Os componentes dedicados à administração da segurança da informação e eventos da rede (SIEM, segundo sua sigla em inglês) dispõem de uma lista negra. Esta lista negra contém endereços de IP e sites conhecidos por gerar correio não desejado (Spam), distribuir aplicações mal-intencionadas e aplicações cujo acesso está restrito na rede da empresa. Ademais dos endereços de IP e sites, esta lista também contem nomes de arquivos previamente reconhecidos por ser usados por aplicações mal-intencionadas que invadem os sistemas para extrair informação confidencial, danificar sistemas e/ou usar seus recursos.
Resposta de EnCase Cybersecurity
Os componentes SIEM ativam a EnCase Cybersecurity e lhe dão a informação da lista negra. EnCase procede a capturar uma imagem exaustiva de todos os dispositivos da rede. A imagem inclui os dados do disco rígido e de qualquer outra unidade de armazenagem conectada ao dispositivo. EnCase Cybersecurity também captura a informação da memoria do sistema (RAM), permitindo ao programa capturar a informação de que programas estão abertos em um dispositivo qualquer e revisar conexões que estes programas estejam realizando na internet. Ao encontrar algum elemento da lista em qualquer dispositivo, EnCase examina os arquivos encontrados que tenham referencias aos itens da lista negra, seja porque geram conexões a endereços IP ou sites não permitidos, porque tivessem nomes reconhecidos por ser usados em aplicações mal-intencionadas ou não permitidas dentro do entorno da empresa. Ao examiná-los, EnCase cria uma chave hash destes arquivos.
As chaves hash são as impressões digitais dos arquivos. Ao criar uma representação única do conteúdo de um arquivo, estas chaves hash permitem comparar rapidamente o conteúdo de um arquivo ao de qualquer outro. EnCase usa estas chaves hash para fazer um análise de similitude por entropia.
O análise de similitude por entropia permite a EnCase Cybersecurity encontrar programas similares aos programas mal-intencionados que afetam um sistema, independentemente de que tenham um nome de arquivo diferente, uma rota diferente ou até se são programas diferentes com funcionalidade similar. Esta função inovadora é particularmente útil para identificar os ataques polimórficos, um moderno tipo de código mal-intencionado que modifica constantemente sua forma para evitar ser identificado por programas antivírus.
Beneficio
EnCase Cybersecurity permite realizar escaneios contínuos para buscar réplicas idênticas e arquivos similares aos dados mal-intencionados que tenham afetado os dispositivos para assegurar que não se repitam as infecções. Todas as operações são realizadas por EnCase Cybersecurity de maneira transparente ao usuário do dispositivo comprometido, permitindo-lhe seguir trabalhando sem interrupção e sem levantar suspeitas caso o empregado esteja envolto no ataque.
RELACIONADO
Quando Processos Antigos Se Encontram Com Novas Tecnologias
O Negócio Do Crime Cibernético Supera O Negócio Das Drogas Ilegais
No comments :
Post a Comment