BÚSQUEDA RÁPIDA DE AMENAZAS CIBERNÉTICAS BASADAS EN ANÁLISIS FORENSE
¿QUÉ ES UN ANÁLISIS FORENSE?
Infocyte, es la única plataforma que realiza un análisis forense para inspeccionar los puntos finales en su red.
Este análisis forense, por definición: es la inspección proactiva y sistemática de activos en su red; con el fin de buscar las amenazas que han evadido su medidas de defensa de Ciberseguridad.
Hay dos formas principales de cazas amenazas: Mediante Software de búsqueda de amenazas o análisis de logs.
Infocyte está diseñado para inspeccionar la red en puntos finales “endpoint” en su red. Tradicionalmente las herramientas realizan una búsqueda en la red, escanean registros/actividades, pero no tienen el alcance para validar el estado de compromiso en los puntos finales “endpoint”.
ANÁLISIS DE LOGS Y CAZA DE AMENAZAS
¿Qué hace? Analiza eventos de toda la red y datos de sensores por anomalías e inconsistencias .
Realiza el análisis del comportamiento de registros y tiene como foco:
- Registro en la red (Flujos, firewall, DNS)
- Registro del servidor (activo, directorio, web)
- Registro de Punto final “endpoint” (Registro EDR)
Inconvenientes:
- Los registros no retroceden lo suficiente o tienen una cobertura limitada.
- Los cazadores de amenazas deben saber qué buscar y que queries necesitan utilizar, pude ser costoso y dispendioso, en grandes redes.
INFOCYTE—ANÁLISI FORENSE
¿Qué hace? Realiza un análisis forense de varios equipos con el fin de evidenciar el compromiso de su red, incluso dentro de la memoria RAM.
¿Qué necesita esta plataforma? Credenciales de acceso a tu punto final “endpoint”.
El despliegue de Infocyte para inspeccionar los equipos:
- Procesos activos (módulos, controladores, Scripts, etc.)
- Código ejecutable en memorias (análisis de memoria RAM)
- Cuentas privilegiadas.
- Conexiones de equipos o servidores activos
- Ejecuciones automáticas (mecanismos persistentes).
- OS Subversion (API hooks, configuraciones, controles deshabilitados, etc.)
INFOCYTE - CAZA DE AMENAZAS
Infocyte es la única plataforma que usa análisis forense para determinar el estado de compromiso de sus puntos finales “endpoint” y toma un análisis forense de la memoria a un nivel alto de escalabilidad, lo que le permite examinar y analizar datos de memoria en vivo en miles de puntos finales simultáneamente. El Análisis forense, también realiza análisis a los mecanismos del sistema operativo y en las aplicaciones, que pueden desencadenar la ejecución de código o ejecutables. Esto proporciona un examen profundo y concluyente del estado su red.
EVALUACIÓN
- Todos los proceso activos, carga de módulos, scripts y controladores.
- Todas las conexiones activas en equipos (Incluyendo inter procesos y redireccionamiento)
EVALUACIÓN DE PROCESOS
- Eventos de WMI
- Chronjobs
- Módulos (archivos DLL)
IDENTIFICACIÓN DE CONTROLES DE SEGURIDAD
- AV desactivado
- Requisito de autenticación reducido configuraciones
- Bloqueo de GPO etc.
IDENTIFICACIÓN Y EVALUACIÓN
- Módulos inyectados en memoria – Infocyte utiliza una técnica propia de análisis de memoria para exportar objetivos y evaluarlos.
- Manipulación de procesos (como “hooks”, modificaciones en línea/”patching”, etc.)
AUDITORIA
Administración remoto legítima de servicios tales como:- Tunnels
- WMI
- PSExec
- VNC
- RDP
Para mayor información descargue el folleto en INGLÉS