Guidance Software 101: Conceitos Fundamentais (#1)

Este é o primeiro post duma nova série titulada “Guidance Software 101”, que buscará entregar uma visão geral sobre como as soluções de software empresarial da Guidance Software podem ajudar a sua organização a resolver uma ampla gama de casos de uso investigativos e de auditoria de TI. Esta série de artigos será escrita para entregar uma orientação sobre nossas capacidades e casos de uso, além de tentar situar-se como uma referência para profissionais de segurança de TI, profissionais de conformidade de TI, investigadores internos, consultores legais, investigadores de malware, profissionais de R.H. e até para revendedores da Guidance Software.

A série será organizada da seguinte maneira:

Área	Artigos
Conceitos Fundamentais	#1 Entendendo Nossa Vantagem
As Bases	#2: Busca de Arquivos #3: Coleção e Preservação de Arquivos #4: Aplicação de uma Visibilidade Forense de 360 graus nos Endpoints #5: Resposta a Alertas e Incidentes #6: Entendendo o Sistema de Componentes da Guidance Software
Capacidades de Software Específicas e Casos de Uso	#6-#101 Tópicos específicos

Sem mais, comecemos entendendo os conceitos fundamentais das soluções da Guidance Software.

Primeiro, precisamos entender que existem pelo menos quatro grupos involucrados em qualquer auditoria ou investigação interna.

1) Administradores de TI: estas equipes administram a infraestrutura e os registros (logging) dos sistemas usados ou subcontratados pela organização.

2) Investigadores ou Auditores: estas são as equipes que detectam, encontram e/ou analisam a evidência de problemas de conformidade de TI, uso impróprio dos computadores, ataques de malware ou violações a políticas de R.H. que involucrem recursos de TI. Estas podem ser equipes com funções proativas que involucrem monitoração ou funções reativas como resposta a alertas de segurança ou acusações.

3) Pessoal Legal: estas equipes incluem o Departamento Jurídico, R.H. e as pessoas encarregadas da conformidade. Elas têm a responsabilidade de impor os padrões de políticas e tomar decisões relacionadas à evidência ao redor dum caso.

4) Usuários: O conjunto de pessoas autorizadas ou de contas de serviços que individualmente contam com um conjunto de privilégios próprios.

Por último, a evidência digital (ou a partir de agora, simplesmente “evidência”) é todo artefato detectável criado por atividades fora de norma e gerado por um usuário nos sistemas da organização.
Estes poderiam ser arquivos ou processos criados por arquivos de malware, documentos confidenciais guardados em sistemas não autorizados, conexões de rede não autorizadas a alguma máquina, chaves de registro desconhecidas, código malicioso residindo dentro de um arquivo, texto em comunicações, aceso a máquinas por usuários não autorizados, privilégios de usuário não autorizados ou diversos outros tipos de artefatos.

Em resumo, os investigadores/auditores são as pessoas que tentam identificar artefatos não autorizados nos sistemas de TI organizacionais, analisam esses artefatos e tomam ações para preservá-los e eliminá-los, além de, quando seja possível, tomar ações necessárias contra qualquer usuário responsável por esses artefatos. A evidência e sua intacta manutenção são uma parte central da habilidade que as organizações têm para poder responder de forma significativa ante incidentes. As ferramentas que os investigadores querem precisam de una interfase simples que ofereça visualizações forenses que exponham rapidamente anomalias escondidas dentro de centenas o milhares de endpoints e que também mostrem todas as atividades desses sistemas sem a necessidade de um investigador forense.

As ferramentas disponíveis para encontrar evidência dentro de uma organização se apresentam em dois lugares:

	Perímetro	Endpoint
Busca rápida	Produzir alertas	Analisar logs (registros)
Busca profunda	Produzir relatórios	Analisar todos os arquivos sem preocupar-se pela contaminação da evidência
Nosso enfoque na Guidance	Validar alertas de outras ferramentas de segurança mediante visibilidade forense dentro dos endpoints	Analisar com rigor forense todos os arquivos e dados de uma máquina sem modificar a evidência potencial

Porque a Guidance Software não se enfoca em alertas rápidas senão numa análise profunda? Obviamente, porque você não confiaria em um doutor que diagnostique algo grave em poucos segundos, por tanto, comumente precisa-se duma análise profunda aos problemas.

O enfoque mais comum ao tentar encontrar, analisar e reportar evidência de forma profunda está baseado no uso de ferramentas de TI que originalmente foram criadas como ferramentas para administração dos sistemas. Aqui pode surgir um problema, porque o método de inspeção profunda destas ferramentas pode ocasionar câmbios na evidência original ou nos metadados que rodeiam a um arquivo. Por exemplo, se uma ferramenta de administração de sistemas de TI altera a data ou hora na qual um arquivo foi modificado ou aberto pela última vez, como pode a equipe legal provar que um incidente foi ocasionado por um usuário num momento particular? Preservar evidência contaminada se converte em um processo comprometido desde sua origem. Adicionalmente, a organização precisará formar uma opinião sobre se estes enfoques estão em conformidade com qualquer regulamentação nacional ou com qualquer normativa de proteção e/ou privacidade de dados que seja aplicável. Além disto, uma remediação real na qual o arquivo (e o processo) é removido de forma forense de um sistema após sua preservação não é algo que esteja disponível a qualquer organização.

O enfoque da Guidance Software inicia desde a perspectiva dos investigadores e das equipes legais. Temos anos de experiência em encontrar e preservar evidência para apresentá-la ante tribunais mediante recursos de nossos vários produtos. Graças a nossas experiências com produtos desenvolvidos para investigadores e advogados, a Guidance Software entende e aproveita de uma coleção e preservação de evidência a um nível pouco alcançado na indústria. Adicionalmente, através das soluções da Guidance os arquivos, chaves de registro e processos podem ser remediados de uma forma verdadeiramente remota. O resultado é que a investigação de um incidente e a identificação de artefatos relacionados a esse incidente se convertem em elementos acionáveis para seu departamento legal, equipe de conformidade ou para R.H., sem importar se o padrão de evidencia é para um caso criminal ou para determinar se uma política interna foi violada. Nosso nível de visibilidade dentro dos sistemas, recursos de rede e na nuvem é inigualada.

Na Guidance Software, nós nos enfocamos no que fazemos melhor do que ninguém, oferecendo uma poderosa detecção e resposta nos endpoints para organizações. Os produtos da Guidance Software podem ser usados pelas organizações como una solução autônoma ou podem ser integrados com outras ferramentas de segurança de TI para ajudar a que as organizações consigam um maior aproveitamento das suas ferramentas atuais ao validar automaticamente os milhares de alertas que estas ferramentas geram e que comumente são falsos positivos. Cobriremos este tema a maior detalhe em próximos artigos. A Guidance Software também está comprometida a ser compatível com uma seleção de ferramentas Open Source, sempre que estas ferramentais possam fornecer as soluções corretas para os auditores ou investigadores.

No nosso seguinte artigo começaremos a cobrir as bases das soluções da Guidance Software. Agora que você entende os fundamentos da Guidance Software, espero que continue lendo para ver como podemos ajuda-lo com auditorias proativas e investigações reativas.

Tony Grey
Guidance Software
América Latina

Para maiores informações sobre os produtos da Guidance Software, entre em contato com nossos revendedores locais ou escreva a sales-latam@guidancesoftware.com.


TEMAS RELACIONADOS

EnCase Endpoint Security 5.10: Guidance Software acelera e sintetiza a resposta a incidentes

Faça Parte do Nosso Grupo do LinkedIn para Usuários do EnCase em Português

SC Magazine dá 5 estrelas para EnCase® Endpoint Security

Curta a Nossa Página em Português no Facebook