Cases Resposta a incidentes

Case da Guidance Software
O EnCase® Enterprise é utilizado em 25 mil máquinas para conter atividades não autorizadas e mitigar danos por códigos maliciosos.

Uma grande empresa de seguros tem o utilizado o EnCase Enterprise para atividades de resposta a incidentes em 25 mil máquinas de seu parque tecnológico. O processo tem início quando alertas IDS notificam ao time de segurança que há máquinas que podem ter sido afetadas por atividades maliciosas. No modo convencional, feito no passado, as máquinas eram retiradas das rede para análise, com grandes chances de perda de informações valiosas para a investigação. Mas, com o EnCase Enterprise é possível capturar remotamente e analisar artefatos críticos e relevantes em qualquer incidente.

O processo de resposta envolve o uso do EnCase Enterprise Snapshot para rapidamente identificar processos não autorizados que estejam rodando nas máquinas. A ferramenta revela quem comunica com a máquina suspeita e quem são os usuários logados no momento. Essas informações ajudam a identificar túneis utilizados por aplicações maliciosas aproveitando as portas já abertas nos firewalls. Os investigadores utilizam os dados do Snapshot para, cuidadosamente, documentar o incidente e tomar as medidas apropriadas para a sua remediação. Durante a análise pós-incidente, o time critica o material encontrado e implementa novos controles para prevenir a ocorrência de incidentes similares.