/AAAAAAAAAXo/RideSKUSo2MfQRiXDEAOkEDLIT7YCzPlwCLcB/s1600/Slide2.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="444" src="https://4.bp.blogspot.com/-pzRkb-De3Vg/VznaeaulLDI/AAAAAAAAAXo/RideSKUSo2MfQRiXDEAOkEDLIT7YCzPlwCLcB/s640/Slide2.PNG" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
El enfoque más común al tratar de encontrar, analizar y reportar evidencia de forma profunda se basa en el uso de herramientas de TI que originalmente fueron creadas como herramientas para administración de los sistemas. Aquí puede surgir un problema, porque el método de inspección profunda de estas herramientas puede ocasionar cambios en la evidencia original o en los metadatos que rodean a un archivo. Por ejemplo, si una herramienta de administración de sistemas de TI altera la fecha u hora en la que un archivo fue modificado o abierto por última vez, ¿cómo puede el equipo legal probar que un incidente fue ocasionado por un usuario en un momento en particular? Preservar evidencia contaminada se convierte en un proceso comprometido desde su origen. Adicionalmente, la organización necesitará formar una opinión sobre si estos enfoques cumplen con cualquier regulación nacional o con cualquier normativa de protección y/o privacidad de datos que sea aplicable. Además, una remediación real donde el archivo (y el proceso) es removido de forma forense de un sistema después de su preservación no es algo que esté disponible a toda organización. <br />
<span id="goog_1498170163"></span><span id="goog_1498170164"></span><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://3.bp.blogspot.com/-u8EW6llCEnY/VznajxNwK8I/AAAAAAAAAXs/rDkEnpxLEi8PsihP5aunfF5hCxD_y3HyACLcB/s1600/Slide3.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="458" src="https://3.bp.blogspot.com/-u8EW6llCEnY/VznajxNwK8I/AAAAAAAAAXs/rDkEnpxLEi8PsihP5aunfF5hCxD_y3HyACLcB/s640/Slide3.PNG" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
El enfoque de Guidance Software inicia desde la perspectiva de los investigadores y equipos legales. Tenemos años de experiencia en encontrar y preservar evidencia para presentarla ante tribunales mediante recursos de nuestros varios productos. Gracias a nuestras experiencias con productos diseñados para investigadores y abogados, Guidance Software entiende y hace provecho de una recolección y preservación de evidencia a un nivel poco alcanzado en la industria. Adicionalmente, con las soluciones de Guidance los archivos, claves de registro y procesos pueden ser remediados de una forma verdaderamente remota. El resultado es que la investigación de un incidente y la identificación de artefactos relacionados a ese incidente se convierten en elementos accionables para su departamento legal, equipo de cumplimiento o para RR.HH., sin importar si el estándar de evidencia es para un caso criminal o para determinar si una política interna fue incumplida. Nuestro nivel de visibilidad dentro de los sistemas, recursos de red y en la nube no tienen par. <br />
<br />
En Guidance Software, nosotros nos enfocamos en lo que hacemos mejor que nadie, ofreciendo una poderosa detección y respuesta en endpoints para organizaciones. Los productos de Guidance Software pueden ser usados por organizaciones como una solución autónoma o pueden ser integrados con otras herramientas de seguridad de TI para ayudar a que las organizaciones consigan un mayor aprovechamiento de sus herramientas actuales al validar automáticamente los miles de alertas que estas herramientas generan y que comúnmente son falsos positivos. Cubriremos este tema a mayor detalle en futuros artículos. Guidance Software también se ha comprometido a ser compatible con una selección de herramientas Open Source cuando esas herramientas pueden proveer las soluciones correctas para los auditores o investigadores. <br />
<br />
En nuestro siguiente artículo empezaremos a cubrir las bases de las soluciones de Guidance Software. Ahora que usted entiende los fundamentos de Guidance Software, espero que siga leyendo para ver cómo podemos ayudarlo con auditorías proactivas e investigaciones reactivas. <br />
<br />
Tony Grey<br />
Guidance Software<br />
Latinoamérica<br />
<br />
Para obtener mayor información sobre los productos de Guidance Software, contacte nuestros revendedores locales o escríbanos a <a href="mailto:sales-latam@guidancesoftware.com"><b>sales-latam@guidancesoftware.com</b></a>.<br />
<br />
<br />
<b>TEMAS RELACIONADOS</b><br />
<b> </b><br />
<b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/12/encase-endpoint-security-510-guidance.html">EnCase Endpoint Security 5.10: Guidance Software acelera y sintetiza la respuesta a incidentes</a><br /> <span id="goog_1498170176"></span><br /><a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank">Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</a><span id="goog_1498170177"></span><br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/09/sc-magazine-califica-con-5-estrellas.html">SC Magazine califica con 5 estrellas a EnCase® Endpoint Security</a><br /><span id="goog_1498170185"></span><br /><a href="http://www.facebook.com/encaseenespanol" target="_blank">Dé un "Me Gusta" a Nuestra Página en Facebook</a></b><br />
<b> <span id="goog_1498170186"></span></b>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-80023506301112806322015-12-23T12:31:00.000-08:002015-12-23T15:06:43.662-08:00Guidance Software les desea felice fiestas y un próspero 2016<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-XylR-eA5C_w/VnsfpAwnn1I/AAAAAAAAAVM/8822yA1PNI0/s1600/guidance_color_rgb.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="173" src="http://4.bp.blogspot.com/-XylR-eA5C_w/VnsfpAwnn1I/AAAAAAAAAVM/8822yA1PNI0/s400/guidance_color_rgb.png" width="400" /></a></div>
Desde Guidance Software les hacemos extensivo nuestros saludos y queremos compartir con ustedes unos minutos antes de que se reúnan en sus hogares a festejar las fiestas de fin de año. Importante celebración que a pesar de que se realiza sólo una vez por año, contiene los sentimientos más maravillosos de amor, paz y esperanza, mismos que anhelamos inunde sus corazones y los nuestros para que estén presentes por siempre en el desarrollo de nuestra existencia. No hay nada más valioso que compartir una fiesta como ésta con los seres que más amamos en la vida.<br />
<br />
En estas fiestas, es nuestro deseo recordarles a cada uno de ustedes lo importante que son para nosotros, pues es su empuje y apoyo lo que nos hace una empresa exitosa, sólida y agradecida. Creemos firmemente que somos un equipo unido que está saliendo adelante con esfuerzo, y que no solo tenemos una relación empresarial con ustedes, sino que también formamos una gran familia, lo cual nos compromete a velar aún más por su seguridad y bienestar, así como el fortalecer nuestros lazos. <br />
<br />
Hoy, queremos desearles a todos nuestros colaboradores que tengan una feliz Noche Buena y que en este Nuevo Año que comienza sean colmados de bendiciones para que puedan disfrutar todos los días junto a los que están a su lado de paz, salud, amor y prosperidad. <br />
<br />
Que esta esta fiestas sean especiales para todos ustedes. Nuestro deseo es que sepan aprovechar esta fecha para compartir sus más hermosos sentimientos con sus familias, así también que puedan abrirle su corazón para que nazca el amor y el Espíritu de la Navidad en sus corazones.<br />
<br />
¡Guidance Software les desea felices fiestas y un próspero 2016!<br />
<a name='more'></a><br />
<br />
<b>TEMAS RELACIONADOS</b><br />
<br />
<b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/12/encase-endpoint-security-510-guidance.html">EnCase Endpoint Security 5.10: Guidance Software acelera y sintetiza la respuesta a incidentes</a></b><br />
<b> </b><b><b><br /><a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank">Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</a></b></b><br />
<b><b> </b> </b><br />
<b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/09/sc-magazine-califica-con-5-estrellas.html">SC Magazine califica con 5 estrellas a EnCase® Endpoint Security</a><br /><br /><a href="http://www.facebook.com/encaseenespanol" target="_blank">Dé un "Me Gusta" a Nuestra Página en Facebook </a></b><br />
<br />Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-85633914591716176532015-12-21T12:29:00.000-08:002015-12-22T18:20:21.384-08:00EnCase Endpoint Security 5.10: Guidance Software acelera y sintetiza la respuesta a incidentes<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-yV1HYkIpHwI/VnhgGO9WAbI/AAAAAAAAAUk/F9jpuUZY3AY/s1600/guidance_color_rgb.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="173" src="http://1.bp.blogspot.com/-yV1HYkIpHwI/VnhgGO9WAbI/AAAAAAAAAUk/F9jpuUZY3AY/s400/guidance_color_rgb.png" width="400" /></a></div>
<b>EnCase® Endpoint Security ahora soporta indicadores de compromisos y se integra con Splunk y Lasttline</b><br />
<br />
Guidance Software ha anunciado el lanzamiento de EnCase® Endpoint Security versión 5.10. Reconocidos como líderes en el mercado de detección y respuesta en endpoints de los analistas de la industria, hemos centrado esta versión sobre la reducción del tiempo requerido de los equipos de seguridad para la clasificación y validación de alertas provenientes de un creciente número de herramientas internas y de fuentes externas de inteligencia de amenazas. <br />
<a name='more'></a><br />
“Los equipos de respuesta a incidentes necesitan estándares abiertos e integraciones como estas para traer el mayor rendimiento a sus trabajos diarios” dijo Doug Cahilll, analista senior que cubre seguridad cibernética para ESG. “La habilitación de indicadores de compromiso (IOC) en un formato estandarizado y procesable es un gran paso en la dirección correcta que ayudará a promover no sólo la funcionalidad de detección y respuesta en endpoints, sino también el compromiso de la compañía con los estándares abiertos".<br />
<br />
En la versión 5.10, EnCase® Endpoint Security se concentra en sintetizar el flujo de trabajo de los equipos de seguridad con: <br />
<br />
• Soporte para la búsqueda de indicadores de compromiso de reglas YARA, permitiendo a los equipos buscar IOC conocidos e identificar amenazas validadas por fuentes internas o externas de la industria<br />
<br />
• Integración con Splunk Enterprise para recolectar y presentar automáticamente telemetría confiable de los endpoints al generarse una alerta de seguridad, asegurando decisiones más rápidas y una dramática reducción de falsos positivos para los equipos de seguridad<br />
<br />
• Comprobación de reputación de archivos desde Lastline, permitiendo a los analistas de seguridad validar artefactos de amenaza de archivos sospechosos directamente dentro de EnCase, acelerando el proceso de decisión<br />
<br />
• El Toolkit Integrado para Amenazas EnCase (EITT), que facilita el acceso a 15 herramientas open-source críticas e integra funcionalidad adicional para agentes de respuesta a incidentes<br />
<br />
• La remediación completa de la amenaza, incluyendo archivos maliciosos, derivados y mecanismos de persistencia, previniendo a la re-exposición al mismo malware <br />
<br />
“Los equipos de seguridad no pueden tolerar la ineficiencia en sus actividades diarias. Hemos trabajado para resolver esto mediante el aumento de la interoperabilidad entre las herramientas que ellos utilizan con más frecuencia y ofreciendo acceso rápido a datos confiables de los endpoints ", dijo Roger Angarita, director de gestión de productos de Guidance Software. "Nuestros clientes exigen una continua innovación que cumpla con ellos justo donde viven y trabajan".<br />
<br />
EnCase Endpoint Security, versión 5.10 está disponible a través de distribuidores autorizados de Guidance Software. Para obtener más información sobre precios, paquetes y actualizaciones, póngase en contacto con <a href="mailto:sales-latam@guidancesoftware.com">sales-latam@guidancesoftware.com</a><b><a href="mailto:sales-latam@guidancesoftware.com" target="_blank">.</a></b><br />
<br />
<b><br />ARTICULOS RELACIONADOS</b><br />
<span id="goog_1966629816"></span><br />
<b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/09/sc-magazine-califica-con-5-estrellas.html">SC Magazine califica con 5 estrellas a EnCase® Endpoint Security</a></b><br />
<b><br /><a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank">Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</a><br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/01/guidance-software-reconocida-por.html">Guidance Software reconocida por Gartner como líder del mercado de herramientas de detección y respuesta en dispositivos</a></b><br />
<b><br /><a href="http://www.facebook.com/encaseenespanol" target="_blank">Dé un "Me Gusta" a Nuestra Página en Facebook</a></b><br />
<br />Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-11001462032977671942015-10-21T17:50:00.000-07:002015-10-21T17:50:08.835-07:00CELAES 2015 fue todo un éxito<br />Guidance Software fue parte del XXX Congreso Latinoamericano de Seguridad Bancaria (CELAES 2015), evento realizado por la FELABAN (Federación Latinoamericana de Bancos) y por la ABP (Asociación Bancaria de Panamá) que se realizó en la ciudad de Panamá. Estuvimos presentes mostrando los beneficios de EnCase para las instituciones bancarias en este evento que reunió a más de 200 instituciones financieras de la región y a cerca de 50 empresas internacionales.<br />
<a name='more'></a><br />Durante CELAES 2015 fue evidente la necesidad de estar siempre actualizados en el área de seguridad electrónica e informática, y a través de las diferentes conferencias y los expositores, los prospectos tuvieron la oportunidad de conocer las nuevas tendencias de seguridad mediante casos de estudio y debates de expertos.<br />
<br />
Guidance Software se centró en mostrar la facilidad de uso y los beneficios de la implementación de EnCase Endpoint Security, dados los múltiples beneficios que este software presenta para minimizar las dificultades presentadas para mantener la seguridad de los datos de las organizaciones, como el mantenimiento de la privacidad de los datos, cumplimiento de normas PCI, respuesta al malware, auditoría TI (actividad de cuentas de usuario, permisos de archivos sensibles, captura de datos volátiles, configuración de anti-virus y parches de sistema) e investigaciones para encontrar archivos eliminados o buscar el uso indebido de internet, entre otros. <br /><br />Si tiene alguna pregunta sobre cómo EnCase puede ayudarle en la seguridad de su organización, no dude en contactarnos mediante el correo electrónico <a href="mailto:sales-latam@guidancesoftware.com"><b>sales-latam@guidancesoftware.com</b></a><br />
<br />
<br />
<b>TEMAS RELACIONADOS </b><br />
<b><br /></b>
<b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/10/guidance-software-relanza-su.html">Guidance Software relanza su conferencia anual: CEIC ahora es Enfuse™ </a><br /><br /><a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank">Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</a><br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/09/sc-magazine-califica-con-5-estrellas.html">SC Magazine califica con 5 estrellas a EnCase® Endpoint Security</a><br /><br /><a href="http://www.facebook.com/encaseenespanol" target="_blank">Dé un "Me Gusta" a Nuestra Página en Facebook</a></b><br />
<b><br /></b>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-2765558849164950582015-10-14T14:11:00.000-07:002015-10-14T15:10:04.160-07:00Guidance Software relanza su conferencia anual: CEIC ahora es Enfuse™<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-OXT3NBF0pp4/Vh7Bk5L-h7I/AAAAAAAAAUI/Oz3rSa2I7D8/s1600/enfuse.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="183" src="http://4.bp.blogspot.com/-OXT3NBF0pp4/Vh7Bk5L-h7I/AAAAAAAAAUI/Oz3rSa2I7D8/s320/enfuse.png" width="320" /></a></div>
<br />
Guidance Software, fabricantes de EnCase®, el estándar de oro para las investigaciones digitales y seguridad de los datos de endpoints, ha anunciado que ha renombrado su conferencia anual de tecnología de CEIC a Enfuse. La Conferencia Enfuse tendrá un enfoque ampliado de seguridad de la información, gestión de riesgos y gobernanza de la información sin dejar de ofrecer excelentes oportunidades de educación y colaboración para profesionales de investigación digitales forenses.<br />
<a name='more'></a><br />
"Guidance Software se compromete a unir a nuestras comunidades de investigadores digitales y de seguridad para forjar soluciones reales a los desafíos constantemente cambiantes que se les presentan en el mundo real", dijo Michael Harris, director de marketing de Guidance Software. "Creemos firmemente que nuestra mayor oportunidad de crecimiento radica en darle a las organizaciones una seguridad más completa para datos de endpoint que cierre las brechas críticas y disminuya el riesgo cibernético”.<br />
<br />
<b>Acerca de Enfuse</b><br />
<br />
Enfuse será realizado en el Hotel Caesars Palace de Las Vegas, EE.UU. del 23 al 26 de mayo del 2016, atrayendo a cientos de ejecutivos de empresas, directores de agencias gubernamentales y la tradicional audiencia de ciberseguridad, investigadores profesionales digitales y legales de alrededor del mundo, Enfuse ofrecerá una rica agenda e itinerarios educativos, incluyendo: <br />
<br />
• Ponencias y sesiones magistrales de los ejecutivos de Guidance y de líderes de la industria<br />
• Ciberseguridad, laboratorios de detección y respuesta en endpoints <br />
• Investigaciones en dispositivos móviles y en la nube<br />
• Sesiones de liderazgo de opinión y laboratorios prácticos para practicantes de descubrimiento electrónico<br />
• Laboratorio forense digital para principiantes, intermedios y avanzados<br />
• Sala de exposiciones con los principales proveedores de soluciones para el ecosistema de la plataforma EnCase<br />
• Mesas redondas y temas de gestión ejecutiva<br />
<br />
Las anteriores conferencias patrocinadas por Guidance Software han ofrecido sesiones magistrales con grandes luminarias del campo tecnológico, líderes gubernamentales de renombre internacional y figuras culturales reconocidas mundialmente, incluyendo:<br />
<br />
• Brian Krebs, periodista de seguridad y cibercrimen y autor del best-seller “Spam Nation” <br />
• General Michael Hayden, exdirector de la Agencia de Seguridad Nacional (NSA) y exdirector de la Agencia Central de Inteligencia (CIA)<br />
• Joel Brenner, ex inspector general de la Agencia de Seguridad Nacional<br />
• Eric O'Neill, socio fundador del Grupo de Georgetown, que derribó a uno de los espías más famosos en la historia estadounidense<br />
• Jim Lovell, exastronauta y comandante de la misión Apollo 13<br />
<br />
Para obtener más información sobre la Conferencia Enfuse, visite nuestro <a href="https://www.guidancesoftware.com/Enfuse/Pages/overview.aspx" target="_blank"><b>sitio</b></a> o contáctenos mediante el correo electrónico <b><a href="mailto:sales-latam@guidancesoftware.com" target="_blank">sales-latam@guidancesoftware.com</a></b><br />
<br />
<br />
<b>TEMAS RELACIONADOS </b><br />
<br />
<b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/09/guidance-software-anuncia-su-asistencia.html">Guidance Software anuncia su asistencia al Congreso CELAES 2015 en Ciudad de Panamá</a><br /><br /><a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank">Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</a></b><br />
<b><br /><span id="goog_1998915136"></span><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/09/sc-magazine-califica-con-5-estrellas.html">SC Magazine califica con 5 estrellas a EnCase® Endpoint Security</a><span id="goog_1998915137"></span><br /><br /><a href="http://www.facebook.com/encaseenespanol" target="_blank">Dé un "Me Gusta" a Nuestra Página en Facebook</a><br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/01/guidance-software-reconocida-por.html">Guidance Software reconocida por Gartner como líder del mercado de herramientas de detección y respuesta en dispositivos</a></b>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-47501603496324181592015-09-29T07:33:00.000-07:002015-09-29T07:33:24.265-07:00Guidance Software anuncia su asistencia al Congreso CELAES 2015 en Ciudad de Panamá<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-4GkTjGJlsRc/VItSvE0cz8I/AAAAAAAAAIE/v4TbYjALITc/s1600/EnCase%2Blogo%2B-%2Bsmall.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="http://3.bp.blogspot.com/-4GkTjGJlsRc/VItSvE0cz8I/AAAAAAAAAIE/v4TbYjALITc/s1600/EnCase%2Blogo%2B-%2Bsmall.png" /></a></div>
<span id="goog_302936994"></span><span id="goog_302936995"></span>Al equipo de Guidance Software Latinoamérica le complace invitarlos a visitarnos este 15 y 16 de octubre en el 30° Congreso Latinoamericano de Seguridad Bancaria <a href="http://celaes2015.com/esp_inicio.html" target="_blank">CELAES 2015</a>, en Ciudad de Panamá, Panamá. Organizado por la FELABAN (Federación Latinoamericana de Bancos) y por la ABP (Asociación Bancaria de Panamá), este evento reunirá a más de 200 instituciones financieras de la región y a cerca de 50 empresas internacionales proveedoras; expositoras de sistemas, equipos y servicios relacionados con la seguridad en el entorno financiero.<br />
<br />
La seguridad bancaria, hasta hace poco tiempo una cuestión relacionada con el acceso y vigilancia del entorno físico, la custodia de los valores y la fidelidad del recurso humano, ha sido transformada por el desarrollo tecnológico en un complejo y sofisticado ecosistema de medios físicos, electrónicos e informáticos que operan, supervisan y controlan todos esos elementos, además de la información de los clientes y de las transacciones financieras que se efectúan cada vez más por medio de las telecomunicaciones, siempre amenazadas por los ciber-delincuentes.<br />
<a name='more'></a><br />
La actualización del conocimiento y el intercambio de experiencias sobre estos asuntos son de vital importancia y prioridad para la administración bancaria y particularmente para quienes tienen la responsabilidad de la seguridad en sus instituciones.<br />
<br />
Por este motivo, además de la grande importancia de estos temas, FELABAN tomó la iniciativa de organizar una conferencia anual de seguridad bancaria, con el fin de enfrentar las situaciones que ponen en riesgo todo el sistema bancario, identificar las amenazas y la vulnerabilidad de los recursos y resolver los problemas que afectan a las instituciones financieras. <br />
<br />
CELAES 2015 es un congreso en el que se encontrarán líderes de la industria que explicarán cómo se puede aplicar la innovación y las nuevas tendencias de seguridad mediante casos de estudio y debates de expertos. <br />
<br />
Guidance Software se enfocará en métodos que las organizaciones bancarias pueden emplear con la ayuda de las soluciones EnCase para minimizar las dificultades presentadas para mantener la seguridad de los datos de las organizaciones, como el mantenimiento de la privacidad de los datos, cumplimiento de normas PCI, respuestas al malware, auditoría TI (actividad de cuentas de usuario, permisos de archivos sensibles, captura de datos volátiles, configuración de anti-virus y parches de sistema) e investigaciones para encontrar archivos eliminados o buscar el uso indebido de internet, entre otros.<br />
<br />
Si desea agendar una reunión con nuestro equipo o desea mayor información sobre nuestros productos, contáctenos en la dirección <b><a href="mailto:sales-latam@guidancesoftware.com">sales-latam@guidancesoftware.com</a></b> o simplemente visítenos directamente en nuestro stand. ¡Los esperamos!<br />
<br />
<br />
<b>TEMAS RELACIONADOS</b><br />
<br />
<b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/09/sc-magazine-califica-con-5-estrellas.html">SC Magazine califica con 5 estrellas a EnCase® Endpoint Security</a><br /><br /><a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank">Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</a><br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/01/guidance-software-reconocida-por.html">Guidance Software reconocida por Gartner como líder del mercado de herramientas de detección y respuesta en dispositivos</a><br /><br /><a href="http://www.facebook.com/encaseenespanol" target="_blank">Dé un "Me Gusta" a Nuestra Página en Facebook</a><br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/05/guidance-software-anuncia-el.html">Guidance Software anuncia el lanzamiento de EnCase Endpoint Security</a></b>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-52075218704466375372015-09-17T10:47:00.000-07:002015-09-28T13:42:04.708-07:00SC Magazine califica con 5 estrellas a EnCase® Endpoint Security<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-TTJCkoUq-bk/VgmU63U2vRI/AAAAAAAAATg/UECAIHN7Gls/s1600/Endpoint%2BSecurity%2BSC%2BMag%2B5%2Bstar.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://4.bp.blogspot.com/-TTJCkoUq-bk/VgmU63U2vRI/AAAAAAAAATg/UECAIHN7Gls/s1600/Endpoint%2BSecurity%2BSC%2BMag%2B5%2Bstar.png" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
Nos complace anunciar que nuestro producto EnCase® Endpoint Security ha recibido la calificación de cinco estrellas en la reseña de productos de seguridad de endpoints de la edición actual de <a href="http://goo.gl/dUIfEk" target="_blank">SC Magazine</a>. Los que trabajamos en seguridad hace algunos años sabemos que la "seguridad de endpoints" ya no significa un antivirus, y esto ha tomado un poco de tiempo para ser aceptado unánimemente. Creemos que esta reseña valida la necesidad de la detección y la respuesta en endpoints para ayudar a las herramientas perimetrales, de red y de logs; y además, creemos que esto será punto de inflexión en el concepto general de seguridad.<br />
<a name='more'></a><br />
Usted puede <a href="http://goo.gl/dUIfEk" target="_blank">leer el artículo completo aquí</a>, pero a continuación muestro algunos de sus aspectos más destacados:<br />
<br />
• “Un enfoque forense único para la seguridad en endpoints - especialmente efectivo durante la investigación de un incidente.”<br />
<br />
• “Si en su empresa ya se usa EnCase, no dude en agregar esta solución a su caja de herramientas. Si no, al menos véala de cerca. Puede decirle cosas sobre un ataque que nada más puede.”<br />
<br />
• “Todo se basa en las observaciones de un agente a nivel de kernel instalado en el endpoint. Esto evita que un atacante o malware escondan sus actividades.”<br />
<br />
• “EnCase Endpoint Security se integra muy bien con otras soluciones. Por ejemplo, puede intercambiar información con organizaciones como Splunk, QRadar, FireEye, Palo Alto, Intel Security, Sourcefire y Cisco ThreatGrid. Los agentes pueden ser administrados usando McAfee ePolicy Orchestrator de Intel Security.”<br />
<br />
Nuestro enfoque hacia la seguridad de endpoints se centra en construir sobre la base que los equipos de seguridad tienen actualmente, mejorando la productividad de las personas, procesos y tecnologías donde más importan: durante la detección y la respuesta a amenazas organizacionales.<br />
<br />
Cuando se utiliza junto a nuestro Marco de Seguridad Inverso: del Interior al Exterior de su Organización, EnCase Endpoint Security puede ayudarle a alejarse de una estrategia de defensa tradicional pasiva que se apoya principalmente en escenarios de alerta, monitoreo y bloqueo para "proteger" a su red, y a acercarse hacia una estrategia de defensa activa. Una estrategia de defensa activa permite que los equipos de seguridad entiendan las fortalezas, debilidades y el uso de sus redes, para luego defenderlas desde una posición colmada de perspectivas y conocimientos. <br />
<br />
Si desea mayor información sobre EnCase Endpoint Security o cualquier otro producto de Guidance Software, no dude en contactarnos mediante el correo electrónico <b><a href="mailto:sales-latam@guidancesoftware.com">sales-latam@guidancesoftware.com</a></b><br />
<br />
<br />
<b>TEMAS RELACIONADOS</b><br />
<br />
<b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/01/guidance-software-reconocida-por.html">Guidance Software reconocida por Gartner como líder del mercado de herramientas de detección y respuesta en dispositivos</a><br /><br /><a href="http://www.facebook.com/encaseenespanol" target="_blank">Dé un "Me Gusta" a Nuestra Página en Facebook</a><br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/05/guidance-software-anuncia-el.html">Guidance Software anuncia el lanzamiento de EnCase Endpoint Security</a><br /><br /><a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank">Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</a></b>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-52379484935479029472015-08-26T06:57:00.000-07:002015-08-27T11:36:41.998-07:00La recuperación de contraseñas puede ser práctica <i>por Ken Mizota</i><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-EIhMILwPYtU/Vd28ghZR6kI/AAAAAAAAAQM/CJ2d1ggLtFw/s1600/EnCase%2Band%2BTableau%2Blogos.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://4.bp.blogspot.com/-EIhMILwPYtU/Vd28ghZR6kI/AAAAAAAAAQM/CJ2d1ggLtFw/s1600/EnCase%2Band%2BTableau%2Blogos.png" /></a></div>
<br />
El departamento de Tableau de Guidance Software recientemente lanzó Tableau™ Password Recovery, una solución de hardware y software para acelerar los ataques a contraseñas de archivos protegidos, discos y otros contenedores. <br />
<br />
Siempre es divertido jugar con nuevos “juguetes”. Cuando el nuevo juguete es un gigante construido especialmente para romper contraseñas y escalable linealmente, ¿cómo podríamos jugar sin compartirlo? Investigué un poco durante la ejecución de una configuración de Tableau Password Recovery con dos servidores para pruebas en nuestros laboratorios aquí en Pasadena, California, y aunque he encontrado muchas buenas herramientas y tutoriales para el descifrado de contraseñas, hallé difícil diferenciar lo teóricamente posible de lo realmente práctico. Aquí, presento algunas ideas formuladas durante este proceso.<br />
<a name='more'></a><br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<b>La protección de datos existe desde la antigüedad</b><br />
<br />
Cada paso dado en la tecnología de la comunicación ha ido acompañado de una tecnología correspondiente para proteger la idea transmitida. Los antiguos griegos utilizaron la escítala, una vara de madera envuelta con una tira de pergamino, para proteger los mensajes en el campo de batalla. Aparentemente, los criptoanalistas de esa era tuvieron que ser moderadamente talentosos en la carpintería. <br />
<span id="goog_2138941829"></span><span id="goog_2138941830"></span><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-fl5c65-AOjg/Vd3A06gmOqI/AAAAAAAAAQc/iVzO3feRhxw/s1600/escitala.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="183" src="http://1.bp.blogspot.com/-fl5c65-AOjg/Vd3A06gmOqI/AAAAAAAAAQc/iVzO3feRhxw/s320/escitala.jpg" width="320" /></a></div>
S<span id="goog_2138941835"></span><span id="goog_2138941836"></span>i bien la protección de datos es antigua, nuestras herramientas no tienen que serlo. La criptografía moderna y el criptoanálisis no son el área de carpinteros, sino más bien de matemáticos y estadísticos. Actualmente, uno no puede lanzar una escítala al aire sin que esta le pegue a datos protegidos, y cada vez más protegidos por una robusta criptografía: requiriendo una mayor cantidad de cálculos de lo que la mayoría de las computadoras pueden tratar con eficacia. El campo del problema es enorme, por lo que es costoso de resolver en términos de cálculos y duración. La buena noticia es que sabemos cuáles son esos cálculos, y existen técnicas establecidas que podemos utilizar.<br />
<br />
En la práctica, el problema se descompone en unas pocas piezas:<br />
<br />
1. ¿Cómo detectar datos protegidos? <br />
2. ¿Cómo exponer contenidos protegidos para la revisión humana?<br />
3. ¿Cómo escalar y gestionar con eficacia? <br />
<br />
<b>Cifrado de discos y archivos</b><br />
<br />
El cifrado completo de discos es muy común, y en muchas organizaciones son la regla, y no la excepción. Sabemos que detectar el cifrado completo del disco es útil para los investigadores, porque uno de los artículos más populares de los blogs de Guidance Software es el artículo <a href="http://encase-forensic-blog.guidancesoftware.com/2014/04/version-7-tech-tip-spotting-full-disk.html" target="_blank"><i>Spotting Full Disk Encryption</i></a> de Graham Jenkins. Graham señala cómo EnCase proporciona visibilidad hacia los datos cifrados en sí, lo que puede informar a los investigadores de los próximos pasos apropiados. EnCase también determina el proveedor del cifrado y pide las credenciales necesarias. La fotografía de abajo se muestra cuando intento previsualizar la unidad encriptada de mi propio disco. <br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-51jyE77Ez6E/Vd3B5OSfW-I/AAAAAAAAAQk/9oD6LMJljog/s1600/midisco.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="http://4.bp.blogspot.com/-51jyE77Ez6E/Vd3B5OSfW-I/AAAAAAAAAQk/9oD6LMJljog/s1600/midisco.png" /></a></div>
Nuestro equipo trabaja con las principales soluciones de cifrado de disco, como: Check Point Full Disk Encryption, Credant Mobile Guardian y Dell Data Protection, GuardianEdge, McAfee Endpoint Encryption, Microsoft BitLocker, Sophos SafeGuard, Symantec PGP, Symantec Endpoint Encryption y WinMagic SecureDoc. Esto es posible gracias a la colaboración directa con cada proveedor de cifrado, y este esfuerzo realmente vale la pena.<br />
<br />
<b>¿Con qué estamos lidiando? Detectando archivos protegidos </b><br />
<br />
Obtener acceso al volumen en sí solo es el primer paso. En EnCase, usamos el análisis de firmas de archivos para examinar las extensiones de archivo, encabezados y pies de archivo para determinar si su aparición en el sistema de archivos es consistente con los datos que realmente representan.<br />
<br />
Digamos que tenemos una planilla de Excel 2010 protegida por contraseña. La planilla sigue siendo reconocible por el análisis de firmas como una planilla de Excel, pero si trata de abrir el archivo, éste le pedirá una contraseña. Si examina el contenido de la planilla en la visualización hexadecimal o textual de EnCase, vería datos aparentemente sin sentido.<br />
<span id="goog_2138941856"></span><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-PR0o17KXDvw/Vd3CRac587I/AAAAAAAAAQw/bSwbdAQfPoc/s1600/xls%2Bcifrado.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="356" src="http://2.bp.blogspot.com/-PR0o17KXDvw/Vd3CRac587I/AAAAAAAAAQw/bSwbdAQfPoc/s640/xls%2Bcifrado.png" width="640" /></a></div>
<br />
¿Pero estará este archivo realmente protegido? Si es así, ¿cómo está protegido? Podemos responder a esto ejecutando el Análisis de Archivos Protegidos (Protected File Analysis) en EnCase Processor. EnCase utiliza el Passware Encryption Analyzer para identificar los archivos cifrados y protegidos por contraseña. El análisis de archivos protegidos está disponible en todas las ediciones EnCase, incluyendo EnCase® eDiscovery, donde los archivos protegidos son identificados automáticamente como excepciones durante el procesamiento.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-WzN7QU-MjP8/Vd3CxLE6ktI/AAAAAAAAAQ4/F9BJvtOjjHM/s1600/archivos%2Bprot.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://4.bp.blogspot.com/-WzN7QU-MjP8/Vd3CxLE6ktI/AAAAAAAAAQ4/F9BJvtOjjHM/s1600/archivos%2Bprot.png" /></a></div>
<br />
Después del análisis de archivos protegidos, podemos ver cuáles archivos están protegidos y también ver qué método de recuperación de contraseña es requerido para desbloquear sus contenidos.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-r7RqmfOQglY/Vd3C_0_eotI/AAAAAAAAARA/53kqnWnWKgc/s1600/pfaresultados.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="176" src="http://1.bp.blogspot.com/-r7RqmfOQglY/Vd3C_0_eotI/AAAAAAAAARA/53kqnWnWKgc/s640/pfaresultados.png" width="640" /></a></div>
<br />
Incluso solo estos dos datos son suficientes para informarnos de los próximos pasos de nuestro caso.<br />
<br />
<b>Mirando al interior: usando Passware con EnCase</b><br />
<br />
Ahora que hemos identificado al archivo como protegido y sabemos específicamente como está protegido, ¡lo único que tenemos que hacer es abrirlo! Desafortunadamente, aquí es donde aparece el tema de que requiere “una mayor cantidad de cálculos de lo que la mayoría de las computadoras pueden tratar con eficacia.” Afortunadamente, tenemos algunas opciones al alcance de la mano. <br />
<br />
Podemos descifrar el archivo directamente con Passware Kit Forensic. Passware Kit Forensic es una de las herramientas de recuperación de contraseñas más completa, mejor mantenida y con mayor apoyo disponibles comercialmente. Si usted tiene Passware Kit Forensic instalado en su estación de trabajo, puede exportar el archivo desde EnCase o añadir a Passware como un visor de archivos para accederlo eficientemente simplemente con un clic derecho.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-Um044mVAcw0/Vd3DZMtprlI/AAAAAAAAARI/S9sbiwpAxWs/s1600/abrircon.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://2.bp.blogspot.com/-Um044mVAcw0/Vd3DZMtprlI/AAAAAAAAARI/S9sbiwpAxWs/s1600/abrircon.png" /></a></div>
<br />
Passware Kit Forensic proporciona capacidades de descifrado para más de 200 tipos de archivos e implementa una amplia gama de ataques, desde el descifrado instantáneo hasta la fuerza bruta. No voy a dar una presentación completa de Passware Kit Forensic, así que échale un vistazo a la página de Passware para obtener mayor información.<br />
<br />
Un enfoque que vale la pena mencionar es el ataque de diccionario. Los ataques de diccionario son una solución relativamente inteligente para un problema extenso: Si estamos tratando todas las potenciales permutaciones de una contraseña, ¿dónde empezamos? Convenientemente, los humanos pensamos y nos comunicamos mediante palabras, por lo que las palabras son un punto de inicio sensato a la hora de buscar las claves de descifrado o las contraseñas utilizadas por los seres humanos. Los ataques de diccionario utilizan listas de palabras como insumos para determinar una clave de descifrado. <br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-lKCDr1wBVmg/Vd3DsSGHsyI/AAAAAAAAARQ/QasbeVHHaro/s1600/passwareexportar.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="http://3.bp.blogspot.com/-lKCDr1wBVmg/Vd3DsSGHsyI/AAAAAAAAARQ/QasbeVHHaro/s1600/passwareexportar.png" /></a></div>
Si un conjunto general de palabras son un buen punto de inicio, entonces ¿no serían mucho mejores las palabras encontradas dentro de un conjunto de datos específico? ¿No serían también las contraseñas que se encuentran dentro de un caso, las extraídas de Windows o de llaveros de OS X un buen punto de inicio? <br />
<br />
Después de procesar e indexar la evidencia de un caso, EnCase permite la exportación de las palabras descubiertas en el caso para usarlas en los ataques de diccionario de Passware Kit Forensic. Es aconsejable comenzar con un buen diccionario siempre que sea posible, y Passware Kit Forensic asegura que el diccionario informe el plan de ejecución del ataque.<br />
<b><br /> </b><br />
<br />
<b>Adicionándolo todo: eficiente, manejable, escalable</b><br />
<br />
Evidentemente, el principal problema de la recuperación de contraseñas no cae en determinar qué es lo que se puede recuperar, ni en el uso de la técnica correcta. Inevitablemente, cualquier capacidad ubicada para la recuperación de contraseñas necesita hacer que las tareas con alto costo computacional sean eficientes y gestionables.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-FFgovfFfZo4/Vd3ECTYcouI/AAAAAAAAARY/PX4jZpZEwDQ/s1600/tpr.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="71" src="http://3.bp.blogspot.com/-FFgovfFfZo4/Vd3ECTYcouI/AAAAAAAAARY/PX4jZpZEwDQ/s400/tpr.jpg" width="400" /></a></div>
<br />
Tengo dos servidores Tableau Password Recovery en el laboratorio. Trabajando juntos, ellos aceleran los ataques de recuperación de contraseñas por órdenes de magnitud en comparación a la utilización de una sola CPU. Cada servidor viene equipado con cuatro tarjetas PCI de Tableau Accelerator Gen2 (TACC2). Los archivos protegidos, como contenedores de archivos PGP autodescifrables, pueden ser atacados a tasas superiores a 1,5 millones de contraseñas/segundo. Múltiples servidores Tableau Password Recovery pueden funcionar en paralelo con una escalabilidad de rendimiento lineal. Si necesita mayor aceleración, solo tiene que añadir otro servidor.<br />
<br />
Tableau Password Recovery ha sido integrado directamente en EnCase, haciendo que la recuperación de archivos protegidos con contraseña esté a sólo un par de clics de distancia. Seleccione los archivos que se recuperarán, envíelos al servidor Tableau Password Recovery y monitoree el estado.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-LjXVde-hxIY/Vd3EpM2IatI/AAAAAAAAARg/6LWBznIiEj8/s1600/mostrarestado.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="118" src="http://1.bp.blogspot.com/-LjXVde-hxIY/Vd3EpM2IatI/AAAAAAAAARg/6LWBznIiEj8/s640/mostrarestado.png" width="640" /></a></div>
<br />
Cuando se ha completado el trabajo, el archivo recuperado puede ser obtenido y automáticamente adicionado al caso, incluyendo la contraseña recuperada y el log de su ejecución para una mayor revisión. El archivo descifrado se vincula automáticamente al archivo protegido original. Es algo menor, pero una cosa a menos que usted necesita rastrear. <br />
<br />
Cualquier discusión de recuperación práctica de contraseñas no estaría completa sin mencionar la aceleración basada en la GPU. Las GPU aceleran efectivamente muchos algoritmos de recuperación de contraseñas. Pero este rendimiento conlleva un costo. Las soluciones actuales con tarjetas individuales consumen 300W bajo carga y las configuraciones con múltiples GPU requieren fuentes de alimentación superiores a los 1000W. Un mayor consumo de energía incrementa los costos operacionales por el aumento de los requerimientos de enfriamiento y por el mayor riesgo de fallas en algún componente. Conseguir repuestos compatibles de forma confiable puede ser difícil, creando costos de manutención continua, de prueba u otros costos escondidos. Las GPU sobresalen cuando funcionan con grandes volúmenes de datos, pero esta velocidad máxima no puede ser el único factor de una recuperación de contraseñas práctica.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-CK-SSusyAJ8/Vd3E_4ojUxI/AAAAAAAAARo/PiI6L_0Yba4/s1600/tprcomp.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="98" src="http://2.bp.blogspot.com/-CK-SSusyAJ8/Vd3E_4ojUxI/AAAAAAAAARo/PiI6L_0Yba4/s640/tprcomp.png" width="640" /></a></div>
<br />
La tabla de arriba compara contraseñas por segundo Vs. contraseñas por segundo por watt para tres soluciones distintas de recuperación de contraseñas. Las contraseñas por watt son una buena forma de describir no solo la velocidad máxima, sino que también la habilidad inherente y la manejabilidad del sistema. Tableau Password Recovery alcanza una aceleración a la par de la soluciones con múltiples GPU, mientras consume muchos menos energía.<br />
<br />
Finalmente, Tableau Password Recovery es completamente un producto forense Tableau. La tecnología de aceleración basada en FPGA no solo permite que el sistema se ejecute a una menor temperatura, sino que también permite futura flexibilidad. Como todos los productos Tableau, Tableau Password Recovery recibirá actualizaciones de software sin costo y sin requerir cambios de hardware. Estas actualizaciones adicionarán nuevo algoritmos aceleradores y aumentarán la eficiencia de los aceleradores existentes.<br />
<br />
Si desea mayor información sobre Tableau Password Recovery o cualquier otro producto de Guidance Software, no dude en contactarnos mediante el correo electrónico <a href="mailto:sales-latam@guidancesoftware.com"><b>sales-latam@guidancesoftware.com</b></a><br />
<br />
<i>Este artículo fue traducido del original <a href="http://encase-forensic-blog.guidancesoftware.com/2015/07/password-recovery-can-be-practical.html" target="_blank">Password Recovery Can be Practical</a> por Ken Mizota, Gerente de Gestión de Productos en Guidance Software. </i><br />
<br />
<br />
<b><author></author></b>
<b>TEMAS RELACIONADOS</b><br />
<b><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/08/que-golpeo-la-opm-lo-que-sabemos-hasta.html">¿Qué golpeó a la OPM? Lo que sabemos hasta ahora</a><br /><br /><a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank">Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</a><br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/01/guidance-software-reconocida-por.html">Guidance Software reconocida por Gartner como líder del mercado de herramientas de detección y respuesta en dispositivos</a><br /><br /><a href="http://www.facebook.com/encaseenespanol" target="_blank">Dé un "Me Gusta" a Nuestra Página en Facebook</a><br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/05/guidance-software-anuncia-el.html">Guidance Software anuncia el lanzamiento de EnCase Endpoint Security</a></b><br />
<br />
<author></author>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-81556933869596477732015-08-13T13:24:00.002-07:002015-08-13T13:26:07.880-07:00¿Qué golpeó a la OPM? Lo que sabemos hasta ahora<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-JLpVQdlDgc8/U_zrMQRKHkI/AAAAAAAAADI/5XVfppK3Ezw/s1600/EnCase-Logo-Small.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://3.bp.blogspot.com/-JLpVQdlDgc8/U_zrMQRKHkI/AAAAAAAAADI/5XVfppK3Ezw/s1600/EnCase-Logo-Small.png" /></a></div>
<br />
Han pasado dos meses desde que sucedió la intrusión a la OPM y ha habido mucha especulación y fuga de detalles del ataque. A continuación presentamos un resumen de la información publicada hasta el momento.<b></b><br />
<b><br /></b>
<b>4 de junio de 2015: </b>La OPM <a href="http://www.opm.gov/news/latest-news/announcements/frequently-asked-questions/" target="_blank">anuncia</a> que ha sufrido una intrusión.<br />
<br />
<b>8 de junio de 2015: </b>Guidance Software anuncia que EnCase ha sido usado en la investigación de la OPM. Paul Shomo, Administrador Senior de Desarrollo de Software en Guidance Software, ha sido <a href="http://www.scmagazine.com/opm-rich-with-data-for-attackers/article/419390/2/" target="_blank">citado</a> por SC MAGAZINE insinuando que el troyano de acceso remoto (RAT) PlugX fue utilizado por los atacantes de la OPM. <br />
<a name='more'></a><br />
<b>15 de junio de 2015: </b>ThreatConnect reconoce instancias de malware presentadas a VirusTotal utilizando nombres de dominio falsos de la OPM, enviadas al momento de una intrusión previa a la OPM durante 2014. ThreatConnect <a href="http://www.threatconnect.com/news/opm-breach-analysis-update/" target="_blank">teoriza</a> que "Destroy RAT aka Sogu", también llamado “PlugX” en algunas bases de datos de inteligencia de amenazas, fue utilizado en este último ataque a la OPM. <br />
<br />
<b>18 de junio de 2015:</b> Ellen Nakashima <a href="http://www.washingtonpost.com/blogs/federal-eye/wp/2015/06/18/officials-chinese-had-access-to-u-s-security-clearance-data-for-one-year/" target="_blank">comenta</a> en un blog del Washington Post que el “malware descubierto en la OPM era una variante nunca antes vista del malware conocido como PlugX. ”<br />
<br />
<b>27 de junio de 2015: </b>USA Today <a href="http://www.usatoday.com/story/news/politics/2015/06/27/opm-hack-questions-and-answers/29333211/" target="_blank">reporta</a> que la intrusión a la OPM habría iniciado con una credencial robada usada por Key Point Government Solutions, un contratista con sede en Colorado que la OPM utiliza para llevar a cabo investigaciones de antecedentes.<br />
<br />
<b>29 de junio de 2015:</b> FCW <a href="http://fcw.com/articles/2015/06/29/news-in-brief-june-29.aspx?s=fcwdaily_300615" target="_blank">da cuenta de que</a> el día después de la divulgación por la OPM, una <a href="https://info.publicintelligence.net/FBI-HackToolsOPM.pdf" target="_blank">alerta rápida del FBI</a> detalla una invasión a una agencia gubernamental sin dar su nombre y que los actores de amenaza observados utilizan 4 RAT: Sakula, FF RAT, Trojan.IsSpace y Trojan.BLT. FCW especula que el FBI se está refiriendo a la OPM. Tenga en cuenta que SAKULA también se <a href="http://www.threatconnect.com/news/opm-breach-analysis-update/" target="_blank">menciona </a>en el informe de 15 de junio de ThreatConnect. Similar a las variantes de PlugX destacadas por ThreatConnect, SAKULA fue construído para utilizar nombres de dominios falsos de la OPM. <br />
<br />
<b>8 de julio de 2015:</b> El jefe del departamento de seguridad nacional de Estados Unidos <a href="http://www.voanews.com/content/us-prime-suspect-identified-in-government-worker-cybersecurity-breach/2853925.html" target="_blank">hace una afirmación vaga</a> de haber reducido los posibles atacantes de la OPM. Tenga en cuenta que esta información se lanza exclusivamente en la <a href="https://en.wikipedia.org/wiki/Voice_of_America" target="_blank">Voz de América</a>, el poco conocido medio de comunicación del gobierno estadunidense. <br />
<b><br />29 de julio de 2015:</b> Un reporte de Bloomberg <a href="http://www.bloomberg.com/news/articles/2015-07-29/china-tied-hackers-that-hit-u-s-said-to-breach-united-airlines" target="_blank">muestra</a> una clara conexión entre los atacantes de la OPM y los atacantes de United Airlines y de Anthem. El reporte considera que estos atacantes chinos tienen como intención principal recolectar la información de ciudadanos estadunidenses que trabajan para el gobierno.<br />
<br />
Como un asunto de seguridad nacional de los Estados Unidos, es concebible que nunca podamos conocer los detalles del malware utilizado en contra de la OPM. En todo caso, todos los datos apuntan a dos RAT : PlugX y Sakula, ambos aparentemente construidos por autores chinos específicamente para apuntar a la OPM.<br />
<br />
<br />
<b>TEMAS RELACIONADOS</b><br />
<a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/06/la-invasion-la-opm-que-se-esta-haciendo.html"><b><br /></b></a>
<a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/06/la-invasion-la-opm-que-se-esta-haciendo.html"><b>La invasión a la OPM: qué se está haciendo correctamente</b></a><br />
<br />
<a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank"><b>Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</b></a><br />
<br />
<a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/07/el-hack-la-opm-indicios-de-una-invasion.html"><b>El Hack a la OPM: Indicios de una invasión mediante herramientas de administración remota</b></a><br />
<br />
<a href="http://www.facebook.com/encaseenespanol" target="_blank"><b>Dé un "Me Gusta" a Nuestra Página en Facebook</b></a><br />
<br />
<a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/05/guidance-software-anuncia-el.html"><b>Guidance Software anuncia el lanzamiento de EnCase Endpoint Security</b></a><br />
<br />Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-19129806185814196272015-07-16T11:36:00.000-07:002015-07-16T11:36:07.430-07:00El Hack a la OPM: Indicios de una invasión mediante herramientas de administración remota<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-_1_vI7ol8aQ/VYHL2IzO48I/AAAAAAAAAO8/tk47A_tHMK4/s1600/Endpoint%2BSecurity%2Blogo%2B-%2Bsmall.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="http://3.bp.blogspot.com/-_1_vI7ol8aQ/VYHL2IzO48I/AAAAAAAAAO8/tk47A_tHMK4/s1600/Endpoint%2BSecurity%2Blogo%2B-%2Bsmall.png" /></a></div>
A raíz de la invasión a la OPM, donde los reportes sugieren que millones de registros de habilitación de seguridad se dirigieron directamente a unidades de inteligencia chinas, vamos a hablar acerca de herramientas de administración remota (RAT). Estas herramientas son de uso común en este tipo de ataques, así que vamos a caminar a través de una metodología común para la identificación de las RAT desconocidas. <br />
<br />
En el sentido más amplio, las RAT se utilizan para acceder y controlar computadoras de forma remota. Los administradores de sistema a menudo utilizan estas herramientas para el bien, pero los hackers de sombrero negro desarrollan RAT especializadas que infectan, se esconden y actúan como puertas traseras.<br />
<a name='more'></a><br />
Las RAT maliciosas como PlugX, Gh0st, Korplug, Gulpix, Sogu, Thoper y Destory pueden ser construidas como ataques de día cero que evitan la detección de firmas. La interfaz de usuario de la RAT Gh0st que se muestra a continuación da una idea de la facilidad con que los hackers pueden crear variantes de día cero para infectar a máquinas sensibles. Una vez infectado, el comando y control (C&C) se pueden establecer desde cualquier lugar en internet, creando una nueva ruta para el tráfico a través de otros servidores para evitar la identificación del verdadero perpetrador.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://3.bp.blogspot.com/-HpWz7E8dK24/Vaf0UjW6o7I/AAAAAAAAAPQ/FEVkF9R70Dk/s1600/01.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="193" src="http://3.bp.blogspot.com/-HpWz7E8dK24/Vaf0UjW6o7I/AAAAAAAAAPQ/FEVkF9R70Dk/s320/01.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Clic para agrandar</td></tr>
</tbody></table>
<span id="goog_503714155"></span><span id="goog_503714156"></span><br />
Probablemente la variedad de RATs de más alto perfil, PlugX, fue exhibida en la Presentación Black Hat de 2014 y fue encontrada por Trend Micro ya en 2008. Los profesionales en seguridad de Guidance Software que trabajan en el campo gubernamental han reportado ver variantes de PlugX de forma rutinaria. Este es un buen ejemplo de cómo un marco de malware desplegado en 2008 aún puede construir variantes que eluden la detección basada en firmas de la actualidad. <br />
<br />
Para encontrar ataques de Día Cero, usted debe hacer investigaciones rutinarias para encontrar amenazas desconocidas. Es prudente hacer uso de una ventaja natural que los agentes de respuesta a incidentes poseen: el conocimiento detallado de su entorno. Sun Tsu una vez dijo: “Conoce el clima, conoce el terreno y tus victorias serán ilimitadas.” En esta “ciberguerra” moderna, el antiguo sabio bélico pudo haber dicho: “Conoce tu red y a tus endpoints y el tiempo entre el descubrimiento y la respuesta será formidable.”<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
Las RAT pueden sonar intimidantes, pero pueden ser fácilmente detectadas por una persona usando <a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/05/guidance-software-anuncia-el.html" target="_blank"><b>EnCase® Endpoint Security</b></a>. Su tecnología de copia instantánea, mostrada a continuación, puede examinar los procesos de sus endpoints y permitir que los agentes de respuesta a incidentes, analistas de seguridad de cualquier nivel o el personal de detección de amenazas revelen las anomalías rápidamente.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://1.bp.blogspot.com/-8GpY5OZBeDg/Vaf2gVKlxXI/AAAAAAAAAPY/jdaPkYieocM/s1600/02.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="141" src="http://1.bp.blogspot.com/-8GpY5OZBeDg/Vaf2gVKlxXI/AAAAAAAAAPY/jdaPkYieocM/s320/02.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Clic para agrandar</td></tr>
</tbody></table>
<br />
PlugX utiliza una gran variedad de métodos de inyección para secuestrar a procesos comunes, pero en general nuestro objetivo es identificar las variaciones de los procesos familiares que han sido inyectados con malware. Una buena forma de empezar es agrupar los ataques comunes a svchost.exe y después buscar horarios inusuales de arranque o identificadores de procesos (PID) reasignados cuando no se produjo ningún reinicio de sistema. En los casos de PlugX, ambos svchost.exe y misexec.exe sufrieron inyecciones. Otro método de identificación de inyecciones es mediante la detección de archivos binarios aparentemente legítimos cuyos nombres están ligeramente mal escritos, almacenados en rutas poco convencionales o que se están ejecutando y se inyectan en procesos no estándar. <br />
<br />
Muchas formas de malware necesitan de llaves de registro de ejecución automática para para iniciar su ejecución después del reinicio del sistema. Este es conocido como persistencia o un mecanismo de persistencia. Utilizando un análisis del registro en toda la red, EnCase Endpoint Security puede rápidamente localizar las máquinas infectadas con PlugX mediante la búsqueda de binarios desconocidos establecidos para arrancar al inicio, como las llaves de ejecución automática que se muestran a continuación. <br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://4.bp.blogspot.com/-zwpCmbYSL5I/Vaf2wT-Nq2I/AAAAAAAAAPg/qS8gC5k4mhI/s1600/03.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="170" src="http://4.bp.blogspot.com/-zwpCmbYSL5I/Vaf2wT-Nq2I/AAAAAAAAAPg/qS8gC5k4mhI/s320/03.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Clic para agrandar</td></tr>
</tbody></table>
<br />
Ahora que ya tiene algunos dispositivos que levantan sospechas, una vista previa al vivo con EnCase Endpoint Security le permite optimizar los archivos sospechosos. Una simple búsqueda con el botón derecho puede iniciar el análisis de archivos estáticos y/o dinámicos en los principales proveedores de inteligencia de amenazas, tales como ThreatGRID, o en alternativas disponibles libremente, como búsquedas de hash en Google y en VirusTotal para confirmar la malicia. Nosotros siempre recomendamos que los archivos se recojan para la preservación y presentación de informes.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://3.bp.blogspot.com/-8nYce8GN50M/Vaf28gGPtpI/AAAAAAAAAPo/mR9GvQtx_s8/s1600/04.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="194" src="http://3.bp.blogspot.com/-8nYce8GN50M/Vaf28gGPtpI/AAAAAAAAAPo/mR9GvQtx_s8/s320/04.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Clic para agrandar</td></tr>
</tbody></table>
<br />
Ahora que una instancia de PlugX es conocida, búsquedas basadas en indicadores de compromiso (IOC) pueden ser formadas para encontrar otros binarios relacionados. Indicadores sencillos como valor hash, tamaño de archivo, nombre de archivo y ruta pueden ser usados, o usuarios más avanzados pueden agarrar palabras clave de búsqueda en archivos binarios provenientes del editor hexadecimal y formar búsquedas aún más poderosas, como es mostrado a continuación. Esto nos permite determinar el alcance de un incidente en toda la organización.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://3.bp.blogspot.com/-d1y-fsw7DMU/Vaf3J93XiZI/AAAAAAAAAPw/f76EM5KDK4A/s1600/05.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="184" src="http://3.bp.blogspot.com/-d1y-fsw7DMU/Vaf3J93XiZI/AAAAAAAAAPw/f76EM5KDK4A/s320/05.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Clic para agrandar</td></tr>
</tbody></table>
<br />
Ahora que usted tiene una condición de indicador, el asistente de recolección de EnCase Endpoint Security (mostrado a continuación) designa las máquinas contra las cuales se ejecutará la búsqueda, e incluso permite que otras condiciones puedan ser importadas y exportadas para poder compartir lo encontrado con otros grupos u organizaciones. Si quiere abarcar un área aún mayor, nuestro Analista de Coincidencia Cercana por Entropía puede localizar variedades polimórficas adicionales sin la necesidad de indicadores. Este algoritmo patentado fue diseñado específicamente para identificar malware creado para evadir la detección basada en firmas. El último paso, es la remediación con EnCase Endpoint Security.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://1.bp.blogspot.com/-8u5ZuhU1Pq0/Vaf3RML1KbI/AAAAAAAAAP4/DBumxXNxo-U/s1600/06.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="202" src="http://1.bp.blogspot.com/-8u5ZuhU1Pq0/Vaf3RML1KbI/AAAAAAAAAP4/DBumxXNxo-U/s320/06.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Clic para agrandar</td></tr>
</tbody></table>
<br />
Como puede ver, estas herramientas de investigación permiten a un investigador ver rápidamente los ataques de día cero que eluden a los métodos automatizados de detección. Con algunos ataques de día cero no hay atajos, así que intente que estas actividades investigativas hagan parte de su estrategia regular de seguridad.<br />
<b><br />¿Comentarios? ¿Preguntas? Lo invito a dejar sus comentarios en la sección a continuación.</b><br />
<br />
<br />
<b>TEMAS RELACIONADOS</b><br />
<br />
<a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/06/la-invasion-la-opm-que-se-esta-haciendo.html"><b>La invasión a la OPM: qué se está haciendo correctamente</b></a><br />
<br />
<a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank"><b>Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</b></a><br />
<br />
<a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/05/guidance-software-anuncia-el.html"><b>Guidance Software anuncia el lanzamiento de EnCase Endpoint Security</b></a><br />
<br />
<a href="http://www.facebook.com/encaseenespanol" target="_blank"><b>Dé un "Me Gusta" a Nuestra Página en Facebook</b></a><br />
<br />
<a href="http://CryptoWall 2.0, cuando los ciberatacantes le “protegen” sus datos"><b>CryptoWall 2.0, cuando los ciberatacantes le “protegen” sus datos</b></a><br />
<b> </b>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-85253960023300282522015-06-17T12:37:00.000-07:002015-07-16T08:08:51.374-07:00La invasión a la OPM: qué se está haciendo correctamente<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-_1_vI7ol8aQ/VYHL2IzO48I/AAAAAAAAAO4/FY4IusG8uFM/s1600/Endpoint%2BSecurity%2Blogo%2B-%2Bsmall.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="http://4.bp.blogspot.com/-_1_vI7ol8aQ/VYHL2IzO48I/AAAAAAAAAO4/FY4IusG8uFM/s1600/Endpoint%2BSecurity%2Blogo%2B-%2Bsmall.png" /></a></div>
El día 4 de junio la oficina de la prensa federal de los Estados Unidos anunció una fuga “masiva” de datos del personal federal estadunidense, hospedados en la Oficina de Administración de Personal (OPM, según su sigla en inglés) dentro del Departamento de Seguridad Nacional de los Estados Unidos. Siguiendo a una fuga anterior descubierta en marzo de 2014, se dice que esta fuga ha expuesto la información personal de hasta 4 millones de empleados del estado. El <b><a href="http://www.washingtonpost.com/world/national-security/chinese-hackers-breach-federal-governments-personnel-office/2015/06/04/889c0e52-0af7-11e5-95fd-d580f1c5d44e_story.html" target="_blank"><i>Washington Post</i></a></b> reportó que los oficiales estadunidenses sospechan que el gobierno chino esté por detrás del ataque, que representa “la segunda invasión extranjera significativa a redes del gobierno de los Estados Unidos en meses recientes”. <br />
<a name='more'></a><b><br />Qué está haciendo correctamente la OPM</b><br />
<br />
A pesar de que este ataque a empleados federales y sus agencias constituye un acto de espionaje, y por lo tanto es una preocupación importante para los Estados Unidos, vemos señales en las noticias de que la OPM está tomando ciertas decisiones que merecen elogio. Como mostrado en la cobertura reciente del Washington Post, “Después de que fue descubierta la invasión de marzo de 2014, la OPM emprendió ‘un esfuerzo agresivo por actualizar nuestra postura de ciberseguridad, añadiendo numerosas herramientas y capacidades a nuestras redes’ dijo Seymour. ‘Como resultado de añadir estas herramientas, hemos podido detectar esta intrusión a nuestras redes.’”<br />
<br />
Este tipo de respuesta a una invasión inicial no solo es apropiada, sino que ejemplar. Las agencias gubernamentales necesitan ser proactivas, y muchas se han dado cuenta que invasiones como el reciente <b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2014/12/sony-pictures-de-rodillas-la-politica.html" target="_blank">ataque a Sony</a></b> prueban que el enemigo puede ya haber cruzado sus puertas, y a veces han estado paseando por sus redes durante meses antes de ser detectados. <br />
<b><br />Punto clave: sea proactivo</b><br />
<br />
Muchas organizaciones, tanto en sectores privados como públicos, hospedan datos extremadamente sensibles. Los datos de alto valor idealmente están confinados a servidores correctamente fortificados, y son sellados fuertemente mediante el uso extensivo de listas blancas y auditorías rigurosas. La autenticación multifactorial y las contraseñas fuertes tienen importancia crítica, y existe una nueva táctica que se convierte más crucial con cada ataque nuevo que conocemos: la caza activa y constante de anomalías. <br />
<br />
Los datos sensibles tienden a congregarse en los dispositivos de la red, como computadoras portátiles o servidores, y tienen la costumbre de multiplicarse en copias no autorizadas dentro de lugares de almacenamiento no autorizados. Por esta razón, es esencial que los equipos de seguridad actuales creen y actualicen regularmente líneas de base de la actividad normal para cada dispositivo que almacene datos sensibles, y que luego activamente monitoreen la presencia de señales de comportamiento anómalo haciendo comparaciones contra esas líneas de base.<br />
<br />
Los actores de las amenazas actuales están desplegando malware en lugares inusuales que no son visibles con la mayoría de las herramientas de seguridad. Con su habilidad exclusiva de conseguir visibilidad de los dispositivos por debajo del sistema operativo, <b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/05/guidance-software-anuncia-el.html" target="_blank">EnCase® Endpoint Security</a> </b>fue diseñado para ver lo desconocido al ayudar a crear una línea de base del comportamiento normal a través de todos los dispositivos de su organización y luego monitorear la presencia de señales que indiquen que está sucediendo algo inusual. Al fin y al cabo, las anomalías son la marca de una infiltración. <br />
<br />
<b>¿Tiene comentarios?</b> ¿Está usted cazando proactivamente las amenazas en sus sistemas? Lo invitamos a que escriba algunas palabras en la sección a continuación, tanto sobre este tema como sobre algún otro tema que le gustaría que discutamos en este blog. <br />
<br />
<br />
<b>TEMAS RELACIONADOS</b><br />
<br />
<a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/05/guidance-software-anuncia-el.html"><b>Guidance Software anuncia el lanzamiento de EnCase Endpoint Security</b></a><br />
<br />
<a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438"><b>Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</b></a><br />
<br />
<a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/04/guidance-software-anuncia-su-particion.html"><b>Guidance Software anuncia su partición en el InfoSecurity Tour de 2015 y lanza su nueva página de eventos</b></a><br />
<br />
<a href="http://www.facebook.com/encaseenespanol"><b>Dé un "Me Gusta" a Nuestra Página en Facebook</b></a><br />
Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-84983225649454034862015-05-21T11:54:00.001-07:002015-06-17T12:46:19.689-07:00Guidance Software anuncia el lanzamiento de EnCase Endpoint Security<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-_1_vI7ol8aQ/VYHL2IzO48I/AAAAAAAAAO8/tk47A_tHMK4/s1600/Endpoint%2BSecurity%2Blogo%2B-%2Bsmall.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="http://3.bp.blogspot.com/-_1_vI7ol8aQ/VYHL2IzO48I/AAAAAAAAAO8/tk47A_tHMK4/s1600/Endpoint%2BSecurity%2Blogo%2B-%2Bsmall.png" /></a></div>
Cuando se trata de defender los datos de su organización de amenazas, las soluciones tecnológicas y las soluciones de antivirus basados en el perímetro, pueden solo solucionar una parte. Hoy en día el paisaje de amenazas está devastado por el incremento de ataques de malware sofisticados, campañas dirigidas hacia compañías específicas y grupos industriales, y una infinita combinación de los actores de amenaza, y muy pocos especialistas en seguridad cibernética o especialistas en respuestas y poco personal capacitado, todo esto aumenta la exposición. <br />
<br />
<b>Detección proactiva contra amenazas, respuesta automatizada a incidentes y mucho más</b><br />
<br />
Guidance Software tiene el agrado de anunciar una nueva solución, llamada EnCase Endpoint Security. EnCase Endpoint Security combina dos productos líderes en la industria, EnCase® Analytics y EnCase® Cybersecurity, para detectar, validar y priorizar las amenazas desconocidas, evaluar el alcance de lo que se ha comprometido y retornar los dispositivos a un estado confiable.<br />
<a name='more'></a><br />
Con Encase Endpoint usted puede lograr: <br />
<br />
• Recoger, agregar y crear una línea de base toda la actividad de los dispositivos.<br />
• Abordar de forma proactiva los vacíos en su marco de seguridad.<br />
• Detectar riesgos desconocidos o amenazas incluso antes que la fuga de datos inicie. <br />
• Responder a cualquier evento para su validación. <br />
• Automatizar la recuperación de los dispositivos a un estado confiable a través de la remediación. <br />
<br />
Independientemente de si usted está definiendo o perfeccionando una estrategia de seguridad madura, EnCase Endpoint Security puede integrarse perfectamente en su marco y entregar valor en cada fase: <br />
<br />
• Creando una lista de activos y verificando los detalles de sistema de los dispositivos conectados. <br />
• Verificando que las políticas de seguridad no estén siendo evadidas por procesos delictivos o usuarios. <br />
• Identificando problemas de visibilidad en otras tecnologías de seguridad. <br />
• Integrando con tecnologías de alertas para capturar datos sensibles al tiempo para el análisis. <br />
• Incrementando la eficiencia a través de la automatización de respuestas y acciones programadas. <br />
• Reduciendo drásticamente el tiempo para las validaciones de alerta. <br />
• Centralizando los scripts propios en una única solución con un mayor acceso a la actividad de los dispositivos.<br />
• Auditando datos sensibles, identificando y borrando de forma segura riesgos basados en documentos.<br />
<br />
Si tiene alguna duda o si desea una demostración de cómo EnCase Endpoint Security puede ayudarle a su organización, no dude en contactarnos al correo electrónico <b><a href="mailto:sales-latam@encase.com">sales-latam@encase.com</a></b><br />
<br />
<br />
<b>TEMAS RELACIONADOS</b><br />
<br />
<b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/01/guidance-software-reconocida-por.html">Guidance Software reconocida por Gartner como líder del mercado de herramientas de detección y respuesta en dispositivos</a><br /><br /><a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank">Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español </a><br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/04/guidance-software-anuncia-su-particion.html">Guidance Software anuncia su partición en el InfoSecurity Tour de 2015 y lanza su nueva página de eventos</a> <br /><br /><a href="http://www.facebook.com/encaseenespanol" target="_blank">Dé un "Me Gusta" a Nuestra Página en Facebook</a></b><br />
<br />Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-52654046039547489682015-04-29T12:10:00.000-07:002015-04-29T12:19:06.757-07:00Último llamado para el CEIC 2015 en Las Vegas <br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-eOZ92dwJ1dY/VC7CGWH6e4I/AAAAAAAAAHE/a0FM9CT7tVE/s1600/encase%2Bceic%2B2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://3.bp.blogspot.com/-eOZ92dwJ1dY/VC7CGWH6e4I/AAAAAAAAAHE/a0FM9CT7tVE/s1600/encase%2Bceic%2B2.png" /></a></div>
<br />
¡ULTIMO LLAMADO!<br />
<br />
Nos encontramos en la recta final de la etapa de inscripciones, ya falta muy poco para el inicio del <a href="https://www.guidancesoftware.com/ceic/Pages/en-espanol.aspx" target="_blank"><b>CEIC 2015</b></a>, la mayor conferencia para investigadores digitales que este año vuelve con su área exclusiva para hispanohablantes, donde podrán participar de capacitaciones y prácticas en laboratorios profesionales enseñadas por personal altamente capacitado. <br />
<br />
En esta ocasión nos hemos esmerado porque nuestros asistentes latinos puedan tener una cantidad amplia de información y prácticas profesionales, además de que puedan estar cara a cara con expertos para así poder despejar sus dudas respecto al uso correcto del software y sus aplicaciones en la empresa. <br />
<a name='more'></a><br />
Ya está confirmada la agenda de conferencias en español y sus disertantes:<br />
<br />
• Aplicación de Normas PCI en Ecuador. – (Marco Tamayo, Pacificard)<br />
• Cuestiones Legales Sobre la Protección de Datos. – (Martin Melloni Anzoategui, BPCM Abogado)<br />
• Filer Timestamps, Rompiendo el Mito. – (Magdiel Hernandez, HSBC México)<br />
• Pandillas, Bandas, Carteles y Cibercriminales: Atacando Pronto un ATM Cerca de Usted. – (Adolfo Grego, Mycros Electrónica SA de CV)<br />
• Bitcoin Forensics con EnCase – El Nuevo Reto para los Forenses. – (Edwin Cifuentes Bastidas, Adalid Corp SAS)<br />
• Forensics Remoto : Una Herramienta para la Respuesta a Incidentes – (Gustavo Presman, Estudio de Informática Forense)<br />
• Investigaciones a Través del Árbol de Red – (Lilia Liu, Lilia Liu and Associates)<br />
• Desafíos en el Manejo de Riesgos y Cumplimiento ¿El GRC Debe Torturar? ... Claro Que No, Cómo Evitarlo – (Rómulo Lomparte, ITG Consulting)<br />
• Investigaciones en el Archivo de Hibernacion (Hiberfil.sys) - (Yesenia Ballestas Gutierrez, Policía Nacional de Colombia)<br />
• Investigaciones Digitales en Red - (Tony Grey, Guidance Software)<br />
<br />
Recuerde que esta es su oportunidad de entrenarse con información relevante y prácticas con expertos en el área de la investigación digital forense. El CEIC es una conferencia de seguridad cibernética donde profesionales de respuesta a incidentes y especialistas en seguridad de la información se encuentran con sus compañeros expertos de todo el mundo para aprender las últimas tácticas de seguridad.<br />
<br />
El CEIC de 2015 se llevará a cabo en la famosa ciudad de Las Vegas, en el Hotel Caesars Palace, por lo que sabemos regresará a casa con nuevos conocimientos profesionales. Le recordamos que si necesita iniciar un proceso para su visa, Guidance Software le facilitará una carta de invitación al evento.<br />
<br />
Entonces, ¿que está esperando para registrarse? <a href="https://www.cvent.com/events/ceic-2015/registration-afef0e26f2aa4c6387b05ed1fc8867fa.aspx" target="_blank"><b>Regístrese hoy</b></a> y no se pierda esta oportunidad de alcanzar nuevos conocimientos en el área. Los asistentes latinoamericanos podrán registrarse con un descuento de US$200 respecto al precio regular (válido hasta el 15 de mayo).<br />
<br />
<br />
<b>TEMAS RELACIONADOS</b><br />
<b><br /></b>
<a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/03/6-razones-por-las-que-debe-participar.html"><b>6 Razones por las que Debe Participar del Evento en Español del CEIC en Las Vegas, Entre el 18 y el 21 de mayo</b></a><br />
<b><br /></b>
<b><a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank">Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</a> </b><br />
<b><br /></b>
<a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/01/las-sesiones-en-espanol-del-ceic-2015.html"><b>Las Sesiones en Español del CEIC 2015 Han Sido Anunciadas</b></a><br />
<a href="http://www.facebook.com/encaseenespanol" target="_blank"><b><br /></b></a>
<a href="http://www.facebook.com/encaseenespanol" target="_blank"><b>Dé un "Me Gusta" a Nuestra Página en Facebook</b></a><br />
<b><br /></b>
<a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/01/guidance-software-reconocida-por.html"><b>Guidance Software reconocida por Gartner como líder del mercado de herramientas de detección y respuesta en dispositivos</b></a><br />
<br />Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-91130677896270148692015-04-16T12:59:00.003-07:002015-04-16T13:32:43.518-07:00Guidance Software anuncia su partición en el InfoSecurity Tour de 2015 y lanza su nueva página de eventos <div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-EpjzPvolQIQ/VTAUTn_UecI/AAAAAAAAAOk/55KSFNfzdMk/s1600/EnCase%2Bin%2BInfoSecurity%2B-%2BCopy.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="http://4.bp.blogspot.com/-EpjzPvolQIQ/VTAUTn_UecI/AAAAAAAAAOk/55KSFNfzdMk/s1600/EnCase%2Bin%2BInfoSecurity%2B-%2BCopy.png" /></a></div>
<br />
Guidance Software tiene el agrado de informarles que estará presente en las conferencias <a href="http://www.infosecurityvip.com/" target="_blank"><b>ISEC InfoSecurity Tour</b></a> de 2015. En estas conferencias de seguridad cibernética, especialistas en seguridad de la información se encuentran con expertos de todo el mundo para aprender las tácticas y las aplicaciones más novedosas en seguridad de TI aplicables a Latinoamérica. Además, estas conferencias contarán con la presencia de grandes líderes de la industria, que expondrán a los presentes los nuevos avances tecnológicos en cuanto a seguridad, además de visión y estrategia frente a ataques dirigidos y otros posibles fallos. <br />
<br />
Guidance Software llevará al InfoSecurity Tour lo último en seguridad para investigaciones y auditoría de TI, además de ofrecer presentaciones y sesiones de demostración que mostrarán la capacidad de nuestras aplicaciones. En este año, nos enfocaremos en cómo <b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/04/introduccion-la-busqueda-proactiva-de.html" target="_blank">buscar proactivamente amenazas desconocidas</a> </b>a su infraestructura de TI.<br />
<a name='more'></a><br />
Con la mirada puesta en la comodidad y satisfacción de su público, Guidance Software ha creado una <b><a href="https://www.guidancesoftware.com/Lang/Pages/es/eventos.aspx" target="_blank">Página de Eventos </a></b>en la que pondremos todas las ferias, workshops y conferencias que organizaremos o en las que participaremos dentro de nuestros viajes alrededor de Latinoamérica. Además de las sedes y fechas relacionadas, también dispondremos enlaces que le permitirán registrarse fácilmente a ellos.<br />
<br />
Entre los países que visitaremos y los eventos que organizaremos, próximamente estaremos en Colombia, Ecuador, Perú, México, Costa Rica, Panamá y Estados Unidos. Si desea que Guidance Software participe de algún evento relacionado a seguridad digital en su zona, no dude en contactarnos mediante el correo electrónico <b><a href="mailto:sales-latam@encase.com">sales-latam@encase.com</a></b><br />
<br />
<br />
<b>TEMAS RELACIONADOS</b><br />
<br />
<b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/04/introduccion-la-busqueda-proactiva-de.html">Introducción a la búsqueda proactiva de amenazas de TI desconocidas – Parte 1</a><br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/04/introduccion-la-busqueda-proactiva-de_10.html">Introducción a la búsqueda proactiva de amenazas de TI desconocidas – Parte 2</a><br /><br /><a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank">Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</a><br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/03/6-razones-por-las-que-debe-participar.html">6 Razones por las que Debe Participar del Evento en Español del CEIC en Las Vegas, Entre el 18 y el 21 de mayo</a><br /><br /><a href="http://www.facebook.com/encaseenespanol" target="_blank">Dé un "Me Gusta" a Nuestra Página en Facebook</a> </b><br />
<b><br /></b>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-28065203538462012072015-04-10T14:22:00.000-07:002015-04-10T14:29:57.678-07:00Introducción a la búsqueda proactiva de amenazas de TI desconocidas – Parte 2<i>Por T. Grey</i> <br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-F2B6KXkK5pI/VGJ1lZbxlXI/AAAAAAAAAH0/PFFC9PyDApo/s1600/Cybersecurity%2Blogo%2B-%2Bsmall.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="http://2.bp.blogspot.com/-F2B6KXkK5pI/VGJ1lZbxlXI/AAAAAAAAAH0/PFFC9PyDApo/s1600/Cybersecurity%2Blogo%2B-%2Bsmall.png" /></a></div>
En la <b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/04/introduccion-la-busqueda-proactiva-de.html" target="_blank">primera parte</a></b> de este artículo de nuestro blog, cubrimos las razones de alto nivel y los casos de uso por los cuales las alertas y los parches pueden no ser suficientes para proteger a su organización de amenazas externas de malware y del mal uso interno de las computadoras. En esta segunda parte, veremos un ejemplo de cómo <a href="https://www.guidancesoftware.com/Lang/Pages/es/EnCase-Cybersecurity.aspx" target="_blank"><b>EnCase Cybersecurity</b></a> puede ayudar a las organizaciones a encontrar amenazas desconocidas aplicando una visibilidad a nivel forense de los sistemas mediante una interfaz amigable a un auditor de TI. <br />
<br />
Las Auditorías con EnCase pueden ser tan oportunas como lo necesite su equipo de seguridad. Las auditorías pueden ser programadas de forma independiente de acuerdo a la superficie de riesgo percibida por la organización, se pueden crear colas para conseguir resultados inmediatos o se pueden integrar como parte de un plan de respuesta a incidentes con alertas de otras herramientas de seguridad de TI. <br />
<br />
La organización de este ejemplo tiene muchos sistemas Windows para los empleados y una mezcla de servidores Windows y Linux. Además, esta organización no conseguirá hacer la transición de algunos de sus servidores con Windows 2003 antes de la finalización del ciclo de vida del sistema operativo, agendada por Microsoft para el 15 de julio de 2015. <br />
<a name='more'></a><br />
Dicho esto, la organización quiere usar EnCase Cybersecurity para cumplir exitosamente lo siguiente: <br />
<br />
• Identificar proactivamente a cualquier archivo malicioso que no haya sido encontrado por otras herramientas de seguridad de TI<br />
• Encontrar código o aplicaciones previamente desconocidos en servidores, estaciones de trabajo o computadoras portátiles <br />
• Identificar aplicaciones que puedan facilitar el fraude o el mal uso de las computadoras<br />
• Auditar sistemas a través de toda la organización para verificar el uso de versiones aprobadas y los niveles de parche del software aprobado <br />
• Responder rápidamente a las alertas de otras herramientas de seguridad identificando otras amenazas que podrían haber ingresado exitosamente en un sistema cuando esté bajo ataque <br />
• Verificar la eficacia decurrente de la política actual de seguridad de TI según los cambios de red y de usuarios que ocurren con el tiempo<br />
• Proporcionar un monitoreo continuo de los sistemas operativos que están fuera de soporte y que ya no son parcheados hasta que puedan ser reemplazados<br />
<br />
Debido a que la protección de los sistemas desactualizados con Windows 2003 tiene una alta importancia, y a que estas máquinas aún son importantes para desarrollar su actividad comercial, la organización construye una máquina virtual limpia con Windows 2003 instalado para usarla durante la creación de un perfil inicial de Windows 2003 (en otras palabras, crear una configuración aprobada). Ellos también podrían haber utilizado una máquina en uso, un “Gold Build” en una imagen ISO, o cualquier otra fuente de archivos de Windows 2003. Como el utilizar una máquina en uso conlleva el riesgo de incluir archivos potencialmente desconocidos en el perfil que se está creando, la organización decidió construir el perfil a partir de una máquina virtual limpia y nueva con Windows 2003.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://4.bp.blogspot.com/-lzFUH1Pxmlw/VSg7Nsp-ywI/AAAAAAAAANQ/Y7OoAxFgNz8/s1600/Untitled-1.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="http://4.bp.blogspot.com/-lzFUH1Pxmlw/VSg7Nsp-ywI/AAAAAAAAANQ/Y7OoAxFgNz8/s1600/Untitled-1.png" height="348" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Ejemplo de un perfil inicial de EnCase Cybersecurity construido a partir de una máquina virtual</td></tr>
</tbody></table>
<br />
Esta organización tiene múltiples perfiles para distintos sistemas operativos, y EnCase incluso permite la creación de un número infinito de perfiles distintos para un mismo sistema operativo. Una vez se ha construido el perfil de Windows 2003, el auditor de EnCase puede luego asociar el perfil correcto al sistema que le corresponde utilizando el nombre de la máquina, la dirección de IP o un rango de IP. Esto permite ejecutar auditorías a través de muchos sistemas operativos distintos con la certeza de que siempre se aplicará el perfil correcto. Una vez creado un perfil, este es guardado de forma global. <br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://2.bp.blogspot.com/-4a2NMgOw1XI/VSg7KRwiWoI/AAAAAAAAANE/chucvRObPHs/s1600/Untitled-2.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="http://2.bp.blogspot.com/-4a2NMgOw1XI/VSg7KRwiWoI/AAAAAAAAANE/chucvRObPHs/s1600/Untitled-2.png" height="308" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Asociando un perfil a las máquinas de acuerdo a su nombre, dirección de IP o rango de IP</td></tr>
</tbody></table>
<br />
El administrador de EnCase ahora puede ejecutar el perfil limpio de Windows 2003 en un sistema Windows 2003 “sucio” que esté en uso. Yo creé esta demostración desde un hotel en el Brasil y la ejecuté mediante internet en un sistema en uso localizado en un Data Center en los Estados Unidos. El trabajo tomó menos de 10 segundos en ser completado. Como se muestra a continuación, existen 205 DLL y procesos que no pertenecen al perfil limpio en la auditoría inicial. <br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://1.bp.blogspot.com/-PHLgFsyC4Wo/VSg7NOKRQLI/AAAAAAAAANM/oZTObskatbA/s1600/Untitled-3.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="http://1.bp.blogspot.com/-PHLgFsyC4Wo/VSg7NOKRQLI/AAAAAAAAANM/oZTObskatbA/s1600/Untitled-3.png" height="352" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Comparación inicial de un perfil limpio contra una máquina en uso</td></tr>
</tbody></table>
<br />
La lista representa los elementos que están fuera de la configuración aprobada. Nótese que los elementos “sospechosos” o desconocidos tiene un valor de hash. Estos valores de hash pueden ser investigados usando una variedad de métodos, como Cisco ThreatGrid o sitios web como VirusTotal. Cualquier elemento reconocido como malicioso hubiera sido eliminado a nivel forense usando la poderosa capacidad de remediación de EnCase Cybersecurity. Los elementos “buenos y conocidos” encontrados fueron adicionados posteriormente al perfil como se muestra a continuación:<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://3.bp.blogspot.com/-oZSWoKa4gzY/VSg7PjjRKsI/AAAAAAAAANc/IukaLPlGm1M/s1600/Untitled-4.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="http://3.bp.blogspot.com/-oZSWoKa4gzY/VSg7PjjRKsI/AAAAAAAAANc/IukaLPlGm1M/s1600/Untitled-4.png" height="342" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Adicionando archivos a un perfil</td></tr>
</tbody></table>
<br />
Puede pensarse en el perfil de EnCase Cybersecurity como una representación viva del estado actual. Una vez adicionados al perfil, estos elementos no serán identificados como “sospechosos” en el futuro. Después de haber trabajado con estos elementos iniciales, cree un perfil de línea de base que solamente mostraba mis elementos con un valor de hash nulo (procesos cuyo archivo generador ya no existe, p. ej. cuando removemos una memoria USB). Mi perfil de Windows 2003 ahora está listo para monitorear continuamente y rápidamente me mostrará cualquier cambio al sistema. <br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://2.bp.blogspot.com/-FKVNTmTXQaw/VSg7Q2MaVpI/AAAAAAAAANk/F15jnWfhu3c/s1600/Untitled-5.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="http://2.bp.blogspot.com/-FKVNTmTXQaw/VSg7Q2MaVpI/AAAAAAAAANk/F15jnWfhu3c/s1600/Untitled-5.png" height="322" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Un perfil de línea de base listo para el monitoreo</td></tr>
</tbody></table>
<br />
Entonces, ahora la organización tiene un perfil de línea de base de Windows 2003 que puede usar para auditorías de TI en conjunto a otros perfiles. Un trabajo de EnCase normal en el ambiente laboral puede aplicarse a miles, centenas o decenas de sistemas dentro de la organización. Para esta demostración, ejecutaremos nuestro trabajo de EnCase sólo en dos sistemas diferentes con sistemas operativos distintos, por lo tanto, dos sistemas con perfiles distintos en EnCase Cybersecurity. Finance-win105 usa Windows 7 SP1 y Admin-8538509C6 usa Windows 2003 SP2. <br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://3.bp.blogspot.com/-e9Bru1Zx8KY/VSg7U6XMBPI/AAAAAAAAANs/WeNkXF4FR_8/s1600/Untitled-6.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="http://3.bp.blogspot.com/-e9Bru1Zx8KY/VSg7U6XMBPI/AAAAAAAAANs/WeNkXF4FR_8/s1600/Untitled-6.png" height="330" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Un solo trabajo ejecutándose en las máquinas con perfiles distintos</td></tr>
</tbody></table>
<br />
Una auditoría exitosa sin cambios a ninguno de los dos sistemas mostraría solamente los 8 procesos de las dos máquinas con valores de hash nulos (nuevamente, porque ya no existen los archivos que los generaron)<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://1.bp.blogspot.com/-61HSxUqY4Gc/VSg7Wu4HwaI/AAAAAAAAAN4/Z15wGzMVT-w/s1600/Untitled-7.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="http://1.bp.blogspot.com/-61HSxUqY4Gc/VSg7Wu4HwaI/AAAAAAAAAN4/Z15wGzMVT-w/s1600/Untitled-7.png" height="336" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Una auditoría exitosa de 2 máquinas mostrando solamente los elementos con valores de hash nulos</td></tr>
</tbody></table>
<br />
Si instalo una sola aplicación no aprobada a la máquina con Windows 2003 o incluso si tengo un solo proceso no aprobado, los resultados son tan obvios que ni siquiera requieren de la revisión de un ingeniero para notar la diferencia en comparación con la auditoría limpia. Instalemos una aplicación no maliciosa, pero no aprobada (por esta organización), para ver el resultado<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://4.bp.blogspot.com/-WwVUd73z0PQ/VSg7Wqw1TuI/AAAAAAAAAN0/SB6c_t3UW2s/s1600/Untitled-8.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="http://4.bp.blogspot.com/-WwVUd73z0PQ/VSg7Wqw1TuI/AAAAAAAAAN0/SB6c_t3UW2s/s1600/Untitled-8.png" height="200" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Adicionando una aplicación no autorizada</td></tr>
</tbody></table>
<br />
Ahora, en la siguiente auditoría o al levantarse una alerta (si está integrado a otras herramientas de seguridad), el auditor verá estos resultados: <br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://3.bp.blogspot.com/-YQugcQ608LM/VSg7YC03HsI/AAAAAAAAAOE/iEryKg7zx4A/s1600/Untitled-9.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="http://3.bp.blogspot.com/-YQugcQ608LM/VSg7YC03HsI/AAAAAAAAAOE/iEryKg7zx4A/s1600/Untitled-9.png" height="332" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Identificando procesos no autorizados después de la auditoría</td></tr>
</tbody></table>
<br />
Claramente, existen nuevos procesos fácilmente identificables y atribuibles a la máquina con Windows 2003. Inmediatamente sabemos que la auditoría proactiva identificó un problema. El siguiente paso sería conducir una investigación con EnCase para responder a las preguntas de “¿quién?”, “¿qué?”, “¿cuándo?”, “¿dónde?” y “¿cómo?”. <br />
<br />
Como pueden ver, EnCase introduce una poderosa capacidad para que incluso equipos pequeños de cumplimiento, auditoría de TI o respuesta a incidentes puedan identificar de forma rápida y proactiva a las amenazas desconocidas. Con EnCase, estos equipos pueden ser exitosos en este tipo de auditoría independientemente del nivel de capacitación o la pericia que tengan. EnCase les ayuda a destacar rápidamente problemas potenciales incluso en sistemas remotos o cuando existe un proceso o archivo desconocido escondido entre miles de sistemas. <br />
<br />
EnCase Cybersecurity es aún más poderoso cuando se lo empareja con <a href="https://www.guidancesoftware.com/Lang/Pages/es/EnCase-Analytics.aspx" target="_blank"><b>EnCase Analytics</b></a>. Con ambos productos juntos, usted tendrá una caja de herramientas completa para auditar y visualizar anomalías en sus dispositivos. <br />
<br />
Si su equipo tiene más preguntas sobre cualquiera de los productos EnCase, por favor escríbanos a <b><a href="mailto:sales-latam@encase.com">sales-latam@encase.com</a></b>, tanto en español como en portugués. Por favor, considere asistir al <a href="https://www.guidancesoftware.com/ceic/Pages/about-ceic.aspx?cmpid=nav#track-en-espa%c3%b1ol" target="_blank"><b>Track en Español del CEIC de 2015</b></a> en Las Vegas, EE. UU., donde tendré mucho más tiempo para hablar sobre este tema a gran detalle.<br />
<br />
<br />
<b>TEMAS RELACIONADOS</b><br />
<br />
<b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/04/introduccion-la-busqueda-proactiva-de.html">Introducción a la búsqueda proactiva de amenazas de TI desconocidas – Parte 1</a> <br /> </b><br />
<b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/03/6-razones-por-las-que-debe-participar.html">6 Razones por las que Debe Participar del Evento en Español del CEIC en Las Vegas, Entre el 18 y el 21 de mayo</a> </b><br />
<br />
<a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank"><b>Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</b></a><br />
<br />
<b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/01/guidance-software-reconocida-por.html">Guidance Software reconocida por Gartner como líder del mercado de herramientas de detección y respuesta en dispositivos</a><br /><br /><a href="http://www.facebook.com/encaseenespanol" target="_blank">Dé un "Me Gusta" a Nuestra Página en Facebook</a> </b><br />
<br />Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-65236661207594649192015-04-09T08:31:00.000-07:002015-04-09T08:38:57.997-07:00Introducción a la búsqueda proactiva de amenazas de TI desconocidas – Parte 1<i>Por T. Grey</i> <br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-F2B6KXkK5pI/VGJ1lZbxlXI/AAAAAAAAAH0/PFFC9PyDApo/s1600/Cybersecurity%2Blogo%2B-%2Bsmall.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="http://2.bp.blogspot.com/-F2B6KXkK5pI/VGJ1lZbxlXI/AAAAAAAAAH0/PFFC9PyDApo/s1600/Cybersecurity%2Blogo%2B-%2Bsmall.png" /></a></div>
Seamos honestos, muchas organizaciones no tienen el conocimiento ni la capacitación necesaria para encontrar e identificar amenazas de malware que no están en la base de datos de malware de nuestras herramientas de seguridad de TI. Esperamos la aparición de parches y alertas utilizando las herramientas que ya tenemos, esperando tener el presupuesto suficiente para que podamos permitirnos herramientas avanzadas que analicen el comportamiento en la red en tiempo real y tener suficiente hardware para que estas herramientas no ralenticen demasiado la red para los usuarios.<br />
<br />
La realidad es que hasta las organizaciones que poseen un grande presupuesto de seguridad de TI no están encontrando las amenazas de forma oportuna. Una parte del problema es que la mayoría de las herramientas tiene que reconocer si un archivo es malicioso para tomar medidas en su contra. Puede tomar días, semanas o incluso meses hasta que las herramientas de seguridad actualicen sus bases de datos en contra de las nuevas amenazas. En caso de un malware especializado que no ha sido utilizado en ninguna otra organización o que sea el resultado de un ataque de personal interno, una amenaza podría nunca ser identificada generalmente como maliciosa. Las organizaciones también pueden tener sistemas operativos anticuados que ya no sean parcheados pero que no pueden ser actualizados hasta un ciclo presupuestario futuro.<br />
<a name='more'></a><br />
Hablaré y haré demonstraciones sobre este tema en el <b><a href="https://www.guidancesoftware.com/ceic/Pages/about-ceic.aspx?cmpid=nav#track-en-espa%c3%b1ol" target="_blank">CEIC de 2015</a></b> en Las Vegas.<br />
<br />
<b>¿Podrían existir amenazas no identificadas en mis sistemas aunque tenga herramientas de seguridad de TI?</b><br />
<br />
El primer paso para proteger su infraestructura de TI es conocer si existen problemas más allá de las alertas proporcionadas por sus herramientas de seguridad de TI. Esto significa tener un proceso para auditar de manera proactiva amenazas o archivos desconocidos que puedan ser indicadores de problemas potenciales. Una gran cantidad de las herramientas de seguridad de TI pueden ayudarle si ya sabe lo que está buscando o si las herramientas ya saben lo que están buscando. Esto puede parecer un poco raro, pero usted necesita una manera de identificar amenazas desconocidas aunque no sepa lo que está buscando. <br />
<br />
La mayoría de las organizaciones tienen herramientas que utilizan “listas negras” para identificar archivos no deseados en la organización así como “listas blancas” para identificar archivos que son definitivamente seguros o que son conocidos como archivos de las aplicaciones de confianza de la organización. Muchos archivos pueden no encajarse en ninguna de las dos categorías y las herramientas de seguridad de TI pueden dejarlos pasar sin alertar a los administradores o sin crear un registro en el sistema de gestión de cambios de TI. Algunos ejemplos pueden ser los siguientes: <br />
<br />
• Una nueva versión no aprobada de aplicaciones aprobadas descargadas por los usuarios<br />
• Versiones obsoletas o sin parches de aplicaciones aprobadas todavía en uso dentro de la organización <br />
• Un nuevo malware desconocido que no es identificado por las herramientas de seguridad de TI<br />
• Un malware conocido que es polimórfico (se modifica a cada nueva infección)<br />
• Aplicaciones no aprobadas instaladas intencionalmente por el usuario<br />
• Aplicaciones no aprobadas instaladas por el mal uso de los privilegios de administrador<br />
• Código desconocido que reside en el sistema pero sin estar activo<br />
<br />
La gama de archivos que pueden ser encontrados es casi infinita, y a menudo pueden parecer estar más allá de la capacidad de gestión de un pequeño equipo. Dicho esto, existe una manera para que los equipos puedan identificar rápidamente archivos sospechosos sin la necesidad de mucha capacitación y con una cantidad razonable de hardware.<br />
<br />
Usted necesita de una solución que pueda mejorar a su equipo sin importar su nivel de destreza.<br />
<br />
<b>Cómo EnCase puede ayudar a identificar rápidamente archivos desconocidos o sospechosos en toda la organización </b><br />
<br />
<a href="https://www.guidancesoftware.com/Lang/Pages/es/EnCase-Cybersecurity.aspx" target="_blank"><b>EnCase Cybersecurity</b></a> permite que las organizaciones construyan rápidamente representaciones de configuraciones aprobadas de usuarios, servidores o dispositivos. A pesar que una auditoría de cumplimento más robusta puede ser realizada por EnCase Cybersecurity cuando se combina a <a href="https://www.guidancesoftware.com/Lang/Pages/es/EnCase-Analytics.aspx" target="_blank"><b>EnCase Analytics</b></a>, EnCase Cybersecurity puede realizar de manera independiente una serie de tareas de cumplimento, seguridad de TI y respuesta a incidentes, incluyendo una análisis de perfil de sistema para identificar rápidamente archivos no autorizados o procesos ocultos entre miles de computadoras. Estos archivos son los que no caben en una lista blanca ni en una lista negra. No es necesario que su equipo tenga una pericia especial en o investigaciones forenses. Los archivos desconocidos serán fácilmente destacados en un informe al final del trabajo. Crear los trabajos es tan fácil como duplicar un trabajo anterior. EnCase no le especificará si los archivos desconocidos son buenos, malos, seguros o maliciosos pero le llevará a dar ese importante primer paso para encontrar proactivamente problemas potenciales mismo que su equipo de seguridad no sabe qué buscar. <br />
<br />
Casos de uso para EnCase Cybersecurity pueden incluir cualquiera de los siguientes:<br />
<br />
• Identificar proactivamente archivos maliciosos no encontrados por otras herramientas de seguridad TI<br />
• Encontrar código o aplicaciones anteriormente desconocidos en servidores, estaciones de trabajo o computadoras portátiles <br />
• Identificar aplicaciones que pueden facilitar el fraude o el mal uso de las computadoras<br />
• Auditar versiones aprobadas y niveles de parche del software aprobado <br />
• Responder rápidamente a las alertas de otras herramientas de seguridad identificando otras amenazas que podrían haber ingresado exitosamente en un sistema que esté bajo ataque <br />
• Verificar la eficacia de la política actual de seguridad de TI según los cambios de red y de usuarios que ocurren con el tiempo<br />
• Proporcionar un seguimiento continuo de los sistemas operativos que están fuera de soporte y que ya no son parcheados<br />
<br />
En la segunda parte de este artículo, analizaremos algunos ejemplos rápidos para encontrar amenazas de manera proactiva utilizando EnCase en sistemas operativos soportados por el fabricante o cuyo soporte está finalizando. El ejemplo debe ser oportuno puesto que el soporte de Windows Server 2003 finalizará el 15 de julio 2015, o cerca de 4 meses después de la publicación de este artículo. La organización que expondremos trabaja principalmente en Win7 y Win8, pero todavía tiene algunas máquinas con Win2003 que no serán actualizadas hasta el próximo ciclo presupuestario en 2016. <br />
<br />
Manténgase atento a la segunda parte de este artículo para ver a EnCase en acción encontrando proactivamente amenazas desconocidas<b>.</b><br />
<br />
<br />
<b>TEMAS RELACIONADOS</b><br />
<b><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/04/vision-general-de-la-integracion-con.html">Visión General de la Integración con EnCase: EnCase & Splunk</a> <br /><br /><a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank">Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español </a><br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/01/guidance-software-reconocida-por.html">Guidance Software reconocida por Gartner como líder del mercado de herramientas de detección y respuesta en dispositivos</a><br /><br /><a href="http://www.facebook.com/encaseenespanol" target="_blank">Dé un "Me Gusta" a Nuestra Página en Facebook </a><br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2014/09/encase-cybersecurity-y-hp-arcsight.html">EnCase® Cybersecurity y HP Arcsight Express se Unen para Entregar Administración y Recuperación de Eventos Críticos Post-Detección</a> </b><br />
Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-4392635377477110032015-04-01T12:10:00.002-07:002015-04-01T12:12:11.334-07:00Visión General de la Integración con EnCase: EnCase & Splunk<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-F2B6KXkK5pI/VGJ1lZbxlXI/AAAAAAAAAH0/PFFC9PyDApo/s1600/Cybersecurity%2Blogo%2B-%2Bsmall.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="http://2.bp.blogspot.com/-F2B6KXkK5pI/VGJ1lZbxlXI/AAAAAAAAAH0/PFFC9PyDApo/s1600/Cybersecurity%2Blogo%2B-%2Bsmall.png" /></a></div>
Una de las características más poderosas de <b><a href="https://www.guidancesoftware.com/Lang/Pages/es/EnCase-Cybersecurity.aspx" target="_blank">EnCase Cybersecurity</a></b> es la habilidad de integrar a EnCase con otras herramientas de seguridad. Las capacidades de respuesta basadas en el contexto de EnCase Cybersecurity, al emparejarse con la tecnología de detección y correlación de eventos de seguridad de su elección, entrega un factor multiplicador a su habilidad de acercarse tanto como sea posible a un evento relacionado a la seguridad de la información. Mediante una arquitectura basada en un bus de servicio, EnCase Cybersecurity puede ser configurado para entregar automáticamente una visión completa y sin obstrucciones de los dispositivos en el momento en que se recibe una alerta para facilitar una variedad de necesidades de la seguridad de la información. <br />
<br />
Para entregar un flujo de trabajo de seguridad completo desde la detección hasta la respuesta, EnCase Cybersecurity se integra con los proveedores líderes de tecnologías de detección de amenazas y de sistemas de administración de la información y de eventos de seguridad (SIEM), como HP ArcsSight, IBM Q1 Labs, FireEye, Sourcefire y otros. Cuando se hace uso de estas integraciones, EnCase Cybersecurity entrega tanto a pequeños equipos de seguridad TI como a grandes centros de operaciones de seguridad la validación y los detalles que necesitan de los hosts afectados prácticamente en tiempo real para entender completamente la naturaleza y el alcance de cualquier incidente, así como también permitir una rápida remediación. <br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<a name='more'></a><br />
Estas integraciones pueden entregar: <br />
<br />
• Una amplia gama de respuestas automatizadas a alertas generadas por otras herramientas de seguridad TI que tengan una arquitectura de respuesta<br />
o La habilidad de capturar el estado volátil de la máquina (procesos, memoria y registro) en el momento en que se generó la alerta o un análisis del perfil del sistema para comparación a un estado confiable previo ya conocido. <br />
o La habilidad de buscar por valor de hash, o incluso la habilidad de búsqueda de archivos similares sin basarse en el valor de hash<br />
o La habilidad de remediar automáticamente a archivos o procesos maliciosos incluso si están en uso<br />
• La habilidad de escalar los recursos de un pequeño equipo de respuesta a incidentes mediante la validación de alertas para encontrar falsos positivos<br />
<br />
El artículo de hoy se enfocará en los casos de uso para la integración de EnCase con Splunk. ¿Qué es Splunk? Splunk es una herramienta de seguridad TI que captura, indexa y correlaciona datos en tiempo real dentro de un repositorio con capacidades de búsqueda, a partir del cual puede generar gráficos, reportes, alertas, consolas y visualizaciones. <br />
<br />
EnCase puede integrarse a Splunk de dos formas. La primera forma provee una serie de respuestas a alertas generadas por Splunk. La segunda forma usa Splunk para monitorear y auditar los datos de EnCase. <br />
<br />
<b>Integrando EnCase con las alertas y las acciones de flujo de trabajo de Splunk</b><br />
<br />
Una alerta es una acción desencadenada por una búsqueda guardada basándose en los resultados especificados de la búsqueda. Las alertas de Splunk comúnmente son usadas para generar emails que avisan a los administradores sobre algún evento. Dicho esto, las alertas de Splunk también pueden ser configuradas de forma que condiciones específicas provenientes de otros sistemas puedan accionar trabajos en EnCase. Una vista técnica a alto nivel de la integración se ve así: <br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-6wfoDrHv9fE/VRw9lmp_UTI/AAAAAAAAALM/81cjHv9K7VY/s1600/splunk%2Bintegration%2Bgraph.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://4.bp.blogspot.com/-6wfoDrHv9fE/VRw9lmp_UTI/AAAAAAAAALM/81cjHv9K7VY/s1600/splunk%2Bintegration%2Bgraph.png" height="360" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<span id="goog_1296936032"></span><span id="goog_1296936033"></span><br />
Los casos de uso para las alertas de Splunk pueden incluir lo siguiente:<br />
<br />
• Una alerta generada para cada intento fallido de inicio de sesión<br />
• Una alerta programada si se alcanza o excede un valor límite. <br />
• Una alerta cuando un CPU es utilizado al 100% durante un periodo de tiempo especificado<br />
<br />
Cada uno de estos ejemplos de casos de uso de alertas podría iniciar un tipo específico de trabajo en EnCase al satisfacerse alguna condición. EnCase podría ofrecer una imagen instantánea de procesos, memoria y registro en un escenario en el que algún CPU se quede estancado al 100% de utilización o proveer una visión diferencial para ver si una cuenta de usuario ha iniciado su sesión previamente en la misma máquina después de un intento fallido de inicio de sesión. <br />
<br />
Ejemplos adicionales de posibles casos de uso durante la integración pueden incluir cualquiera de los siguientes: <br />
<br />
• Comparar el estado actual de una máquina contra la representación de una configuración aprobada<br />
• Remediación automática de archivos o procesos maliciosos<br />
• Captura de artefactos de internet en máquinas seleccionadas<br />
• Búsqueda de información personal o de datos de tarjetas de crédito<br />
• Identificar cualquier proceso o archivo que no haga parte de una configuración de máquina autorizada<br />
<br />
Tanto las consolas preconfiguradas y las consolas personalizadas de Splunk pueden recibir “Acciones de Flujo de Trabajo” (Workflow Actions) para crear respuestas a eventos destacados que sean accionables mediante un solo clic. Estas acciones pueden ser ejecutadas tanto internamente en Splunk como externamente en EnCase. Casos de uso para acciones de flujo de trabajo incluyen:<br />
<br />
• Desencadenar una tarea de imagen instantánea (snapshot) en EnCase<br />
• Ejecutar una búsqueda WHOIS basándose en la dirección de IP de un evento<br />
• Producir una búsqueda (mediante Google, Bing, Yahoo, etc.) de algún valor específico de un campo de un evento<br />
• Lanzar búsquedas secundarias utilizando campos obtenidos de un evento<br />
<br />
<b>Utilizando Splunk para monitorear a EnCase y a los eventos de EnCase</b><br />
<br />
EnCase es un producto de nivel corporativo con muchas características diseñadas específicamente para infraestructuras corporativas. Por ejemplo, Splunk puede ser usado para monitorear Logs de Eventos generados por cualquiera de los productos EnCase. <br />
<br />
La Funcionalidad de “Scripted Input” (introducción de entradas mediante script) también puede ser configurada para monitorear el estado proprio de EnCase. Esto puede usarse para monitorear datos en EnCase, tales como: <br />
<br />
• API de Servicios Web de ECC Cybersecurity de EnCase<br />
• Bases de Datos ECC de EnCase<br />
<br />
Las Bases de Datos y la API de Servicios Web de ECC pueden ser monitoreadas en Splunk mediante un script personalizado que especifica qué datos deben ser monitoreados. <br />
<br />
De forma similar a EnCase Analytics, Las consolas visuales de Splunk son extremadamente personalizables y pueden ser usadas como un lugar centralizado para el monitoreo de las actividades y de los logs de EnCase, además de muchos otros tipos de datos. Las consolas visuales vienen preconfiguradas pero pueden ser personalizadas para satisfacer las necesidades comerciales particulares a cualquier cliente. Casos de uso para consolas visuales incluyen:<br />
<br />
• Monitoreo de los Logs de Eventos de EnCase<br />
• Estado del Sistema<br />
• Seguimiento de la Investigación<br />
• Análisis de Objetivos y de Valores de Hash<br />
<br />
Espero que este artículo del blog le haya provisto una visión general a alto nivel de algunos de los casos de uso para el manejo de riesgos de TI y para la administración de TI que pueden ser cubiertos mediante la integración de EnCase con Splunk. Lo invitamos a despejar sus dudas técnicas u otras dudas específicas escribiéndonos a la dirección <b><a href="mailto:sales-latam@encase.com">sales-latam@encase.com</a></b><br />
<br />
<br />
<b>TEMAS RELACIONADOS</b><br />
<br />
<b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/03/6-razones-por-las-que-debe-participar.html">6 Razones por las que Debe Participar del Evento en Español del CEIC en Las Vegas, Entre el 18 y el 21 de mayo </a><br /><br /><a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank">Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</a> <br /><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/01/guidance-software-reconocida-por.html">Guidance Software reconocida por Gartner como líder del mercado de herramientas de detección y respuesta en dispositivos </a><br /><br /><a href="http://www.facebook.com/encaseenespanol" target="_blank">Dé un "Me Gusta" a Nuestra Página en Facebook</a> </b><br />
<b><br /><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/03/motor-criptografico-de-encase.html">Motor Criptográfico de EnCase: Certificado FIPS 140-2 por el NIST y el CSE </a></b><br />
<b> </b>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-34826632457590802702015-03-26T11:38:00.000-07:002015-03-30T13:58:36.281-07:00Motor Criptográfico de EnCase: Certificado FIPS 140-2 por el NIST y el CSE<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-DkEbXSJHcEw/VFKvhRJwUMI/AAAAAAAAAHk/QyXdccL4XQQ/s1600/EnCase%2Blogo%2B-%2Bsmall.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="http://1.bp.blogspot.com/-DkEbXSJHcEw/VFKvhRJwUMI/AAAAAAAAAHk/QyXdccL4XQQ/s1600/EnCase%2Blogo%2B-%2Bsmall.png" /></a></div>
Todas las capacidades criptográficas ofrecidas por cualquiera de las soluciones EnCase (incluyendo EnCase 7.x o ECC 5.x ) son proporcionadas por el Motor Criptográfico de EnCase. Desde finales de agosto de 2014, el Motor Criptográfico de EnCase ha sido galardonado con la certificación FIPS 140-2 del Instituto Nacional para la Estandarización y Tecnología de los Estados Unidos (NIST) y el Centro de Seguridad de las Telecomunicaciones de Canadá (CSE).<br />
<br />
La certificación FIPS 140-2 es una certificación otorgada a los módulos criptográficos que cumplen con los requisitos divulgados en la publicación 140-2 de los Estándares Federales de Procesamiento de la Información estadunidense. El NIST divulgó esta publicación para coordinar requisitos y estándares para módulos criptográficos, ya sean de hardware o de software. <br />
<br />
La protección de un módulo criptográfico dentro de un sistema seguro es necesaria para mantener la confidencialidad y la integridad de la información protegida por un módulo. Este estándar especifica los requisitos de seguridad que necesitan ser satisfechos por un módulo criptográfico. <br />
<a name='more'></a><br />
El estándar provee cuatro niveles crecientes de seguridad con la intención de cubrir una amplia gama de aplicaciones y servir a distintos ambientes. Los requisitos de seguridad incluidos envuelven áreas relacionadas al diseño e implementación segura de un módulo criptográfico. Estas áreas incluyen la especificación del módulo criptográfico, puertos e interfaces, roles, servicios, autenticación, seguridad física, mitigación de otros ataques, etc. <br />
<br />
El Motor Criptográfico de EnCase ha sido galardonado con el nivel 3, el más alto ofrecido para productos que no operan en áreas desprotegidas físicamente. El NIST y el CSE han certificado que el Motor Criptográfico de EnCase ofrece, entre otras, las siguientes funcionalidades:<br />
<br />
• Todos sus componentes son operativos y no incluyen ninguna brecha de seguridad flagrante<br />
• Ofrece autenticación basada en el cargo del usuario e identificación de usuarios individuales. <br />
• Detecta la intrusión física mediante sistemas de bloqueo físico o precintos de seguridad. <br />
• Resiste a la intrusión física con fines de desmontaje o modificación, dificultando al máximo los ataques. <br />
• Es capaz de borrar parámetros críticos de seguridad al detectar una intrusión. <br />
• Incluye protección criptográfica eficaz con administración de claves.<br />
• Tiene separación lógica entre las interfaces usadas para acceder a los parámetros críticos de seguridad<br />
<br />
Para leer el listado completo de certificaciones FIPS 140-2 que han sido otorgadas, siga el siguiente <b><a href="http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/1401val2014.htm" target="_blank">enlace</a></b>. La certificación dada a EnCase tiene el número 2220. Para ver una copia de nuestro certificado, puede pulsar sobre este <b><a href="http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140crt/FIPS140ConsolidatedCertList0044.pdf" target="_blank">enlace</a></b>. Si siguió los enlaces anteriores, pudo ver que la certificación es rigurosa y solamente ha sido dada a nombres reputados de la industria de seguridad digital. <br />
<br />
Si desea mayor información sobre cómo funciona el Motor Criptográfico de EnCase, lo que significa tener un producto certificado con el FIPS 140-2 en su organización o si tiene alguna duda o sugerencia relacionada a los productos EnCase, no dude en contactarnos mediante el e-mail <a href="mailto:sales-latam@encase.com"><b>sales-latam@encase.com</b>.</a><br />
<br />
<br />
<b>TEMAS RELACIONADOS</b><br />
<br />
<b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/03/6-razones-por-las-que-debe-participar.html">6 Razones por las que Debe Participar del Evento en Español del CEIC en Las Vegas, Entre el 18 y el 21 de mayo</a> </b><br />
<b><br /></b>
<a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank"><b>Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español </b></a><br />
<b><br /></b>
<a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/01/guidance-software-reconocida-por.html"><b>Guidance Software reconocida por Gartner como líder del mercado de herramientas de detección y respuesta en dispositivos </b></a><br />
<a href="http://www.facebook.com/encaseenespanol" target="_blank"><b><br /></b></a>
<a href="http://www.facebook.com/encaseenespanol" target="_blank"><b>Dé un "Me Gusta" a Nuestra Página en Facebook </b></a><br />
<br />Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-7228913586684306512015-03-13T12:55:00.000-07:002015-03-23T11:40:04.180-07:006 Razones por las que Debe Participar del Evento en Español del CEIC en Las Vegas, Entre el 18 y el 21 de mayo<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-eOZ92dwJ1dY/VC7CGWH6e4I/AAAAAAAAAHE/a0FM9CT7tVE/s1600/encase%2Bceic%2B2.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="http://4.bp.blogspot.com/-eOZ92dwJ1dY/VC7CGWH6e4I/AAAAAAAAAHE/a0FM9CT7tVE/s1600/encase%2Bceic%2B2.png" /></a></div>
Probablemente haya escuchado hablar sobre la conferencia de Guidance Software en el Caesars Palace de Las Vegas, EE.UU. del 18 al 21 de mayo. Es un evento enorme con miles de profesionales en investigaciones digitales, seguridad de la información, malware y auditoría de TI. Quizás haya pensado que esta conferencia no se aplica a usted o que no sería de ayuda para su organización. <br />
<br />
En este artículo presentamos 6 razones por las que debe participar del <b><a href="https://www.guidancesoftware.com/ceic/Pages/about-ceic.aspx?cmpid=nav#track-en-espa%c3%b1ol" target="_blank">Evento en Español del CEIC</a></b> en Las Vegas. <br />
<a name='more'></a><br />
<b>1) Hará parte de la mayor conferencia de investigaciones digitales en el mundo: </b>el CEIC reúne a miles de profesionales de los campos de investigaciones digitales, seguridad de la información respuesta a incidentes y profesionales de auditoría en un único lugar durante cuatro días de intensa discusión y capacitación. Habrá profesionales de algunas de las mayores organizaciones comerciales del mundo, las mayores organizaciones de Latinoamérica, gobiernos, y también organizaciones pequeñas. Si trabaja como un investigador forense, auditor de TI, investigador de fraude, profesional de cumplimiento, abogado o cualquier tipo de administrador de riesgos de TI tendrá la oportunidad de hablar con muchas personas influyentes de su campo, de su país y de otros lugares del mundo. El conferencista principal (en inglés) será el famoso Brian Krebs, del sitio <a href="http://www.krebsonsecurity.com/" target="_blank">Krebs on Security</a>. Este evento es el “pez gordo” entre los eventos de la rama de investigaciones digitales. <br />
<br />
<b>2) El CEIC tiene un sector especial donde todas las sesiones tienen contenido original en español: </b>el CEIC tiene varios sectores dedicados a varias especialidades. Por segunda vez, el CEIC ofrecerá contenido original en su idioma, el español, presentado por clientes y otros expertos de Latinoamérica. Estas presentaciones no serán versiones traducidas de presentaciones en inglés. Las presentaciones serán de contenido original cuyo tema en muchos casos no estará disponible entre las sesiones en inglés. <br />
<br />
<b>3) Independientemente de su rol en su oficina, expandirá sus conocimientos y podrá contribuirlos inmediatamente en su organización:</b> una mirada rápida a las sesiones en español disponibles en el CEIC 2015 demostrará la amplia gama de temas que serán discutidos a detalle y los conocimientos que podrán ser obtenidos. Las sesiones en español de este año serán:<br />
<br />
– Aplicación de Normas PCI en Ecuador<br />
– Bitcoin Forensics con EnCase – El Nuevo Reto para los Forenses<br />
– Cuestiones Legales Sobre la Protección de Datos<br />
– Desafíos en el Manejo de Riesgos y Cumplimiento<br />
– ¿El GRC Debe Torturar? ... Claro Que No, Cómo Evitarlo<br />
– Filer Timestamps, Rompiendo el Mito<br />
– Investigaciones a Través del Árbol de Red<br />
– Investigaciones Digitales en Red<br />
– Investigaciones en el Archivo de Hibernación (Hiberfil.sys)<br />
– Pandillas, Bandas, Carteles y Cibercriminales: Atacando Pronto un ATM Cerca de Usted<br />
– Remote Forensics: Una Herramienta para la Respuesta a Incidentes<br />
<br />
Las sesiones le serán increíblemente valiosas y le ofrecerán todo tipo de oportunidades para expandir sus conocimientos. Si usted es un investigador criminal forense, podrá aprender cómo aplicar sus profundas habilidades post-mortem a distintos campos, como investigaciones de malware o tareas más amplias y proactivas en su organización, como la auditoría de TI. Si usted es un auditor de TI, podrá aprender lo que es posible con la ayuda del análisis a nivel forense o cómo incorporar herramientas de auditoría como EnCase en marcos PCI,GRC u otros. <br />
<br />
<b>4) En el CEIC 2015, aprenderá con líderes de opinión del sector latinoamericanos y no solo con empleados de Guidance Software:</b> la mayoría de los presentadores de este sector del CEIC son líderes de opinión del sector que trabajan en Latinoamérica. Ellos conocen los desafíos específicos de la región y hablan su idioma. Además, saben cómo ayudarle a pensar en las soluciones de una forma distinta. Entre los conferencistas destacados de este año, podemos mencionar:<br />
<br />
– Adolfo Grego, Mycros Electrónica SA de CV (México)<br />
– Eduardo Recabarren, Banco Paris (Chile)<br />
– Edwin Cifuentes Bastidas, Adalid Corp SAS (Colombia)<br />
– Gustavo Presman, Estudio de Informática Forense - Argentina (Argentina)<br />
– Lilia Liu, Lilia Liu and Associates (Panamá)<br />
– Magdiel Hernandez, HSBC México (México)<br />
– Marco Tamayo, Pacificard (Ecuador)<br />
– Martin Melloni Anzoategui, BPCM Abogados (Argentina)<br />
– Rómulo Lomparte, ITG Consulting (Perú)<br />
– Yesenia Ballestas Gutiérrez, Policía Nacional de Colombia (Colombia)<br />
<br />
<b>5) Podrá hacer parte de sesiones prácticas de laboratorio, obtener créditos de educación continua e incluso comenzar su prueba de certificación EnCE:</b> si usted y su organización consideran importante la capacitación, podrán hacer parte de una amplia gama de oportunidades de capacitación en EnCase, tanto en inglés como en español. Incluso si es un gerente o si trabaja en un área no práctica, tendrá la oportunidad de ver cómo EnCase trabaja en una amplia variedad de áreas relacionadas a las distintas sesiones. Si está estudiando para su EnCE, podrá tomar la parte escrita del examen sin ningún costo adicional. Si ya tiene su certificación EnCE, asistir al CEIC le ayudará a cumplir sus requisitos de educación continua para mantener su certificación.<br />
<b><br />6) El CEIC 2015 se llevará a cabo en el Hotel Caesars Palace de Las Vegas:</b> el CEIC de 2015 se llevará a cabo en la célebre ciudad de Las Vegas. La “Las Vegas Strip” ofrece una experiencia increíble con actividades y comercios de nivel mundial. Por supuesto, Las Vegas también es famosa por sus casinos. Retornará a casa con recuerdos que le durarán toda una vida, así como una gran cantidad de nuevos conocimientos profesionales. Si no tiene una visa para los Estados Unidos, Guidance Software puede proporcionarle una carta de invitación.<br />
<br />
Entonces, ¿que está esperando para registrarse? Regístrese hoy en el siguiente enlace de nuestra página web para el <b><a href="https://www.guidancesoftware.com/ceic/Pages/about-ceic.aspx?cmpid=nav#track-en-espa%c3%b1ol" target="_blank">CEIC 2015 en Español</a></b>. Los asistentes latinoamericanos podrán registrarse con un descuento de US$200 respecto al precio regular. Además, si se registra hasta el día 31 de marzo tendrá un descuento adicional que también tiene un valor de US$200.<br />
<br />
Si tiene alguna duda o sugerencia, póngase en contacto con nosotros mediante el email <a href="mailto:sales-latam@encase.com">sales-latam@encase.com</a>. <br />
<br />
<b><br />TEMAS RELACIONADOS</b><br />
<br />
<a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/01/las-sesiones-en-espanol-del-ceic-2015.html"><b>Las Sesiones en Español del CEIC 2015 Han Sido Anunciadas</b></a><br />
<br />
<b><a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank">Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español </a></b><br />
<br />
<a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2015/01/guidance-software-reconocida-por.html"><b>Guidance Software reconocida por Gartner como líder del mercado de herramientas de detección y respuesta en dispositivos </b></a><br />
<br />
<a href="http://www.facebook.com/encaseenespanol" target="_blank"><b>Dé un "Me Gusta" a Nuestra Página en Facebook</b></a><br />
<b> </b>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-5382400535438185544.post-315381852098164942015-03-05T11:25:00.001-08:002015-03-05T12:17:07.180-08:00Diferencias entre las soluciones EnCase y los DLP<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-JLpVQdlDgc8/U_zrMQRKHkI/AAAAAAAAADI/5XVfppK3Ezw/s1600/EnCase-Logo-Small.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="http://2.bp.blogspot.com/-JLpVQdlDgc8/U_zrMQRKHkI/AAAAAAAAADI/5XVfppK3Ezw/s1600/EnCase-Logo-Small.png" /></a></div>
En este artículo de nuestro blog hablaremos sobre puntos que diferencian a las soluciones EnCase de las herramientas para prevención de pérdida de datos, comúnmente conocidos por su abreviatura en inglés DLP. Para esto, nombraremos algunas de las dificultades presentadas durante el flujo de trabajo en DLP y luego mostraremos un cuadro en el que veremos cómo distintas funcionalidades esenciales para la protección de dispositivos finales están representadas en las soluciones EnCase y en los DLP más comunes del mercado.<br />
<a name='more'></a><br />
<b>Expresiones Regulares o Examinaciones Basadas en Reglas: </b>Al tratar con expresiones regulares o examinaciones basadas en reglas, los DLP pueden encontrar falsos positivos y falsos negativos. Cuando una solución DLP arroja falsos positivos, puede afectar las operaciones comerciales al impedir ciertas acciones esenciales para el funcionamiento de la empresa.<br />
<br />
Cuando encontramos lo opuesto, falsos negativos, el DLP puede permitir la transferencia de información confidencial a sectores no protegidos de la empresa, a empleados sin permisos suficientes de acceso o, peor aún, a personas malintencionadas que no hagan parte de la organización. <br />
<br />
<b>Comparación de coincidencia exacta de un archivo:</b> Cuando solamente comparamos la coincidencia exacta de un archivo mediante el cálculo del valor hash de los archivos confidenciales, la alteración de apenas 1 bit de la información dentro del archivo es suficiente para generar un falso negativo facilitando enormemente la evasión de las defensas. <br />
<br />
Las herramientas de EnCase pueden comparar la coincidencia parcial entre archivos mediante un análisis de entropía, en un proceso patentado por Guidance Software. Este análisis nos permite comparar archivos distintos para encontrar si parte de ellos son iguales, evitando que la información confidencial pueda escapar de la empresa mediante modificaciones realizadas por personal malintencionado. <br />
<b><br /></b>
<b>Análisis estadístico: </b>A pesar que el análisis estadístico es muy funcional, requiere una gran cantidad de datos para la comparación. Esto toma tiempo y requiere de una alta inversión en hardware. Necesitamos algo que nos proteja antes de que se generen los datos para estas estadísticas<br />
<br />
<b>Análisis de Conceptos o Lexicon: </b>Nuevamente, el análisis de conceptos es muy útil, pero es difícil de configurar. Usualmente, requiere de personal calificado y de soporte directo del proveedor de la herramienta DLP, lo que puede probar ser muy costoso. <br />
<br />
En el siguiente recuadro, presentamos distintas funcionalidades preconfiguradas de EnCase y cómo estas están representadas en las herramientas DLP ofrecidas en el mercado:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-ajhcNoKv4mo/VPisQzzm6hI/AAAAAAAAAKM/gVlpYOz7Bes/s1600/EnCase%2Bvs%2BDLP.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://4.bp.blogspot.com/-ajhcNoKv4mo/VPisQzzm6hI/AAAAAAAAAKM/gVlpYOz7Bes/s1600/EnCase%2Bvs%2BDLP.png" height="328" width="640" /></a></div>
<br />
Si su empresa ya cuenta con una herramienta DLP, las soluciones EnCase cuentan con diversos conectores que permiten integrarlo completamente a nuestra plataforma. Estos conectores vienen preconfigurados "de paquete" para los DLP más conocidos del mercado y también tenemos un API robusto que permite su integración con herramientas desarrolladas por su empresa o por desarrolladores menos conocidos. <br />
<br />
Si desea más información sobre los productos EnCase y cómo podemos evitar la fuga de datos en su empresa, ya sea que tenga o no un DLP, no dude en contactarnos mediante el email <a href="mailto:sales-latam@encase.com">sales-latam@encase.com</a><br />
<br />
<br />
<b>TEMAS RELACIONADOS</b><br />
<br />
<a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2013/08/casos-de-uso-encase-cybersecurity_31.html"><b>Casos de Uso: EnCase Cybersecurity Complementando un DLP Cuando se Conecta una Memoria USB</b></a><br />
<b><br /></b>
<b><a href="http://www.facebook.com/encaseenespanol" target="_blank">Dé un "Me Gusta" a Nuestra Página en Facebook</a></b><br />
<b><br /></b>
<b><a href="http://recorriendo-los-caminos-de-encase.blogspot.com/2013/10/casos-de-uso-9-encase-cybersecurity.html">Casos de Uso #9: EnCase Cybersecurity Complementando un DLP para Encontrar Información Confidencial</a> </b><br />
<a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank"><b><br /></b></a>
<a href="http://www.linkedin.com/groups/Usuarios-EnCase-Espa%C3%B1ol-4476438" target="_blank"><b>Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español</b></a><br />
<br />Anonymousnoreply@blogger.com0