Situação
É comum
requerer que a equipe TI ou a equipe legal de uma organização colecione os
dados de um usuário em particular em um dispositivo, tanto por motivos legais
como para investigações de recursos humanos. Para facilitar este processo, os
componentes dedicados à administração da segurança da informação e eventos da
rede (SIEM, segundo suas sigla em inglês) mantêm uma lista de Sessões De
Usuários. Quando a conta de um usuário de interesse é vista em funcionamento
pelos componentes SIEM, uma regra correlacionada é iniciada para passar ao
EnCase o endereço I.P. do dispositivo que está sendo usado por este usuário.
Resposta de EnCase Cybersecurity
EnCase é
ativado para coletar uma instantânea do sistema. Esta instantânea do sistema contém
o estado integral do dispositivo em um momento dado, mostrando com exatidão a
configuração do dispositivo e as atividades que estejam sendo realizadas nesse
momento em específico. Não são capturados somente os dados guardados em
aparelhos de armazenagem, senão que também é capturada a memória volátil do
sistema na sua totalidade. A partir disto, EnCase Cybersecurity oferece a
seguinte informação ao examinador:
·
Visualização completa dos arquivos
do dispositivo: Como
EnCase funciona mediante um agente carregado antes da finalização da
inicialização do sistema operativo, EnCase pode acessar arquivos com acesso
restrito pelo sistema operativo.
·
Processos abertos: Permite examinar todos os programas
que o usuário está usando.
·
Portos usados: Todas as comunicações entre
dispositivos são mandadas mediante um porto, isto permite aos dispositivos
manter varias conexões simultaneamente. O porto usado por uma conexão pode
indicar que tipo de informação se está recebendo ou enviando. Aplicações que
tentam usar portos diferentes aos empregados pelas ferramentas usadas dentro da
empresa indicam a possibilidade de fuga de informação.
·
Endereços I.P. de Destino: EnCase nos permite saber onde está
enviando informação o usuário no momento que a conta de usuário investigada está
usando o dispositivo.
·
Uso de Dispositivos Removíveis: EnCase Cybersecurity também informa
se alguma memória removível tem sido instalada no sistema, tais como pen drives
USB ou discos rígidos externos. Atividade destes dispositivos pode ser um
indicativo de furto de informação.
·
Pastas Compartilhadas: Permite saber se alguma pasta do
dispositivo está compartilhada, de maneira que se poda analisá-la mais
detalhadamente. Qualquer coisa contida nela pode ser acedida em outros
dispositivos da rede sem necessidade de que a conta de usuário investigada
inicie sua sessão no dispositivo comumente usado pelo usuário.
Toda a
informação recopilada é mostrada de maneira estruturada e de fácil compreensão,
permitindo ao examinador deduzir rapidamente que elementos requerem da sua
atenção. O examinador pode usar as poderosas ferramentas de pesquisa de EnCase
para encontrar quais são os arquivos que contêm termos de interesse para a
investigação que está sendo realizada e também pode buscar a existência de
algum arquivo em particular no dispositivo, encontrando não só coincidências
exatas senão também coincidências parciais com os arquivos buscados.
Benefício
Permite que
a informação requerida seja coletada no momento em que o usuário investigado se
conecte. Isto é particularmente útil em casos de usuários que não se conectam
comumente a rede da organização. EnCase Cybersecurity
segue padrões internacionais para a coleção e o análise da informação que
permitem a admissão da informação encontrada como evidencia em casos legais.
RELACIONADOS
No comments :
Post a Comment