Resolvendo um caso de cibercrime como Sherlock Holmes!

Os gerentes de segurança de TI colocam muita ênfase na realização de investigações forenses de logs. Segundo a Pesquisa SANS 2013 Digital Forensics, 57% dos entrevistados disseram que eles conduzem investigações forenses para “encontrar e investigar incidentes e como eles estão ocorrendo” e 75% dos entrevistados disseram que conduzem investigações forenses para “encontrar e investigar incidentes após o fato”. Detectar a atividade de hackers nunca é fácil. As empresas podem ter o melhor de soluções de segurança de rede para detectar anomalias na rede e ameaças, mas os recursos críticos continuam a ficar comprometidos.

Todos os gerentes de segurança de TI têm de colocar-se na pele do Sr. Sherlock Holmes para resolver casos de cibercrime. Eles têm que pensar e agir como os criminosos virtuais, descobrindo as maneiras que o criminoso poderia ter acessado os recursos de rede.

O criminoso cibernético pode ser facilmente rastreado reconstruindo a cena do crime cibernético na sua totalidade. Uma vez que a cena do crime cibernético é recriada, o gerente de segurança de TI pode obter o rastreamento completo da atividade do criminoso, e pode atender o “o quê, quem, quando, onde e como” de todos os incidentes de segurança ocorridos na rede. Então, a grande questão agora é, como os gerentes de segurança de TI pode reconstruir toda a cena do crime cibernético?

Reconstruindo a cena do cibercrime

A única maneira dos gerentes de segurança de TI reconstruirem a cena do crime cibernético é através da realização de investigações forenses sobre os dados de log gerados pela infra-estrutura de TI.

Os gerentes de segurança de TI precisam conduzir investigações forenses, pesquisando e analisando seus dados de logs. Todos os atacantes deixam vestígios, e os dados de log são a única coisa que podem ajudar os gerentes de segurança de TI a identificar a causa da violação.

Os dados de logs contêm as impressões digitais deixadas por todos que acessaram os sistemas de rede, dispositivos e aplicações. Ao analisar eficazmente os dados de log, os gerentes de segurança de TI podem identificar a entrada de log exata que causou a violação de segurança, encontrar o momento exato em que o evento de segurança correspondente tinha acontecido, que iniciou a atividade e o local de onde a atividade foi originada. Estas impressões digitais ajudam a recriar completamente a cena do crime.

Relatórios de análise forense de dados de log também podem ser usados como prova em um tribunal de direito. Os gerentes de segurança de TI deve alavancar a inteligência de segurança de rede fornecida pelos dados de log gerados pela sua infraestrutura de rede.

Aqui estão dois pré-requisitos críticos para investigações forenses de log eficazes:

1. Coleta de dados de log de forma centralizada: Todos os dados de logs de sistemas de rede – por exemplo, sistemas Windows, sistemas Unix / Linux, aplicações, bancos de dados, roteadores e switches – devem ser agregadas em um lugar central para a efetiva comunicação, segurança e a análise forense.

2. Arquivamento  de logs pelo menos um ano: dados de log recolhidos a partir de todos os sistemas de rede devem ser arquivados por pelo menos um ano, e os dados de log armazenados devem ser facilmente acessíveis para investigações forenses.

Para atender a essas pré-requisitos, os gerentes de segurança de TI precisam automatizar a sua gestão de logs. Afinal, coleta e arquivamento  manual de dados de logs em um local central para investigações forenses é praticamente impossível dado o grande volume de logs de eventos que normalmente são gerados em uma base diária. Seria simplesmente tomar muito tempo e muitos membros da equipe de TI.

Uma vez automatizado, o processo de investigações forenses pode ser simplificado e acelerado. Os gerentes de segurança de TI podem digitar algumas palavras-chave ou alguma lógica relacionada com o crime cibernético e obter a resposta em segundos. Eles podem facilmente mergulhar nos dados de log e procurar livremente em toda a infraestrutura de rede em segundos. Quando eliminar o doloroso processo de pesquisar manualmente através dos registros, os gerentes de segurança de TI serão capazes de recriar todas as facetas da cena do crime cibernético e resolver o caso.

A maneira mais eficiente de se realizar uma investigação forense é equipando os gerentes de segurança de TI com uma poderosa ferramenta de análise forense de log para investigar dados de log e instantaneamente gerar relatórios forenses, que podem ser usados como prova no tribunal. A ferramenta forense de log deve permitir os gerentes de segurança de TI a coletar e arquivar dados de log em um local central, para que eles possam reconstruir a cena do crime inteira com facilidade.

Venha conhecer melhor o EventLog Analyzer da ManageEngine. O software pode ser testado por 30 dias, contando sempre com o apoio da equipe ACSoftware.
Fone (11) 4063 1007 – Vendas (11) 4063 9639

Deixe um comentário

Blog ACSoftware - ManageEngine