EnCase Para Pequenas Organizações: Auditoria Para Identificar Se O Antivírus Está Habilitado



Hoje falaremos sobre como auditar através do EnCase Enterprise para pesquisar se os computadores dentro de pequenas organizações estão com seus programas de antivírus habilitados e atualizados. Não é um segredo que a expansão do uso da Internet teve uma influencia direta no aumento da quantidade de vírus espalhados nos dispositivos de uma organização. Mediante uma conexão à Internet através das suas estações de trabalho, os empregados permitem de certa forma que outras pessoas tenham acesso ao seu próprio dispositivo mediante ações tão simples como o compartilhamento de pastas. Além de este risco, muitas organizações simplesmente não têm controles sobre os privilégios de administração dos usuários, permitindo que vários empregados inabilitem o funcionamento da aplicação de antivírus dos seus computadores.

Manter o antivírus ativado em todos os dispositivos é muito importante, porque muitos delinquentes informáticos estão prestes a atacar dispositivos desprotegidos. Estes ataques através da internet podem acabar em danos ao sistema local, impedir o funcionamento da rede, furto de informação confidencial, furto de propriedade intelectual, etc. Por estas e muitas outras razões é que a seguir vamos expor as maneiras em que uma pequena organização pode auditar seus dispositivos, tanto de maneira manual a través de uma conexão remota com EnCase Enterprise como de outras maneiras mais avançadas e automatizadas com EnCase Cybersecurity. 

Uma maneira rápida e simples de visualizar se os computadores da sua pequena organização têm seus antivírus instalados é a revisão mediante o explorador de arquivos, comprovando se na pasta Arquivos de Programa existe alguma pasta de uma plataforma antivírus. Na seguinte imagem vemos um computador como o antivírus AVG instalado:


Uma maneira de comprovar se o antivírus é executado normalmente é revisar o Registro do Windows e buscar programas de antivírus nas chaves de registro Run ou RunOnce, ali estão armazenados os nomes dos programas que são executados quando o computador auditado é acendido, comprovando que o antivírus é executado quando o computador inicia seu sistema operativo:



Outra maneira simples de revisar se um antivírus em particular está instalado é construir una condição por tipo de arquivo que busque todos os arquivos com extensão .exe e revisar a presença do antivírus que é usado na organização. Neste caso, o arquivo correspondente é o avgrsx.exe do antivírus AVG. Além de mostrar o antivírus, este processo mostra as datas de criação e da última modificação do arquivo, permitindo estabelecer quando foi instalado e a data da última atualização do executável do antivírus:




Para ter maior segurança dos resultados da auditoria, podemos identificar se os dispositivos estão com o programa antivírus em funcionamento atualmente. Para isto, capturamos a memória de processos e revisamos se o processo do antivírus está listado entre os processos em execução, como mostrado a seguir:



Com o processo Sweep Enterprise do EnCase Enterprise também podemos visualizar os processos que estão em execução mediante as opções Processos e Atividades de Usuário. Esta é uma maneira simples de realizar auditorias e verificar se o antivírus está ativo em vários dispositivos auditados, como mostrado na seguinte imagem com o antivírus AVG:



Outra opção oferecida pelo Sweep Enterprise é auditar através da captura de dados voláteis mediante a opção Snapshot, comparando os executáveis em funcionamento a bibliotecas de valores hash, ou HashSet; ou pesquisando e existência do hash de um antivírus em particular. Isto oferece dois benefícios: a certeza de que o executável está em funcionamento e a certeza de que esse executável realmente é o antivírus e não é outro programa disfarçado com o mesmo nome:





A pesar de que muitas pequenas organizações não contam com pessoal TI, vemos como uma ferramenta como EnCase Enterprise pode ajudá-las a efetuar auditorias facilmente. EnCase Enterprise ajuda a identificar a presença e funcionamento do antivírus de todos os dispositivos da organização em um curto prazo de tempo, o que permite remediar situações antes de que ocorram problemas. Estas auditorias também são importantes porque ajudam a estabelecer se existem empregados com privilégios de administrador que não são necessários. 

Além de estas auditorias, os administradores de pequenas organizações devem criar políticas relacionadas ao acesso a arquivos, recepção de arquivos e execução de programas desconhecidos, porque estas são as verdadeiras fontes de infecção nos computadores. Como a infecção de um dispositivo não é programada, é importante capacitar ao pessoal da organização respeito à importância de sempre manter o antivírus funcional e atualizado para garantir a segurança dos dispositivos e da informação da organização. Não tem utilidade alguma ter os mais avançados programas antivírus, firewall ou antispyware se permanecem inabilitado ou se não estão devidamente configurados e atualizados.

RELACIONADOS







No comments :

Post a Comment