Hoje falaremos
sobre como auditar através do EnCase
Enterprise para pesquisar se os computadores dentro de pequenas organizações
estão com seus programas de antivírus habilitados e atualizados. Não é um
segredo que a expansão do uso da Internet teve uma influencia direta no aumento
da quantidade de vírus espalhados nos dispositivos de uma organização. Mediante
uma conexão à Internet através das suas estações de trabalho, os empregados
permitem de certa forma que outras pessoas tenham acesso ao seu próprio
dispositivo mediante ações tão simples como o compartilhamento de pastas. Além
de este risco, muitas organizações simplesmente não têm controles sobre os privilégios
de administração dos usuários, permitindo que vários empregados inabilitem o
funcionamento da aplicação de antivírus dos seus computadores.
Manter o antivírus ativado em todos os dispositivos é
muito importante, porque muitos delinquentes informáticos estão prestes a
atacar dispositivos desprotegidos. Estes ataques através da internet podem
acabar em danos ao sistema local, impedir o funcionamento da rede, furto de
informação confidencial, furto de propriedade intelectual, etc. Por estas e
muitas outras razões é que a seguir vamos expor as maneiras em que uma pequena
organização pode auditar seus dispositivos, tanto de maneira manual a través de
uma conexão remota com EnCase Enterprise
como de outras maneiras mais avançadas e automatizadas com EnCase Cybersecurity.
Uma maneira rápida e simples de visualizar se os
computadores da sua pequena organização têm seus antivírus instalados é a
revisão mediante o explorador de arquivos, comprovando se na pasta Arquivos de Programa existe alguma pasta
de uma plataforma antivírus. Na seguinte imagem vemos um computador como o
antivírus AVG instalado:
Uma maneira de comprovar se o antivírus é executado normalmente é
revisar o Registro do Windows e buscar programas de antivírus nas chaves de
registro Run ou RunOnce, ali estão
armazenados os nomes dos programas que são executados quando o computador auditado
é acendido, comprovando que o antivírus é executado quando o computador inicia
seu sistema operativo:
Outra maneira simples de revisar se um antivírus em
particular está instalado é construir una condição
por tipo de arquivo que busque todos os arquivos com extensão .exe e revisar a presença do antivírus
que é usado na organização. Neste caso, o arquivo correspondente é o avgrsx.exe do antivírus AVG. Além de
mostrar o antivírus, este processo mostra as datas de criação e da última
modificação do arquivo, permitindo estabelecer quando foi instalado e a data da
última atualização do executável do antivírus:
Para ter maior segurança dos resultados da auditoria, podemos
identificar se os dispositivos estão com o programa antivírus em funcionamento
atualmente. Para isto, capturamos a memória
de processos e revisamos se o processo do antivírus está listado entre os
processos em execução, como mostrado a seguir:
Com o processo Sweep
Enterprise do EnCase Enterprise também podemos visualizar os processos que estão
em execução mediante as opções Processos
e Atividades de Usuário. Esta é uma
maneira simples de realizar auditorias e verificar se o antivírus está ativo em
vários dispositivos auditados, como mostrado na seguinte imagem com o antivírus
AVG:
Outra opção oferecida pelo Sweep Enterprise é auditar
através da captura de dados voláteis
mediante a opção Snapshot, comparando os executáveis em
funcionamento a bibliotecas de valores hash, ou HashSet; ou pesquisando e existência do hash de um antivírus em
particular. Isto oferece dois benefícios: a certeza de que o executável está em
funcionamento e a certeza de que esse executável realmente é o antivírus e não é
outro programa disfarçado com o mesmo nome:
A pesar de que muitas pequenas organizações não contam
com pessoal TI, vemos como uma ferramenta como EnCase Enterprise pode ajudá-las
a efetuar auditorias facilmente. EnCase Enterprise ajuda a identificar a
presença e funcionamento do antivírus de todos os dispositivos da organização
em um curto prazo de tempo, o que permite remediar situações antes de que
ocorram problemas. Estas auditorias também são importantes porque ajudam a estabelecer
se existem empregados com privilégios de administrador que não são necessários.
Além de estas auditorias, os administradores de pequenas organizações
devem criar políticas relacionadas ao acesso a arquivos, recepção de arquivos e
execução de programas desconhecidos, porque estas são as verdadeiras fontes de
infecção nos computadores. Como a infecção de um dispositivo não é programada, é
importante capacitar ao pessoal da organização respeito à importância de sempre
manter o antivírus funcional e atualizado para garantir a segurança dos
dispositivos e da informação da organização. Não tem utilidade alguma ter os
mais avançados programas antivírus, firewall ou antispyware se permanecem inabilitado
ou se não estão devidamente configurados e atualizados.
RELACIONADOS
No comments :
Post a Comment