Mostrando entradas con la etiqueta Investigaciones. Mostrar todas las entradas
Mostrando entradas con la etiqueta Investigaciones. Mostrar todas las entradas

Guidance Software 101: Las Bases – Los Componentes que Permiten Estrategias de Endpoint Exitosas (#6)


Esta es la sexta publicación de nuestra serie del blog de 101 artículos que entregará una visión general de los componentes que permiten auditorías e investigaciones en los productos de Guidance Software. Estamos llegando al final de la parte de las bases de nuestra serie, diseñada para orientarlo con conceptos básicos antes de que enfrentemos casos de uso más complejos. Nuestro último artículo respondió a la pregunta de cómo hacer la transición entre la detección en el endpoint a la respuesta en el endpoint. En este artículo, cambiaremos de marcha para discutir los componentes comunes a la mayoría de los productos de Guidance Software.

¿CUÁLES SON LOS COMPONENTES PRINCIPALES DE LOS PRODUCTOS DE GUIDANCE SOFTWARE?



Los productos de Guidance Software son el resultado de componentes altamente escalables. Estos componentes incluyen:

Guidance Software 101: Las Bases – Haciendo la Transición entre la Detección en el Endpoint y la Respuesta a Incidentes (#5)


Esta es la quinta publicación de nuestra serie de 101 artículos. En el último artículo posteado, nos expandimos más allá de la búsqueda y recolección de archivos para discutir las bases de la visibilidad a nivel forense en cientos o miles de endpoints. Este artículo tomará estos tres temas anteriores para combinarlos bajo el término “Detección en el Endpoint” y profundizará en las respuestas accionables para los incidentes detectados en esos endpoints. Al final de este artículo, usted comprenderá no solo los conceptos y las metodologías de la detección y respuesta en endpoints, sino que también entenderá las ventajas accionables ofrecidas por los productos de Guidance Software.

¿QUÉ ES DETECCIÓN Y RESPUESTA EN ENDPOINTS?

En 2015, Gartner definió una nueva categoría competitiva y la nombró “Detección y Respuesta en Endpoints”. Definieron a esta categoría de soluciones de la siguiente forma:

“El mercado de Detección y Respuesta en Endpoints es un mercado emergente entre las tecnologías de seguridad, creado para satisfacer la necesidad de una detección y respuesta continua ante las amenazas avanzadas, principalmente con el objetivo de aumentar significativamente las capacidades de monitoreo de seguridad, detección de amenazas y respuesta a incidentes.”

Guidance Software 101: Las Bases – Visibilidad a Nivel Forense de 360 Grados en los Endpoints (#4)



Este es el cuarto artículo de nuestra serie de 101 artículos que le darán al lector una visión general o una referencia de cómo los productos de Guidance Software pueden ayudar a una organización y las ventajas que nuestros productos ofrecen. Estamos a la mitad de la sección de bases de la serie que intenta orientarlo con conceptos básicos antes de que enfrentemos casos de uso más complejos. Los 2 últimos artículos que hemos posteado discutieron el arte de la búsqueda de archivos y la ciencia de recolección de archivos. En este artículo, expandiremos la discusión más allá de simplemente archivos. Entenderemos de mejor forma cómo su organización puede conseguir fácilmente una visibilidad verdaderamente a nivel forense de todos los tipos de residuo que pueden residir como evidencia en sus endpoints para encontrar rápidamente a través de centenas o miles de computadoras código malicioso previamente desconocido, indicadores de mal uso informático o datos confidenciales almacenados en localizaciones no autorizadas.

Guidance Software 101: Las Bases – La Ciencia de la Recolección de Archivos (#3)



Este es el tercer artículo de una serie de 101 artículos que le darán al lector una visión general o una referencia de cómo los productos de Guidance Software pueden ayudar a una organización y las ventajas que nuestros productos ofrecen. Aún estamos en el principio de esta serie, por lo tanto, estamos cubriendo “las bases”. En nuestro último artículo abordamos el arte de la búsqueda de archivos. En este artículo, abordaremos una visión global de la ciencia de la recolección de archivos, una parte central de la ejecución de auditorías o investigaciones accionables por auditores, investigadores y asesores legales.

QUÉ ES LA RECOLECCIÓN DE ARCHIVOS

Generalmente, cuando datos digitales son recolectados como parte de una investigación, los auditores de TI o investigadores digitales están intentando comprender si las computadoras, recursos de red o recursos en la nube de una organización han sido accedidos o usados como (1) un objetivo para actos criminales, intrusiones o violaciones a las políticas internas; (2) como un instrumento para el crimen, intrusiones o violaciones de políticas internas o (3) como un repositorio de evidencia asociada a un crimen o a una violación a una política interna. Esto se descubre gracias al resultado de la análisis de los resultados de una auditoría de TI proactiva o de una investigación digital. Los archivos identificados como sospechosos o como evidencia son una parte integral del análisis general.

Guidance Software 101: Las Bases – El Arte de Buscar Archivos (#2)


Esta es la segunda publicación de nuestra serie de 101 artículos que postearemos en el blog. En el primer artículo, discutimos cómo la identificación de evidencia es una parte clave de la capacidad de auditoría e investigación de una organización. Este artículo se enfocará en orientar al lector sobre las bases de la búsqueda de archivos y las ventajas que los productos de Guidance Software traen a la búsqueda de archivos.

 
VISIÓN GENERAL DE LA BÚSQUEDA DE ARCHIVOS

Muchos de los conceptos de la búsqueda de archivos podrían parecer auto explicativos, pero dicho esto, en este artículo del blog describiremos las bases de la búsqueda de archivos, por lo tanto, hablaremos incluso sobre las bases más obvias para preparar a los lectores a los temas de búsqueda más avanzados que cubriremos más adelante en otros artículos.

Guidance Software 101: Conceptos Fundamentales (#1)


Este es el primer post de una serie titulada “Guidance Software 101” que estará diseñada para entregar una vista general sobre cómo las soluciones de software empresarial de Guidance Software pueden ayudar a su organización a resolver una amplia gama de casos de uso investigativos y de auditoría de TI. Esta serie de artículos está diseñada para ofrecer una orientación sobre capacidades y casos de uso así como situarse como una referencia para profesionales de seguridad de TI, profesionales de cumplimiento de TI, investigadores internos, consejeros legales, investigadores de malware, profesionales de RR.HH. e incluso revendedores de Guidance Software.

La serie será organizada de la siguiente manera:

Área
Artículos
Conceptos Fundamentales
#1 Comprendiendo Nuestras Ventajas
Las Bases
#6: Comprendiendo el Sistema de Componentes de Guidance Software
Capacidades de Software Específicas y Casos de Uso
#6-#101 Tópicos específicos

Sin más, empecemos comprendiendo los conceptos fundamentales que están por detrás de las soluciones de Guidance Software.

EnCase Endpoint Security 5.10: Guidance Software acelera y sintetiza la respuesta a incidentes


 EnCase® Endpoint Security ahora soporta indicadores de compromisos y se integra con Splunk y Lasttline

Guidance Software ha anunciado el lanzamiento de EnCase® Endpoint Security versión 5.10. Reconocidos como líderes en el mercado de detección y respuesta en endpoints de los analistas de la industria, hemos centrado esta versión sobre la reducción del tiempo requerido de los equipos de seguridad para la clasificación y validación de alertas provenientes de un creciente número de herramientas internas y de fuentes externas de inteligencia de amenazas.

SC Magazine califica con 5 estrellas a EnCase® Endpoint Security



Nos complace anunciar que nuestro producto EnCase® Endpoint Security ha recibido la calificación de cinco estrellas en la reseña de productos de seguridad de endpoints de la edición actual de SC Magazine. Los que trabajamos en seguridad hace algunos años sabemos que la "seguridad de endpoints" ya no significa un antivirus, y esto ha tomado un poco de tiempo para ser aceptado unánimemente. Creemos que esta reseña valida la necesidad de la detección y la respuesta en endpoints para ayudar a las herramientas perimetrales, de red y de logs; y además, creemos que esto será punto de inflexión en el concepto general de seguridad.

La recuperación de contraseñas puede ser práctica

 por Ken Mizota

El departamento de Tableau de Guidance Software recientemente lanzó Tableau™ Password Recovery, una solución de hardware y software para acelerar los ataques a contraseñas de archivos protegidos, discos y otros contenedores.

Siempre es divertido jugar con nuevos “juguetes”. Cuando el nuevo juguete es un gigante construido especialmente para romper contraseñas y escalable linealmente, ¿cómo podríamos jugar sin compartirlo? Investigué un poco durante la ejecución de una configuración de Tableau Password Recovery con dos servidores para pruebas en nuestros laboratorios aquí en Pasadena, California, y aunque he encontrado muchas buenas herramientas y tutoriales para el descifrado de contraseñas, hallé difícil diferenciar lo teóricamente posible de lo realmente práctico. Aquí, presento algunas ideas formuladas durante este proceso.

Guidance Software anuncia el lanzamiento de EnCase Endpoint Security


Cuando se trata de defender los datos de su organización de amenazas, las soluciones tecnológicas y las soluciones de antivirus basados en el perímetro, pueden solo solucionar una parte. Hoy en día el paisaje de amenazas está devastado por el incremento de ataques de malware sofisticados, campañas dirigidas hacia compañías específicas y grupos industriales, y una infinita combinación de los actores de amenaza, y muy pocos especialistas en seguridad cibernética o especialistas en respuestas y poco personal capacitado, todo esto aumenta la exposición.

Detección proactiva contra amenazas, respuesta automatizada a incidentes y mucho más

Guidance Software tiene el agrado de anunciar una nueva solución, llamada EnCase Endpoint Security. EnCase Endpoint Security combina dos productos líderes en la industria, EnCase® Analytics y EnCase® Cybersecurity, para detectar, validar y priorizar las amenazas desconocidas, evaluar el alcance de lo que se ha comprometido y retornar los dispositivos a un estado confiable.

Introducción a la búsqueda proactiva de amenazas de TI desconocidas – Parte 2

Por T. Grey

En la primera parte de este artículo de nuestro blog, cubrimos las razones de alto nivel y los casos de uso por los cuales las alertas y los parches pueden no ser suficientes para proteger a su organización de amenazas externas de malware y del mal uso interno de las computadoras. En esta segunda parte, veremos un ejemplo de cómo EnCase Cybersecurity puede ayudar a las organizaciones a encontrar amenazas desconocidas aplicando una visibilidad a nivel forense de los sistemas mediante una interfaz amigable a un auditor de TI.

Las Auditorías con EnCase pueden ser tan oportunas como lo necesite su equipo de seguridad. Las auditorías pueden ser programadas de forma independiente de acuerdo a la superficie de riesgo percibida por la organización, se pueden crear colas para conseguir resultados inmediatos o se pueden integrar como parte de un plan de respuesta a incidentes con alertas de otras herramientas de seguridad de TI.

La organización de este ejemplo tiene muchos sistemas Windows para los empleados y una mezcla de servidores Windows y Linux. Además, esta organización no conseguirá hacer la transición de algunos de sus servidores con Windows 2003 antes de la finalización del ciclo de vida del sistema operativo, agendada por Microsoft para el 15 de julio de 2015.

Introducción a la búsqueda proactiva de amenazas de TI desconocidas – Parte 1

Por T. Grey

Seamos honestos, muchas organizaciones no tienen el conocimiento ni la capacitación necesaria para encontrar e identificar amenazas de malware que no están en la base de datos de malware de nuestras herramientas de seguridad de TI. Esperamos la aparición de parches y alertas utilizando las herramientas que ya tenemos, esperando tener el presupuesto suficiente para que podamos permitirnos herramientas avanzadas que analicen el comportamiento en la red en tiempo real y tener suficiente hardware para que estas herramientas no ralenticen demasiado la red para los usuarios.

La realidad es que hasta las organizaciones que poseen un grande presupuesto de seguridad de TI no están encontrando las amenazas de forma oportuna. Una parte del problema es que la mayoría de las herramientas tiene que reconocer si un archivo es malicioso para tomar medidas en su contra. Puede tomar días, semanas o incluso meses hasta que las herramientas de seguridad actualicen sus bases de datos en contra de las nuevas amenazas. En caso de un malware especializado que no ha sido utilizado en ninguna otra organización o que sea el resultado de un ataque de personal interno, una amenaza podría nunca ser identificada generalmente como maliciosa. Las organizaciones también pueden tener sistemas operativos anticuados que ya no sean parcheados pero que no pueden ser actualizados hasta un ciclo presupuestario futuro.

Visión General de la Integración con EnCase: EnCase & Splunk


Una de las características más poderosas de EnCase Cybersecurity es la habilidad de integrar a EnCase con otras herramientas de seguridad. Las capacidades de respuesta basadas en el contexto de EnCase Cybersecurity, al emparejarse con la tecnología de detección y correlación de eventos de seguridad de su elección, entrega un factor multiplicador a su habilidad de acercarse tanto como sea posible a un evento relacionado a la seguridad de la información. Mediante una arquitectura basada en un bus de servicio, EnCase Cybersecurity puede ser configurado para entregar automáticamente una visión completa y sin obstrucciones de los dispositivos en el momento en que se recibe una alerta para facilitar una variedad de necesidades de la seguridad de la información.

Para entregar un flujo de trabajo de seguridad completo desde la detección hasta la respuesta, EnCase Cybersecurity se integra con los proveedores líderes de tecnologías de detección de amenazas y de sistemas de administración de la información y de eventos de seguridad (SIEM), como HP ArcsSight, IBM Q1 Labs, FireEye, Sourcefire y otros. Cuando se hace uso de estas integraciones, EnCase Cybersecurity entrega tanto a pequeños equipos de seguridad TI como a grandes centros de operaciones de seguridad la validación y los detalles que necesitan de los hosts afectados prácticamente en tiempo real para entender completamente la naturaleza y el alcance de cualquier incidente, así como también permitir una rápida remediación.

¿Qué hemos aprendido de los ciberataques del 2014?


En Guidance Software tenemos el honor de entrenar y trabajar junto a equipos de seguridad de la información en numerosas corporaciones globales y agencias gubernamentales. Esto nos proporciona una ventaja ideal para aprender e incorporar la más grande inteligencia sobre los métodos de ataque y las mejores prácticas en respuesta a incidentes. Por esta razón, podemos ofrecerles una mirada a lo que hemos observado durante el aluvión de ciberataques ocurridos en este año.

Dónde invertir recursos en esta era de ataques de alto perfil  

En nuestra opinión, el impacto más grande que ha tenido el gran número de intrusiones famosas se encuentra en el crecimiento en la conciencia, tanto pública como corporativa, de estos ataques y de las dificultades presentes en asegurar los activos de una compañía. Esta concientización pone mayor presión y mayores demandas sobre aquellos que están en la primera línea de la batalla por la seguridad.

EnCase Puede: La FATCA Proyectando un Futuro de Transparencia Bancaria


¿Qué es la FATCA?
¿Se aplica esta ley estadounidense a mi institución financiera?
¿Bajo qué modelo?
¿Cuáles son los requisitos?
¿Cómo podemos cumplirlos? 

Qué es la FATCA

La Foreign Account Tax Compliance Act (FATCA), traducida al español como “Ley del Cumplimento Tributario de Cuentas en el Extranjero”, es una nueva ley estadounidense que entró en vigencia en Julio de 2014. Esta ley exige que las instituciones financieras extranjeras identifiquen y reporten información sobre las cuentas financieras de sus clientes estadounidenses, sean personas naturales o jurídicas, que tengan más de 50 mil dólares en activo financiero. Hasta ahora, más de 80 países han aceptado la ley empeñándose a colaborar con el Servicio de Impuestos estadounidense (IRS). Las instituciones financieras que no cumplan con esta ley serán penalizadas en sus negocios con individuos o entidades de los Estados Unidos. Sin embargo, tenemos que especificar que los países que firman y aceptan esta ley pueden requerir informaciones sobre sus propios ciudadanos que tienen una cuenta en EEUU. Este mecanismo bilateral da un primer paso en dirección a la transparencia bancaria y, si otros países actuaran de misma forma, llevará a una mayor transparencia bancaria.

Webinar: Resolviendo los Desafíos del Descubrimiento PCI en Escala con EnCase Cybersecurity

 
Para proteger al  entorno PCI actual se necesita lograr un equilibro entre el cumplimento de los Estándares de Seguridad de Datos PCI y la capacidad de gestionar los riesgos y amenazas de manera efectiva.


¿Sabe usted cuál es la manera más eficiente y eficaz para lograr este equilibrio?


Guidance Software tiene el agrado de anunciar un nuevo webinar dirigido al público hispanoparlante llamado “Resolviendo los Desafíos del Descubrimiento PCI en Escala con EnCase Cybersecurity”. El webinar será transmitido al vivo este martes 7 de octubre a las 10:00 am en Ciudad de México, Bogotá, Lima y Quito, 12:00 pm en Buenos Aires.

Aprenda de nuestros expertos en Seguridad y cumplimento PCI un nuevo enfoque para apoyar y documentar el cumplimento PCI DSS y a su vez permitir el descubrimiento y la seguridad de toda la red PCI.

EnCase 7.09.04: Extrayendo Contraseñas de Llaveros OS X



EnCase 7.09.04 está disponible ahora y contiene varias mejoras para hacer de su investigación más eficiente y comprensiva. Las investigaciones digitales de hoy presentan una lucha constante para mantener conjuntos de habilidades investigativas comprensivas mientras mejora continuamente la eficiencia haciendo frente al crecimiento exponencial de la evidencia y la diversidad de malversación. EnCase 7.09.04 hace de los reportes más eficientes con la Plantilla Flexible de Reportes y reduce el esfuerzo del investigador al habilitar el descifrado de los dispositivos con encriptación McAfee con EnCase Examiner de 64 bits. EnCase 7.09.04 expande las capacidades investigativas más fuertes basadas en Windows de las máquinas OS X, aumentando la habilidad de descifrar y extraer contraseñas de llaveros OS X.

Para tener acceso a éste lanzamiento registre su dongle  y recibirá un email de MyAccount con los links de descarga.

En este artículo, revisaremos la información que puede ser extraída de los llaveros al mismo tiempo de proveer muestras  de técnicas basadas en EnScript para exponer estos datos en EnCase.
Hace poco menos de un año, Simon Key de la División de Entrenamiento de Guidance Software publicó un blogpost informativo sobre el descifrado de llaveros OS X. Este post se hizo bastante popular ya que miles de investigadores absorbieron la técnica. Subsecuentemente, la aplicación dumpkeychain en EnCase App Central, usada para analizar y extraer datos de llavero se convirtió en una de las aplicaciones más descargadas. Si no ha revisado el post de Simon en su totalidad, le proporcionaré la versión condensada.

Las Habilidades de los Investigadores Forenses Digitales son Críticas a Medida que las Investigaciones Se Hacen Más Complejas



La evidencia forense digital está desempeñando un papel mayor en determinar la culpabilidad o inocencia de los acusados tanto en asuntos civiles como criminales. Mientras la tecnología captura movimiento, mensajes, fotos y en sí una vasta mayoría de lo que se hace en las laptops, smartphones y tablets, es mucho más difícil para los criminales cubrir su rastro digital.

Por otro lado, con los discos duros incrementando su tamaño, el número de aplicaciones en un sistema explotando, datos siendo movidos a la nube y aplicaciones como CCleaner destruyendo datos valiosos, los investigadores están constantemente desafiados a mejorar sus habilidades para así poder localizar y entender la evidencia potencia más relevante. El asunto es que la especialidad de análisis forense digital se centra cada vez más en descubrir los datos electrónicos relevantes al caso y el armado de los eventos para que así los hechos estén claros para el juez y el jurado.

EnCase® Forensic y EnCase® Enterprise v7.09: Investigaciones iOS Desde El Empaque



La mayoría de los investigadores está familiarizado con las capacidades de EnCase® Forensic o EnCase® Enterprise como herramientas para investigación de computadoras de escritorio, servidores y discos duros, pero, ¿sabía usted que desde que EnCase Forensic v7 y EnCase Enterprise v7 fueron introducido, ha provisto de soporte para sistemas operativos de teléfonos inteligentes desde el momento que lo saca de la caja? En la Versión 7.09, la última actualización, EnCase mejora la adquisición de teléfonos móviles, las capacidades de análisis y reporte al agregar soporte para dipositivos con iOS 7.

Como usted debe saber, el mercado de dispositivos móviles está dominado por iOS y Android. Más del 90 por ciento de los usuarios de teléfonos inteligentes tiene un dispositivo que soporta Apple o Google. Sin embargo, no obstante dentro de la mayoría, hay múltiples factores que los investigadores como usted debe considerar y, últimamente lidiar con, incluyendo:

EnCase Para Auditorías en Sistemas Linux: Cómo Encontrar Archivos Eliminados



Un tema muy interesante para auditores o examinadores forenses en el momento de analizar dispositivos de almacenamiento digital con sistema operativo Linux es  identificar los archivos que están en la papelera de reciclaje. Los archivos son muchas veces eliminados por los usuarios de manera  intencional con el fin de borrar las huellas de acciones indebidas que hayan sido cometidas. 

Continuando con nuestra serie sobre cómo realizar auditorías a dispositivos con Linux, expondremos un par de ejemplos sencillos que muestran cómo auditores y examinadores pueden recuperar archivos borrados en este sistema operativo de distintas maneras con la ayuda de las soluciones de EnCase.