Este é o primeiro post duma nova série titulada “Guidance Software 101”, que buscará entregar uma visão geral sobre como as soluções de software empresarial da Guidance Software podem ajudar a sua organização a resolver uma ampla gama de casos de uso investigativos e de auditoria de TI. Esta série de artigos será escrita para entregar uma orientação sobre nossas capacidades e casos de uso, além de tentar situar-se como uma referência para profissionais de segurança de TI, profissionais de conformidade de TI, investigadores internos, consultores legais, investigadores de malware, profissionais de R.H. e até para revendedores da Guidance Software.
A série será organizada da seguinte maneira:
Área
|
Artigos
|
Conceitos Fundamentais
|
#1 Entendendo Nossa Vantagem
|
As Bases
|
#3: Coleção e Preservação de Arquivos
#4: Aplicação de uma Visibilidade Forense de 360
graus nos Endpoints
#5: Resposta a Alertas e Incidentes
#6: Entendendo o Sistema de Componentes da Guidance
Software
|
Capacidades de Software Específicas e Casos de Uso
|
#6-#101 Tópicos específicos
|
Sem mais, comecemos entendendo os conceitos fundamentais das soluções da Guidance Software.
Primeiro, precisamos entender que existem pelo menos quatro grupos involucrados em qualquer auditoria ou investigação interna.
2) Investigadores ou Auditores: estas são as equipes que detectam, encontram e/ou analisam a evidência de problemas de conformidade de TI, uso impróprio dos computadores, ataques de malware ou violações a políticas de R.H. que involucrem recursos de TI. Estas podem ser equipes com funções proativas que involucrem monitoração ou funções reativas como resposta a alertas de segurança ou acusações.
3) Pessoal Legal: estas equipes incluem o Departamento Jurídico, R.H. e as pessoas encarregadas da conformidade. Elas têm a responsabilidade de impor os padrões de políticas e tomar decisões relacionadas à evidência ao redor dum caso.
4) Usuários: O conjunto de pessoas autorizadas ou de contas de serviços que individualmente contam com um conjunto de privilégios próprios.
Por último, a evidência digital (ou a partir de agora, simplesmente “evidência”) é todo artefato detectável criado por atividades fora de norma e gerado por um usuário nos sistemas da organização.
Estes poderiam ser arquivos ou processos criados por arquivos de malware, documentos confidenciais guardados em sistemas não autorizados, conexões de rede não autorizadas a alguma máquina, chaves de registro desconhecidas, código malicioso residindo dentro de um arquivo, texto em comunicações, aceso a máquinas por usuários não autorizados, privilégios de usuário não autorizados ou diversos outros tipos de artefatos.
Em resumo, os investigadores/auditores são as pessoas que tentam identificar artefatos não autorizados nos sistemas de TI organizacionais, analisam esses artefatos e tomam ações para preservá-los e eliminá-los, além de, quando seja possível, tomar ações necessárias contra qualquer usuário responsável por esses artefatos. A evidência e sua intacta manutenção são uma parte central da habilidade que as organizações têm para poder responder de forma significativa ante incidentes. As ferramentas que os investigadores querem precisam de una interfase simples que ofereça visualizações forenses que exponham rapidamente anomalias escondidas dentro de centenas o milhares de endpoints e que também mostrem todas as atividades desses sistemas sem a necessidade de um investigador forense.
As ferramentas disponíveis para encontrar evidência dentro de uma organização se apresentam em dois lugares:
Perímetro
|
Endpoint
|
|
Busca rápida
|
Produzir alertas
|
Analisar logs (registros)
|
Busca profunda
|
Produzir relatórios
|
Analisar todos os arquivos sem preocupar-se pela contaminação
da evidência
|
Nosso enfoque na Guidance
|
Validar alertas de outras ferramentas de segurança mediante visibilidade
forense dentro dos endpoints
|
Analisar com rigor forense todos os arquivos e dados de uma máquina
sem modificar a evidência potencial
|
Porque a Guidance Software não se enfoca em alertas rápidas senão numa análise profunda? Obviamente, porque você não confiaria em um doutor que diagnostique algo grave em poucos segundos, por tanto, comumente precisa-se duma análise profunda aos problemas.
Na Guidance Software, nós nos enfocamos no que fazemos melhor do que ninguém, oferecendo uma poderosa detecção e resposta nos endpoints para organizações. Os produtos da Guidance Software podem ser usados pelas organizações como una solução autônoma ou podem ser integrados com outras ferramentas de segurança de TI para ajudar a que as organizações consigam um maior aproveitamento das suas ferramentas atuais ao validar automaticamente os milhares de alertas que estas ferramentas geram e que comumente são falsos positivos. Cobriremos este tema a maior detalhe em próximos artigos. A Guidance Software também está comprometida a ser compatível com uma seleção de ferramentas Open Source, sempre que estas ferramentais possam fornecer as soluções corretas para os auditores ou investigadores.
No nosso seguinte artigo começaremos a cobrir as bases das soluções da Guidance Software. Agora que você entende os fundamentos da Guidance Software, espero que continue lendo para ver como podemos ajuda-lo com auditorias proativas e investigações reativas.
Tony Grey
Guidance Software
América Latina
Para maiores informações sobre os produtos da Guidance Software, entre em contato com nossos revendedores locais ou escreva a sales-latam@guidancesoftware.com.
TEMAS RELACIONADOS
EnCase Endpoint Security 5.10: Guidance Software acelera e sintetiza a resposta a incidentes
Faça Parte do Nosso Grupo do LinkedIn para Usuários do EnCase em Português
SC Magazine dá 5 estrelas para EnCase® Endpoint Security
Curta a Nossa Página em Português no Facebook
No comments :
Post a Comment