sexta-feira, 15 de julho de 2016

Cinco coisas que você precisa saber sobre o EnCase Forensic 8



O tão esperado lançamento da Guidance está chegando. A partir de um trabalho em parceria com a comunidade forense, a Guidance desenvolveu o EnCase Forensic 8 tendo os usuários em mente. O time de gerenciamento de produtos da fabricante passou um bom tempo entendendo as necessidades dos clientes, analisando as suas requisições por melhorias e pesquisando como o cenário da investigação digital deve evoluir nos próximos anos. Com essas informações em mãos, começaram a trabalhar no roadmap que endereçará os desafios encontrados pelos examinadores forenses. No próximo dia 26 de julho, terça-feira, Steve Salinas, gerente de marketing de produtos da Guidance, e Rob Batzloff, gerente de produtos da Guidance, conduzem o webinar "Melhores Práticas em Investigação Digital com o EnCase v8" (inscreva-se aqui). Neste post, traduzimos o artigo publicado nesta quarta, no blog da Guidance Software. Boa leitura!

Hoje, eu gostaria de falar sobre cinco coisas importantes que é preciso saber sobre o EnCase Forensic 8 e dar um gostinho do que vem pela frente. Vamos lá:


  1.  EnCase Forensic 8 não é uma nova plataforma: você deve ter ouvido falar que a Guidance planejava introduzir uma nova plataforma forense com o lançamento da versão 8. Sob certo ponto de vista, sim, este era o plano, mas depois de conversar com todos os nossos clientes, mudamos a direção. Ouvimos dos clientes que os que eles realmente queriam era que o EnCase Forensic permitisse completar investigações de forma mais eficiente, sem atrasá-los. Em resumo, assim será. Ficou claro, vocês não precisam ou querem uma nova plataforma de investigação. Portanto, temos o prazer de anunciar que o EnCase Forensic 8 inclui mais de cinco anos de aperfeiçoamos desenvolvidos no EnCase Forensic 7, mas não é uma nova plataforma. 
  2.  EnCase Forensic 8 e EnCase Forensic 7 são simpáticos: um dos principais objetivos para o lançamento do EnCase Forensic 8 era tornar simples a transição entre as versões. Pelo fato de a infraestrutura para este lançamento permanecer a mesma, conseguimos cumprir o nosso objetivo. Todos os EnScripts da versão 7, templates de relatórios, condições, filtros e casos funcionarão na versão 8. É verdade, nenhuma conversão se faz necessária. Você pode iniciar um caso na versão 7, trabalhar parte dele na versão 8 e voltar à versão 7 sem problemas. O EnCase Forensic 8 é 100% compatível com a versão 7. 
  3.  EnCase Forensic 8 vem carregado com melhorias de usabilidade, e isso é só o começo: estamos comprometidos a um processo de contínua inovação que é direcionado às necessidades dos clientes. Neste lançamento inicial do EnCase Forensic 8, estamos entregando soluções para as requisições de usabilidade mais pedidas e continuaremos a atualizar o nosso software com as mudanças solicitadas pelos usuários.  
    • Por exemplo, na versão 8, quando você seleciona um arquivo (marca com o blue check), ele ficará selecionado. Você pode salvar o caso, reabri-lo e, boom, o arquivo selecionado continuará selecionado. 
    • Outra melhoria de usabilidade é a adição de um botão de refresh. Este botão permite atualizar o que você está vendo na visualização de entrada depois de realizar alguma ação, como rodar uma análise de hash/sig. Isso é um grande poupador de tempo em relação às versão anteriores. 
    • Estes são apenas dois exemplos sobre como estamos comprometidos em tornar o trabalho com EnCase Forensic apropriado ao seu dia a dia. Em cada lançamento você verá mais e mais melhorias requisitadas aparecendo no produto e não se surpreenda se receber uma ligação do gerente de produtos querendo falar sobre a sua solicitação.     
  4. Gerenciar os seus EnScripts, Conditions e Filtros está bem mais fácil com o EnCase Forensic 8: outra grande melhoria é a habilidade de gerenciar EnScripts, conditions e Filtros a partir da interface do usuário principal do EnCase Forensic. Estou feliz em anunciar que trouxemos de volta essa capacidade. Como em versões anteriores do EnCase Forensic, agora você pode gerenciar EnScripts, Conditions e Filtros a partir de um painel da interface do usuário principal, chamado de “quarto painel”, pelos antigos usuários do EnCase. Você também perceberá que estamos oferecendo condições default e filtros, o que facilita o processo de achar os arquivos que você necessita.
  5. Mais lançamento, mais foco: finalmente, a Guidance Software está comprometida em oferecer lançamentos de versões do EnCase Forensic 8 mais frequentemente. Com o intuito de ajudá-lo a ser mais eficiente em seu backlog de casos. Neste lançamento inicial adicionamos três grandes funcionalidade (mostradas abaixo) e você pode esperar mais do mesmo em bases regulares: 
    • Integração ao Project VIC que o ajudará a identificar vítimas conhecidas de crimes de exploração infantil. 
    •  Fluxos de trabalho investigativo para reduzir o tempo de rampa aos novos investigadores forenses 
    • Relatórios de triagem para suas necessidade de relatórios ad-hoc durante as investigações 
Pois bem, essas são as cinco coisas que você precisa saber sobre o EnCase Forensic 8. Sendo você um usuário atual da versão 7 ou da versão 6, eu acho que você vai gostar de usar a nova versão. Na Guidance estamos comprometidos a trabalhar com você, da comunidade forense, para entender como podemos continuar a fazer do EnCase Forensic uma ferramenta ainda melhor.

quarta-feira, 13 de julho de 2016

Blog dá dicas úteis sobre ferramentas e práticas de forense digital



O consultor  da TechBiz Forense Digital, Robert Ferreira, começou a escrever o blog Consultor Forense, com dicas sobre ferramentas e práticas de investigação digital. Compilamos aqui algumas delas, mas, quem quiser mais do que a degustação, sinta-se bem-vindo para visitar a página do Robert.


Como obter a chave de criptografia do Whatsapp Crypt8 e sua base de dados 

Usuários que possuem dúvidas para realizar extração da base de dados do WhatsApp e da chave de descriptografia, podem utilizar o software "WhatsApp Key DB Extractor V3", que é uma ferramenta open source e bem simples de se utilizar. Basta realizar o download do software, descompactar a pasta e executar o arquivo WhatsAppKeyExtract.bat, porém é preciso estar atento aos seguintes detalhes:
  1. O aparelho deve ser conectado ao computador desbloqueado, e com o modo de depuração USB habilitado;
  2. O aparelho deve-se ter o Java instalado;
  3. O computador deve estar conectado à internet, pois a aplicação irá baixar um complemento para possibilitar a extração da chave. 

Como utilizar o Live View no EnCase (PDE Emulator) 

O Live View é uma ferramenta forense baseada em Java que cria uma máquina virtual VMware a partir de uma imagem (exemplo: DD/E01) ou disco físico. Isso permite que o examinador forense inicialize um disco e tenha uma visão interativa de usuário, tudo sem modificar a imagem subjacente ou disco. Pelo fato de que todas as alterações feitas para o disco são gravadas em um arquivo separado, o examinador pode imediatamente reverter todas as suas mudanças ao estado original do disco.

Pacote de Revisão do EnCase para otimizar resultados 

O EnCase Review Package é uma maneira fácil de os examinadores forenses compartilharem suas descobertas com agentes de campo ou qualquer outra pessoa interessada no caso, proporcionando visibilidade sobre as provas para uma ampla gama de pessoas, o que garante a conclusão mais rápida das investigações e de forma "colaborativa". Você pode consolidar os resultados de pesquisas em um pacote de revisão que pode ser analisado por entidades externas. Pacotes de revisão podem ser uma combinação de e-mal ou arquivo com resultados de pesquisas feitas a partir de palavras-chaves indexadas.

segunda-feira, 25 de abril de 2016

UFED 5.0 diminui drasticamente o tempo para se chegar à evidência


A Cellebrite acaba de lançar a versão 5 do UFED Physical Analyzer que tem como principal diferencial a redução drástica do tempo de investigação e o foco nos dados que são de fato cruciais. Hana Gazoli nos contou no blog do fabricante quais são esses importantes "poupadores de tempo" que farão diferença no dia a dia de um perito, e nós, da TechBiz Forense Digital, fizemos a livre tradução do artigo original, que se encontra aqui. Boa leitura!

Peneirar dados é um processo que consome muito tempo – um usuário americano médio ocupa 10,8 GB da capacidade de armazenamento de seu dispositivo*, e levando-se em conta diferentes opções de recuperação de dados no UFED Physical Analyzer, esse processo pode levar várias horas para se completar. O UFED 5.0 foi lançado com grandes “poupadores de tempo”, recursos que drasticamente reduzem o tempo de investigação e permite ao investigador focar nos dados que são cruciais ao seu caso. A versão 5.0 traz cinco funcionalidades exclusivas e suporte a 19.203 perfis de dispositivos e 1.528 versões de app.


Mescle várias extrações em um relatório único e evite deduplicações 

Os clientes pediram, nós desenvolvemos. Com o UFED Physical Analyzer 5.0, é possível agora mesclar múltiplas extrações oriundas de múltiplos dispositivos em um projeto unificado, e incluir extrações lógica, física e de sistema de arquivo. Os dados extraídos são apresentados a partir de uma árvore de projeto que oferece um resumo unificado da extração com informações do dispositivo por extração, a habilidade de acessar cada extração separadamente e a indicação da fonte original da extração. Se requerido, você também pode combinar extrações de diferentes dispositivos.




 Essa poderosa funcionalidade poupa o seu tempo não apenas por combinar as extrações, mas também por remover as deduplicações (informações duplicadas e redundantes), e e agrupar registros similares e duplicados para análise rápida e eficiente. Os seguintes tipos de extração podem ser agrupados: lógica, sistema de arquivo lógico avançado, física, SIM card, JTAG, SD Card e UFED Camera Evidence.

“Ser capaz de instantaneamente navegar para onde está localizada cada parte do dado no dump de memória é extraordinário. Isso poupa horas em cada investigação complexa”, diz um investigador. 

Valide os seus dados da forma correta 

O processo de validação final poupa tempo e recursos ao oferecer a mais efetiva e eficiente forma de realizar um processo real e preciso ao validar os dados decodificados com o arquivo-fonte original; portanto, reduzindo a sua necessidade de usar outras ferramentas de forense móvel para extrações adicionais para comparar e validar os resultados.

Cada artefato recuperado possui uma fonte que é originalmente derivada e pode ser usada mais tarde para validar os dados. Se anteriormente você gastava seu tempo pesquisando manualmente a fonte original, o UFED Physical Analyzer 5.0 agora rastreia de volta o conteúdo automaticamente decodificado à sua fonte. Cada registro extraído agora inclui informações sobre a fonte de arquivo em uma visualização de tabela ou no painel à direita com a informação do dispositivo.

Cada link aponta aos dados de correção e incluem o nome do arquivo fonte, que pode ser incluído no relatório do UFED quando for necessário testemunhar em um processo jurídico. Por exemplo, utilizando o UFED Physical Analyzer 5.0, um investigador pode facilmente ver a partir do arquivo fonte original que um SMS recuperado era um artefato deletado, uma vez que ele foi recuperado da memória do dispositivo. O SMS também é visível e destacado em visualização hex, quando se clica na informação sobre a fonte do arquivo (o arquivo db de onde o SMS veio também é mostrado no painel da direita).



 Foque nos arquivos de mídia relevantes com filtros comuns de imagem 

 Outro poupador de tempo adicionado à versão 5.0 é a nova funcionalidade de filtro que economiza um enorme tempo nas investigações. O UFED Physical Analyzer 5.0 automaticamente filtra imagens comuns ou conhecidas, permitindo que você foque nas imagens que precisa para ter rápido acesso à evidência, em vez de perder tempo analisando milhares de imagens que são ícones padronizados dos dispositivos ou que venham como parte de uma instalação de aplicativos.

 O valor de hash MD5 está agora disponível para cada dado de arquivo extraído, e é visível na interface de usuário e no relatório de saída como parte do processo de decodificação. Os valores de hash também podem ser exportados em um Excel para facilmente comparar valores de hash suspeitos ou não identificados com as suas bases de dados.

 Como você pode usar essa útil funcionalidade? Digamos que você tenha 200 valores de hash de imagens indecentes em sua própria base de dados. Você pode facilmente criar uma “watch list” para todos os valores de hash da sua base de dados, e rodar a “watchlist” para encontrar uma pesquisa páreo para as mesmas imagens no dispositivo. Em caso de uma combinação, uma foto de nu, por exemplo, será detectada na dispositivo. Outra possibilidade é exportar os valores de hash do dispositivo ao excel e rodar uma combinação com a sua base de dados, bem como expandir sua lista com novos valores de hash que pertencem a fotos suspeitas contendo nudez.

 Como mostrado na imagem abaixo, se fosse anteriormente você tinha que analisar 24.998 imagens, agora você tem menos de 900 imagens para analisar.  Para visualizar todas as imagens, clique em filter reset ou remova a opção de auto-filtro nas Configurações.



 Acesse dados de aplicativos bloqueados com a extração de sistema de arquivo 

 A versão 5.0 introduz outra capacidade exclusiva ao oferecer acesso a dados de aplicativos bloqueados quando a extração física não está disponível para um dispositivo específico. A introdução de novas versões de aplicativos também trazem novos desafios, como o fato de eles não estarem mais disponíveis para backup usando o método Android de backup, uma vez que estão bloqueados para serviços de backup. O UFED supera essa limitação com a nova opção chamada método de downgrade APK, também disponível via extração de sistema de arquivo. Este método temporariamente faz o downgrade do app (ou arquivo .apk) para uma versão anterior que é compatível ao backup Android. O UFED apresentará a lista de apps instalada no dispositivo e aquelas disponíveis para downgrade. Abra a extração no UFED Physical Analyzer para decodificar os dados decodificados e intactos de aplicativos. O suporte a Apps populares inclui WhatsApp, Facebook, Facebook Messenger, Line, Telegram, Gmail, KIK e mais.

 Extraia dados usando Temporary root (ADB) e reforce o método bootloader 

 A solução Temporary root (ADB) foi aprimorada para suporta dispositivos Android 110 rodando OS 4.3-5.1.1 para sistemas de arquivo e métodos extrações físicas (quando o ADB está ativado). Extrações físicas é a solução mais abrangente. Extração lógica de dados de apps também está disponível para dispositivos listados usando a solução de root temporário. Como parte de sua investigação, você precisa ter acesso a todos os dados armazenados em um dispositivo móvel.

A solução de root temporário (ADB) permite uma extração física para dispositivos 110 Android, e elimina a necessidade de se fazer o root no dispositivo manualmente usando uma ferramenta externa. Ferramentas de terceiros oferecem um root permanente, enquanto a solução temporária de root da Cellebrite é removida após ser reiniciada e garante a extração forense. Com um comprometimento constante aos consumidores, a Cellebrite continua a superar os desafios de extração e evitar as limitações dos dispositivos ao oferecer as últimas capacidades para se extrair dados. O método bootloader foi melhorado na versão 5. Esta solução de bloqueio de bypass única está agora disponível para 27 dispositivos adicionais (chipset APQ8084), incluindo Galaxy Note 4, Note Edge e Note 4 Duos.

 A versão 5.0 também introduz extração física e suporte a decodificação para uma nova família de dispositivos TomTom; bem como sistemas de arquivo e extração lógica e a decodificação também foi adicionada aos dispositivos recentemente lançados, incluindo iPhone SE, Samsung Galaxy S7 e LG G5. Assista ao vídeo abaixo para saber mais sobre os destaques do novo UFED 5.0.


https://www.youtube.com/watch?v=zu444PZzC6Y

quinta-feira, 7 de abril de 2016

Monitoramento: o que podemos aprender com a NASA

*Por Wellington Morais



Como construir um monitoramento de segurança que agregue valor estratégico, detectando e respondendo aos ataques cibernéticos que podem comprometer a imagem da sua companhia? A monitoração é o coração da resposta a incidente e a NASA pode nos ajudar a entender esta questão. Através de um processo contínuo e automatizado baseado na detecção pela observação, a NASA disponibiliza um site com informações sucintas sobre os objetos que podem causar um potencial impacto em nosso planeta no futuro.

Sentry é o nome do sistema de monitoramento de colisão que realiza um estudo contínuo. Este estudo ocorre em um período de 100 anos partindo do ano vigente. Com o passar do tempo alguns objetos saem do escopo da monitoração, pois estudos atuais mostram que determinados asteroides já não representam tanto risco, isso denota que a classificação do risco não é estática e pode sofrer alterações ao longo do tempo, isso precisa estar claro para que o monitoramento reflita a gravidade do cenário e não se submeta a obsolescência. Dentre outras informações, a planilha contém o nome do objeto, um intervalo de anos do possível impacto e a velocidade em Km/s do objeto (Fonte: http://neo.jpl.nasa.gov/risk/ - 29-03-2016).

Certamente a NASA estuda o Universo pelos mais variados motivos, mas o texto acima permite-nos raciocinar na direção de que parte dos esforços consiste na manutenção da espécie humana no planeta. Mas como? Primeiro destaco a missão, pois há um grande interesse em estudar o Universo, bem como descobrir os perigos que podem acarretar a extinção da raça humana. Uma equipe orientada por uma ferramenta não será tão eficaz como uma equipe orientada por uma missão. Em segundo lugar, observo a relevância dos eventos produzidos: os registros de eventos estabelecem o fundamento para os sistemas de monitoramento automatizados, os quais são capazes de gerar relatórios consolidados e alertas na segurança do sistema. Por ultimo, mas não menos importante, pontuo a escolha da ferramenta adequada, ao passo que ela precisa ser capaz de receber, interpretar e correlacionar dados oriundos dos diversos objetos. É o que faz o Sentry, ajuda a gerir a segurança do planeta em face aos perigos contidos no espaço.

Para a NASA, o esforço da monitoração é consequência do risco atribuído ao impacto da colisão. Via de regra, todo árduo trabalho ligado à segurança gira em torno da gestão de risco, que é o objetivo maior da disciplina de segurança. Voltamos à pergunta inicial. Como construir um monitoramento de segurança que agregue valor estratégico, detectando e respondendo aos ataques cibernéticos que podem comprometer a imagem da sua companhia? A quantidade de objetos flutuando no espaço é incontável, todavia, atualmente a NASA monitora cerca de 27 asteroides. Contudo, o que isso significa no contexto do monitoramento de segurança que estamos discutindo?

"Um programa de monitoramento contínuo de segurança da informação é de difícil implementação, mas quando bem estruturado tira a sua empresa da obscuridade, trazendo às claras as ameaças e vulnerabilidades que até então estavam encobertas"


Nossa primeira lição está em entender que o monitoramento de segurança é um processo em que o seus resultado não pode ser fruto do acaso, ele deveria entrar em cena para entregar informações que reflitam o cenário da ameaça, provendo os insumos necessários para a tomada de decisão da alta gestão (27 asteroides que oferecem risco ao planeta). Caso contrário, o que deveria ser um progresso tem tudo para virar uma armadilha, criando uma percepção de que o monitoramento não agrega valor, que não é estratégico.

A segunda lição é entender que não se pode monitorar tudo, o foco deve restringir-se ao que realmente interessa (o que oferece risco ao planeta) tirando o foco do que é importante (quantidade de objetos que flutuam no espaço) e colocando a atenção naquilo que é essencial (27 asteroides que oferecem riscos ao planeta). Muito ataques são automatizados e precisam ser contidos por controles também automatizados. Em grandes companhias, principalmente em ambientes heterogêneos e distribuídos, a variedade de sistemas torna-se um agravante para a disciplina da segurança, frente à quantidade de diferentes controles e aplicações instaladas nestes ambientes para conter ataques. 

Então, nossa terceira lição, é análoga à experiência da NASA, pois concentra-se em identificar uma solução que traga informações dos ativos distribuídos para uma ferramenta centralizada (Sentry monitora a colisão). Mas essa aplicação deve ser capaz de receber, interpretar, correlacionar e escalonar os eventos de segurança dos diversos dispositivos para uma avaliação mais especializada. Embora seja um conceito e não uma ferramenta, estou me referindo ao SIEM.

Nossa quarta lição é a escolha da ferramenta adequada. Minha experiência em muitos projetos me permite descrever o HP ArcSight como um poderoso instrumento capaz de fazer a gestão dos eventos de segurança, observando comportamentos suspeitos que visam comprometer sistemas. O ArcSight detém recursos que vão muito além dos SIEM's convencionais e nos permite gerir a segurança em todas as camadas organizacionais. Possui recursos que avaliam a eficácia dos controles, geram indicadores dos status dos controles, acompanham e alertam as alterações realizadas em ambientes críticos, fornecem uma visibilidade situacional, ou seja, traz a consciência das ameaças e das vulnerabilidades que circundam os ambientes ao tempo presente.

O ArcSight consegue identificar tendências que nos tornam aptos a antever, em tempo hábil, cenários de ameaças que nos moldes tradicionais levariam meses para a construção de um diagnóstico. A aplicação detecta ataques em curso, fornecendo medidas de contenção automatizada quando estruturado para tal. Possui conectores que interpretam eventos de muitos ativos de mercado e outros conectores que podem ser desenvolvidos para atender sua necessidade, em particular no que se refere à monitoração de eventos de segurança. O Arcsight é uma poderosa ferramenta.

Conclusão 


Em qualquer projeto, é fundamental compreender as razões para o sucesso, assim como os fatores que possam eventualmente provocar o fracasso. O objetivo desse artigo não é descrever um método, mas fornecer alguns critérios que o ajudem a entender a importância que a monitoração tem na estratégia da sua organização. Um programa de monitoramento contínuo de segurança da informação é de difícil implementação, mas quando bem estruturado tira a sua empresa da obscuridade, trazendo às claras as ameaças e vulnerabilidades que até então estavam encobertas.

O ArcSight tem recursos suficientes que lhe permite observar, supervisionar, detectar incidentes de segurança de diversas naturezas em todas as camadas organizacionais, desde que o ambiente proposto esteja em condições de receber o monitoramento. Monitoramento é a ultima etapa de um ciclo, que entra em cena quando todas as questões já foram claramente entendidas, para que a atividade não se submeta à obsolescência e o foco esteja sempre pautado no risco ao negócio.

Maior do que a intensidade do estímulo é a magnitude da resposta, por isso reitero que o monitoramento de segurança é o coração da resposta a incidente, afinal, não se responde ao estímulo que não foi detectado.


Referências:

  • ISO 27002 - Códigos de práticas para gestão da segurança da informação;
  • NIST SP 800-137 - Information Security Continuous Monitoring;
  • NASA - National Aeronautics and Space Administration - http://neo.jpl.nasa.gov/risk/



*Wellington Morais é analista forense da TechBiz Forense Digital. 

sexta-feira, 11 de março de 2016

O mercado milionário das milhas: saiba como o ArcSight pode auxiliar as companhias aéreas na detecção de fraudes

*Luiz Henrique Borges


O mercado negro do furto de milhas fez hoje mais uma vítima: eu mesmo. Uma simples busca no Google nos dá dimensão sobre o tamanho do problema. São aproximadamente 290.000 resultados retornados para a simples sentença: furto de milhas.

Não há dados oficiais do setor aéreo sobre o montante perdido anualmente com esse e outros tipos de movimentações fraudulentas. Apostaria, sem medo de errar, que o prejuízo gira em torno dos milhões de reais.

“Quem está se especializando na fina arte de acumular milhas aéreas já descobriu que elas constituem uma espécie de ativo financeiro, na medida em que tem valor econômico.” 





Mas, como utilizar o ArcSight como um aliado no combate a esse tipo de fraude? O ArcSight é amplamente conhecido pela sua capacidade de monitorar e rastrear incidentes de segurança. O que você provavelmente não sabe é que o ArcSight também é muito útil na identificação de fraudes, que podem ser causadas de diversas formas.

Fraude é na verdade um problema de detecção de anomalias. O ArcSight pode ser configurado para monitorar atividades em tempo real de um determinado cliente, inserido em um contexto específico, para identificar um padrão normal de comportamento. Qualquer desvio comportamental do cliente caracterizará uma anomalia. Alguns exemplos de situações que correlacionadas podem ser uma violação:

• Bilhetes emitidos para terceiros
• Bilhetes emitidos para trechos não habituais
• Bilhetes com datas de embarque próximas da emissão (apenas dias de diferença)
• Bilhetes emitidos por funcionários da companhia
• Emissão de múltiplos bilhetes de uma mesma conta
• Múltiplas contas que são acessadas por um mesmo endereço IP
• Acessos para uma mesma conta utilizando informações distintas de: browser, endereço IP, sistema operacional ou provedor
• Compras/vendas de bilhetes na internet em sites “indevidos”






Através de seus mais de 30 recursos, o ArcSight permite que as companhias enderecem as mais diversas necessidades, provendo consciência situacional em tempo real e consequentemente diminuindo o tempo de resposta, evitando ou minimizando assim as perdas financeiras.

Além disso, o ArcSight melhora o ROI (retorno sobre investimento) e entrega maior flexibilidade na manipulação de regras que um sistema convencional para detecção de fraudes. Sendo assim, fica fácil justificar aos altos executivos da companhia sobre a necessidade de aquisição de uma solução que irá atender diversos clientes/setores internos.

No entanto, seja cauteloso! Nem tudo parece ser o que realmente é... Poucas são as soluções de SIEM atualmente existentes no mercado que possuem recursos que permitem esse tipo de adaptação.




* Luiz Henrique Borges é consultor forense na TechBiz Forense Digital. Especialista nas soluções RSA Security Analytics, HP ArcSight e EnCase Cybersecurity. Possui as seguintes certificações: HP Accredited Technical Professional ArcSight ESM 6.5 Administrator V1, RSA Certified SE Professional in Security Analytics, CompTIA Security+, RHCE, RHCSA, LPIC-1, NCLA e NDTS.