SituaciónLos componentes dedicados a la administración de la seguridad de información y eventos de la red (SIEM, según sus siglas en inglés) disponen de una lista negra. Esta lista negra contiene direcciones de IP y sitios de internet conocidos por generar correo no deseado (Spam), distribuir aplicaciones maliciosas y aplicaciones cuyo acceso no está permitido en la red de la empresa. Además de las direcciones IP y sitios de internet, esta lista también contiene nombres de archivos previamente reconocidos como usados por aplicaciones maliciosas que invaden los sistemas para extraer información confidencial, dañar sistemas y/o utilizar sus recursos.
Respuesta de EnCase Cybersecurity
Los componentes SIEM activan a EnCase Cybersecurity y le suministran la información de la lista negra. EnCase procede a capturar una imagen exhaustiva de todos los dispositivos de la red. La imagen incluye los datos del disco duro y cualquier otra unidad conectada al dispositivo. EnCase Cybersecurity también captura la información de la memoria del sistema, de forma que se puedan capturar los programas que están abiertos y revisar las conexiones que estos programas están realizando en internet. Al encontrar algún elemento de la lista en cualquier dispositivo, EnCase examina los archivos encontrados que tengan referencias a ítems de la lista negra, ya sea porque se conectan a direcciones IP o sitios web no permitidos o porque tienen un nombre reconocido como utilizado por aplicaciones maliciosas o no permitidas dentro del entorno de la empresa. Al examinarlos, EnCase crea una llave hash de estos archivos.
Las llaves hash son las huellas digitales de los archivos. Al crear una representación única del contenido del archivo, estas llaves hash permiten comparar rápidamente el contenido de un archivo a cualquier otro. Encase utiliza esta llave hash para hacer un análisis de similitud por Entropía.
El análisis de similitud por Entropía permite a EnCase Cybersecurity encontrar programas similares a los maliciosos, independiente de que tengan un nombre de archivo distinto, una ruta distinta, o que sean programas distintos. Esta función novedosa es particularmente útil para identificar los ataques polimórficos, un tipo moderno de código malicioso que constantemente modifica su forma para evitar ser identificado por programas antivirus.
Beneficio
EnCase Cybersecurity permite realizar escaneos continuos para buscar réplicas idénticas y archivos similares a los datos maliciosos que han afectado los dispositivos para asegurar que no se repitan las infecciones. Todas las operaciones son realizadas por EnCase Cybersecurity de forma transparente al usuario del dispositivo comprometido, permitiéndole seguir trabajando sin interrupción y sin levantar sospechas caso se trate de un empleado mal intencionado.
Casos de Uso: EnCase Cybersecurity Complementando un IPS, IDS o Firewall
Casos de Uso: EnCase Cybersecurity Complementando un Antivirus
EnCase Analytics: Inteligencia de Seguridad Mediante el Análisis de Dispositivos
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
No hay comentarios :
Publicar un comentario