Casos de Uso: EnCase Cybersecurity Complementando um Antivírus



Situação

Ao escanear um dispositivo, a plataforma antivírus de uma empresa encontrou processos ou arquivos maliciosos que não podiam ser reparados..

Os vírus utilizam uma série de métodos para impedir ser eliminados; entre eles destacamos:

·         - Executam-se ao iniciar-se o sistema: os arquivos abertos não podem ser apagados pelos sistemas operativos. 

·         - Fazem com que o explorador de Windows os execute: essa ação  dificulta ainda mais seu apagado porque não se pode terminar este processo em sistemas cujo funcionamento é crítico. 

·         - Escondem-se em pastas do sistema, fazendo-se  passar por elementos críticos do sistema.

·         - Criam chaves no registro para regenerar arquivos e processos daninhos previamente eliminados.

·         - Negam seu acesso a outros usuários ao criar-se credenciais únicas.

·         - Modificam sua rota e nome para dificultar sua localização, etc.

Os vírus mais modernos até mutam sua estrutura interna de forma que, ainda que encontrados, possam  reaparecer sem levantar suspeitas. Estes vírus são denominados  vírus polimórficos: vírus como o Jumcar, por exemplo, desenhado na América Latina  para roubar informação financeira de contas  latino-americanas, é  um  destes vírus.

Ao encontrar-se com qualquer situação que não pode solucionar, o programa antivírus gera uma lista dos dados daninhos encontrados e emite um alerta para ativar a EnCase Cybersecurity.

Resposta de EnCase Cybersecurity

Os componentes dedicados à administração da seguridade de informação e eventos (SIEM, segundo suas siglas em inglês) ativam a EnCase Cybersecurity  que realiza uma avaliação extensa aos arquivos e sistemas afetados. Este processo  inclui:

·         - Coleta das chaves de registro associadas aos dados maliciosos

·         - Coleta de metadatos dos arquivos: os metadatos são todos os dados de um arquivo que não são parte de seu conteúdo, como ser a data de sua criação, modificação e a última vez que foram acessados, localização do arquivo no disco, nome de arquivo, extensão, tamanho de arquivo,  etc.

·         - Criação de chaves hash dos arquivos maliciosos: as chaves hash são as  marcas digitais dos arquivos. Ao criar uma representação única do conteúdo do arquivo, estas chaves hash permitem comparar rapidamente o conteúdo de um arquivo a qualquer outro, permitindo a EnCase verificar se um arquivo realmente é o  que representa ser. Isto é particularmente útil quando um vírus se esconde como um processo nativo do sistema.

Após recolher os dados e analisá-los, EnCase Cybersecurity começa a eliminar o vírus em todos os dispositivos da rede. Algumas das ferramentas utilizadas  neste processo são:

·         - Comparação de chaves hash: Identifica os arquivos maliciosos escondidos em qualquer dispositivo independentemente de que sua localização e nome sejam diferentes.

·         - Comparação da semelhança de arquivos mediante chaves hash: uma das ferramentas mais poderosas dos produtos EnCase permite comparar a semelhança relativa entre arquivos. Identifica a existência de um vírus que constantemente modifica sua forma independente de que o conteúdo dos arquivos seja diferente (vírus polimórficos). 

·         - Remoção das chaves  de registro que comprometem os sistemas: EnCase não somente eliminará as chaves  de registro enviadas pelo antivírus, senão que verificará se existem mais chaves relacionadas ao vírus e as eliminará. 

·         Remoção de todos os arquivos comprometidos: EnCase Cybersecurity começa a funcionar antes mesmo de que o sistema termine de arrancar; isto lhe permite acesso total aos arquivos que existam em um dispositivo, eliminando a possibilidade de que um vírus bloqueie sua supressão.

Benefício

EnCase Cybersecurity retifica os dados que as soluções antivírus não conseguem reparar e  permite entender se outros dados maliciosos ou processos desconhecidos  foram  gerados de forma simples e centralizada, permitindo usar os recursos da empresa rapidamente e minimizando as perdas potenciais causadas pelo vírus. 

 RELACIONADOS




No comments :

Post a Comment