¿La tecnología forense en los endpoints ayudará a la investigación y detendrá las infracciones e infecciones?

0 66 4 minutos de lectura

¿Existe una mayor demanda de que la tecnología forense se aloje en los puntos finales, ya que se producen más infracciones en el extremo del empleado?

Stuart Okin, VP EMEA en Cipher, dijo a IT Security Guru que comúnmente ve la solución Encase de Guidance Software implementada en cada endpoint, ya que la mayoría de las empresas solo esperan hasta que ocurre algo malo para hacer algo al respecto.

“Lo que estamos viendo es una tendencia en esta dirección en los EE. UU. Que permite a un analista remoto rastrear cómo ocurrió la infección o la brecha, qué provocó y cómo se propagó o se movió lateralmente. Combinando esto con una inspección profunda de paquetes, permite a los analistas buscar la amenaza interna ”, dijo.

Okin dijo que el problema principal es la cantidad de registros y «ruido» que se deben administrar, ya que los datos ingresan al Centro de Operaciones de Seguridad y SIEM.

El Informe de Investigaciones de Violación de Datos de Verizon de esta semana reveló que el 23 por ciento de los destinatarios abren mensajes de phishing y el 11 por ciento de los destinatarios hacen clic en archivos adjuntos, pero cuando hay una violación importante, el equipo forense mira la red. Entonces, ¿es una sorpresa que haya más demanda de tecnología forense para ubicar en el punto final?

Entonces, ¿es esto completamente increíble o el comienzo de una solución para evitar que los empleados sean la causa de las violaciones de datos? Ryan Rubin, director gerente de Protiviti, dijo que lo que sería prohibitivo sería el elemento de costo, pero por su propia experiencia, descubrió que no escalaría y cuando hay una infracción y hay una investigación en la mayoría de las organizaciones, se llama a Protiviti. para analizar forense esos puntos finales y existen tecnologías que le permiten hacer esto.

“Como industria, estamos haciendo búsquedas muy enfocadas y una vez que miras el disco completo y el punto final, buscas bits particulares de información y si eso activa una alerta, entonces se realiza una investigación más detallada”, dijo.

“El gran desafío con el registro de todo, todo el tráfico, es que la actividad es ruidosa y lo que he visto es que los proveedores de antivirus amplían su conjunto de soluciones para mantenerse al día en el espacio, y eso puede incluir un monitoreo preciso de firmas y listas blancas de aplicaciones. pero todavía no contamos con la capacidad forense completa «.

El desafío no es solo administrar la solución y su potencial para grandes cantidades de datos, sino también el costo de agregar más soluciones al punto final. Quentyn Taylor, director de seguridad de la información para EMEA en Canon, le dijo a IT Security Guru que le resultaría difícil justificar la presentación de esto a miles de clientes, como si continuamente tuviera problemas con los empleados que podría valer la pena, pero tal vez resolver el problema. problemas de una manera diferente en lugar de simplemente preparar a todos para el análisis forense de portátiles.

También reconoció que puede haber un problema de privacidad, ya que si está trabajando en un entorno regulado, un regulador podría estar convencido de que el análisis forense de terminales es una pieza de tecnología recomendada, entonces puede despegar.

“Hemos investigado esto y dijimos ‘cuántos casos procesamos en un año’ y ‘¿podríamos realmente justificar esto ante los comités de trabajo y los sindicatos?’ Y ‘¿podría justificar esto ante las operaciones, ya que tendrán que mantener eso? paquete ‘”, dijo. “A menos que esté haciendo tantos casos todo el tiempo que vale la pena hacer esto, pero nosotros no.

«Es una tecnología que es interesante, pero pienso en el ROI y si no puedo justificarlo a mí mismo, no puedo hacerlo ante la junta».

Entonces, ¿tal vez ese sea el desafío para los gerentes de seguridad, tratar de convencer a la junta de que vale la pena invertir en este caso de garantía tecnológica si ocurriera una brecha? Tal vez todavía esté muy lejos, pero Rubin dijo que un paso es hacia los escritorios virtualizados donde todos tienen un cliente ligero e inician sesión en un escritorio remoto, por lo que es más fácil capturar lo que está sucediendo en esos entornos.

En declaraciones al CISO y al fundador de Give01Day, Amar Singh, dijo que está al tanto de las tecnologías forenses de terminales que se utilizan en escenarios de respuesta a incidentes, así como en situaciones de auditoría para demostrar el cumplimiento y ahorrar costos en la concesión de licencias.

Sin embargo, quería enfatizar que todo esto se reduce a la visibilidad, ya que es uno de los inquilinos clave de la gestión de la seguridad cibernética para determinar qué está sucediendo. Dijo que no se trata de intentar atrapar a un empleado, sino de asegurarse de que no comprometa la integridad de la empresa.

«Sin visibilidad de los puntos finales, está ciego de un ojo, ya que solo tiene visibilidad parcial», dijo. «La visibilidad del punto final es el estado en el que cambia el punto final y le permite ver lo que está sucediendo».

Explicó que ve cada vez más productos que ofrecen visibilidad del estado de la máquina, y no estuvo de acuerdo en que no es necesario, ya que las empresas deben fomentar los beneficios de la detección y ganar visibilidad y protegerse contra ataques.

“Lo que te salvará de las multas será la detección en un cierto período de tiempo, y la única forma de hacerlo es la visibilidad”, dijo. “Este no es un modelo antivirus, es admitir que las máquinas podrían verse comprometidas. Si algo ha hecho algo en su máquina, querrá saber qué hizo «.

Singh dijo que el monitoreo trae consigo las connotaciones de ser observado, pero la visibilidad del punto final puede ayudar al estado de compromiso. Quizás el estado de la tecnología forense se ha movido rápidamente después del «año de la infracción» en 2014 y con grandes adquisiciones en el espacio de servicios administrados, pero en el punto final, tal vez esta sea una tendencia a observar como si solucionara un problema y ayudara mejor. una investigación, no vale la pena descartarla.

¿La tecnología forense en los endpoints ayudará a la investigación y detendrá las infracciones e infecciones?

Deja una respuesta Cancelar la respuesta

Ataque DDoS en el sitio web de San Jose PD y los activos de TI

Cómo ver Netflix gratis para siempre

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Estúpidos trucos terminales: el loro de baile de ASCII Party

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Publicaciones relacionadas

Una guía para la seguridad de Kubernetes

Abogado del FBI se niega a decir si los datos extraídos del iPhone de San Bernardino son ‘útiles’

One Identity Safeguard ahora ofrece una bóveda de contraseñas personal gratuita

eperi pone la mira en el Reino Unido para un rápido crecimiento

Deja una respuesta Cancelar la respuesta

Ataque DDoS en el sitio web de San Jose PD y los activos de TI