Notícias Notícias

4.08.2011 | admin

SAIBA COMO: responder a incidentes e combater ameaças avançadas

Com a consultoria de Luiz Sales, que sugere integrar uma solução de monitoramento e análise de segurança de rede às tecnologias de IPS/IDS e gerenciamento de eventos e informações de segurança (SIEM).

Para que uma organização potencialize sua capacidade de responder a incidentes e combater ameaças avançadas – como potenciais violações externas, vazamento de dados ou vírus polimórficos – o consultor da TechBiz Forense Digital Luiz Sales sugere integrar uma solução de monitoramento e análise de segurança de rede às tecnologias de IDS e gerenciamento de eventos e informações de segurança (SIEM).

“Com o NetWitness NextGen é possível obter um detalhamento bem amplo da rede, filtrar os dados por origem e destino, identificar o tráfego atípico e realizar uma análise completa dos dados capturados”, diz Sales. A solução da NetWitness é baseada em full packet capture e em análises de sessão. Ela utiliza as técnicas mais abrangentes e avançadas de modelagem de sessão de rede para fornecer análises de segurança muito específicas e detalhadas a partir de terabytes de dados.

Uma vez descoberta a anomalia, o investigador deve partir para a sua análise, ou seja, tentar entender o que essa aplicação está tentando executar na máquina. E aí a dica é utilizar a ferramenta ArcSight ESM que identificará quem está na rede, quais os dados estão sendo vistos, quais ações estão sendo tomadas a partir do conhecimento desses dados e como isso gera riscos ao seu negócio.

O ArcSight ESM trabalha não apenas sobre os endereços IP/ zonas da rede, sistemas e aplicativos, mas também analisa os usuários, empregados, clientes e parceiros. Técnicas modernas de reconhecimento de padrões e comportamentos são utilizadas para detectar ameaças sofisticadas que rodam diariamente nas máquinas de uma companhia. Uma vez identificadas as ameaças, o ArcSight ESM utiliza sua funcionalidade de workflow para gerenciar os incidentes e prevenir danos. “A ferramenta da ArcSight monitora os logs, mas é preciso que uma solução de IPS/IDS ou um firewall a alimente”, diz Sales.

Outra solução sugerida por Sales para responder aos incidentes é o AccessData Enterprise cujo diferencial é a capacidade de análise da memória volátil tanto no sistema operacional Windows, quanto no Linux ou Macintosh.

“O AD Enterprise investiga a origem do dado suspeito. Captura a memória RAM da máquina infectada, lista os processos em execução e então analisa os softwares, informando, por exemplo, quais são processos ocultos”, explica Sales.

Para obter maiores informações sobre os produtos, clique nos links abaixo:

NetWitness NextGen

ArcSight ESM

AccessData Enterprise

Share:

| More

Press agent

Roberta Maia - roberta.maia@techbiz.com.br
(21) 3736-7058/ (21) 98290-4653