SituaciónLos componentes IPS, IDS o Firewall son aquellos que permiten detectar intrusos en una red informática y controlan el acceso a los dispositivos de la red para protegerlos de ataques y abusos.
Algunas de las señales de intrusión o mal uso de la red que pueden ser captadas por estos componentes son:
- Alto volumen de conexiones salientes rechazadas: un dispositivo dentro de la red que genera muchas conexiones controladas por los componentes IPS, IDS o Firewall indican la posibilidad de que una aplicación no permitida en la empresa esté instalada, o peor aún, indican la existencia de una aplicación maliciosa tratando de expandirse en la red o intentando comunicarse con su creador.
- Comunicaciones a países inusuales: las direcciones IP de internet son distribuidas en lotes que identifican la localización del mundo desde donde se emite o hacia donde se envía una conexión, en una forma similar a que los números de teléfono tienen códigos de área. Conexiones repetitivas hacia un lugar con el cual la empresa no tiene enlace alguno indican la posibilidad de mal uso o intrusión en la red.
- Uso de un puerto inusual: Todas las comunicaciones entre dispositivos son enviadas mediante un puerto, esto permite a los dispositivos mantener varias conexiones simultáneamente. El puerto utilizado para una conexión indica el tipo de información que se está recibiendo o enviando. Aplicaciones que intentan usar puertos distintos a los empleados por las herramientas utilizadas dentro de una empresa indican la posibilidad de fuga de información.
- Ante la aparición de cualquiera de estas actividades los IPS, IDS o Firewalls generan un reporte para los componentes dedicados a la administración de la seguridad de información y eventos de la red (SIEM, según sus siglas en inglés)
Respuesta de EnCase Cybersecurity
Los componentes SIEM activan a EnCase Cybersecurity para que realice una evaluación extensa a las direcciones IP afectadas dentro de la empresa y para que cree una imagen de la memoria de sistema en los dispositivos específicos. Los dispositivos electrónicos utilizan la memoria del sistema (memoria RAM) para guardar todas las aplicaciones que están corriendo en un dispositivo un momento específico. EnCase Cybersecurity permite capturar toda esta información para descubrir exactamente que aplicación está generando las conexiones inusuales, en que localización del dispositivo se encuentra, los puertos que utiliza y las direcciones a las que está tratando de conectarse. Tras encontrar las aplicaciones disruptivas, EnCase permite al examinador analizar si se trata de una aplicación prohibida instalada por el usuario o un virus infiltrado y crear un método para su remoción. Todas las operaciones son realizadas de forma invisible al usuario del dispositivo comprometido, permitiéndole seguir trabajando sin interrupción y sin levantar sospechas caso se trate de un caso de fraude interna.
Beneficio
Validar si datos maliciosos detectados en la red durante su tráfico han sido instalados y ejecutados en los dispositivos examinados para aplacar los daños que estos pudieran causar de forma eficaz y efectiva. EnCase Cybersecurity sigue estándares internacionales para la colección y análisis de la información que permiten la admisión de la información encontrada en casos legales.
RELACIONADOS
No hay comentarios :
Publicar un comentario