EnCase Enterprise

EnCase Enterprise

EnCase® Enterprise - сетевое программное обеспечение, использующееся для проведения собственного аудита, удаленного внутрикорпоративного расследования инцидентов с использованием компьютерного оборудования, расследования деятельности сотрудников компании или любых инцидентов, связанных с несанкционированным доступом к компьютерной информации.

Обзор

EnCase® Enterprise - сетевое программное обеспечение, использующееся для проведения собственного аудита, удаленного внутрикорпоративного расследования инцидентов с использованием компьютерного оборудования, расследования деятельности сотрудников компании или любых инцидентов, связанных с несанкционированным доступом к компьютерной информации.

В первую очередь, EnCase® Enterprise дает кристалльную прозрачность данных, хранящихся на конечных точках (компьютерах, серверах, мобильных устройствах, телефонах, внешних дисках и т. д.) сотрудников компании. EnCase® Enterprise позволяет осуществить тщательный поиск, сбор, сохранение и анализ информации использующейся в организации при проведении собственного аудита для проверки соблюдения сотрудниками политик безопасности компании, выполнения требований различных стандартов и требований локального и международного законодательства, проведении проверок со стороны правоохранительных органов, фискальных органов, внутренних и сторонних аудиторов.

Сетевая версия программного обеспечения EnCase® Enterprise вобрала в себя весь опыт локальной версии EnCase Forensic, изначально разработанной компанией Guidance Software для проведения компьютерно-технической экспертизы. EnCase® Enterprise значительно сокращает время и материальные затраты при проведении внутренних корпоративных компьютерных расследований, а также является стандартом представления данных в суде. Возможность удаленного аудита конечных точек без остановки деятельности организации, позволяет осуществлять поиск и анализ неструктурированной информации и автоматически производить ее классификацию и перемещение или удаление в соответствии с политиками безопасности компании.

EnCase® Enterprise - представляет собой проверенный, экономичный способ проведения расследований по факту нарушений, совершенных персоналом (таких как: утечка инсайдерской информации, фродинг, нарушение корпоративной политики, иски в отношении сексуальных домогательств на рабочем месте или обвинения в компьютерных преступлениях), кражи интеллектуальной собственности, мошенничества, несанкционированного доступа к компьютерной информации и др. В отличие от проведения поиска электронных доказательств вручную, или при помощи автономных инструментов, система удаленных расследований с технологией

EnCase Enterprise отвечает всем необходимым требованиям криминалистического сбора получения улик в неизменном виде и позволяет справиться с большим объемом компьютерных расследований, сократив время на выезд специалистов, время проведения самого расследования, а также позволяет проводить непосредственное исследование конечных точек.

Приемущества

Без технологии EnCase:

У Вас нет возможности точно распознать мошенничество, нарушения политики сотрудниками компании и другие внутренние угрозы из-за отсутствия централизованного пункта контроля всей сети.

Нет возможности быстро и эффективно реагировать на нарушения безопасности сети, а также устранять последстивия происшествий.

Возникают большие затраты и снижается производительность, связанные с проведением расследований и поиском доказательств вручную.

Преимущества технологии EnCase® Enterprise:

С EnCase Enterprise - появляется возможность проводить всеобъемлющий мониторинг сети, что позволяет обнаружить эксплуотационные риски и снизить уровень угрозы.

Появляется возможность автоматического реагирования на сигналы системы безопасности, что служит началом расследования и предотвращает потерю или повреждение данных.

Уменьшаются затраты и повыщается производительность благодаря врзможности проводить расследование и сбор данных из одного пункта.

EnCase Enterprise - революционное сетевое решение в области аудита и классификации данных, проведения удаленной компьютерно-технической экспертизы и расследования компьютерных инцидентов, использующееся более чем в 50% компаний из списка Fortune 100 и установленное на более чем 10 миллионах конечных точек во всем мире.

Позволяет проводить исследование ВСЕХ данных, содержащихся в конечных точках, принимать незамедлительные ответные действия, а также проводить собственный аудит с криминалистической значимостью собранных улик и гарантированной результативностью выявления всех нарушений политики безопасности.

EnCase Enterprise соответствует Федеральному Стандарту по Обработке информации (FIPS) 140-2, стандартам EAL2 и DIACAP, и применяется в крупнейших правительственных органах и корпорациях для упрощения процесса проведения удаленных внутренних расследованиях в корпоративной сети.

Технология постоянно поддерживается и совершенствуется компанией Guidance Software с учетом пожеланий наших Заказчиков из экспертно-криминалистических служб правоохранительных органов всего мира, а также постоянно проводятся тренинги и выдают международные сертификаты (EnCE®)

Зачем нам нужен EnCase Enterprise и криминалистическая значимость полученной информации?

Большинство наших клиентов были убеждены в том что со всеми расследованиями внутри компании они справляются собственными силами и служа безопасности компании всегда может выявить и наказать виновного в политике нарушения политик безопасности. Однако опыт внедрения программного обеспечения EnCase показал, что у наших Заказчиков реально нет ответа на два вопроса:

- Как выявить те нарушения о которых мы не знаем?
- Как доказать что собранные улики о совершении того или иного правонарушения, получены законным путем?

Реалии наших дней показывают, что зачастую бизнес вынужден решать свои проблемы собственными силами, так как нет уверенности в том, что, например, в конфликте с сотрудником помогут правоохранительные органы. Локальная версия EnCase Forensic используется правоохранительными органами всего мира и всех стран СНГ. Благодаря признанию ими данного программного обеспечения эталоном инструмента для фиксации компьютерных улик и соблюдению всех принципов неизменности собираемых данных, наши клиенты получают не только значительную экономию средств и времени по выявлению и фиксации нарушений, но и практическую возможность быстрой передачи информации правоохранительным органам. Данная возможность применяется на практике в очень небольшом проценте выявленных инцидентов, но сама возможность, позволяет придать внутреннему расследованию намного большую компетентность и значимость.

Также большое значение имеет опыт использования локальной версии EnCase правоохранительными органами при проведении собственного аудита при помощи EnCase Enterprise внутри организации. Многолетний опыт работы экспертов криминалистов во всем мире, позволяет нам создавать уже готовые сценарии поиска определенного вида и типа информации, в десятки раз сокращая время по выявлению неклассифицированной информации содержащей конфиденциальные или "чувствительные" данные наших клиентов. Под термином "чувствительные" данные подразумеваются не только те данные, которые являются конфиденциальными с точки зрения внешних критериев, но и те, которые являются компрометирующими данную организацию или определенных ее сотрудников. Многие наши клиенты используют EnCase Enterprise для поиска и гарантированного удаления таких данных, особенно если данное требование вызвано необходимостью оценки финасовых рисков в преддверии судебного иска или принятия решения о правомочности претензий со стороны третьих организаций.

По словам Джонни Салливана, специалиста службы информационной безопасности Университета Невады в Лас Вегасе, "Технология EnCase Enterprise обеспечивает предельный коэффициент ускорения работы, позволяющий мне справляться с огромным потоком внутренних расследований, в дополнение к моим стандартным обязанностям в качестве специалиста службы информационной безопасности ".

По результатам исследования Gartner, многие компании, особенно территориально разнесенные, тратят немало средств и времени для проведения внутренних расследований и вынуждены зачастую привлекать для проведения расследования деятельности сотрудников компании сторонние организации, либо увеличивать штат сотрудников отдела информационной безопасности. EnCase Enterprise дает уникальную возможность проведения удаленного аудита и изучения компьютерных инцидентов из центрального офиса компании с экономией средств и времени реагирования на инцидент, предоставляя нашим Заказчикам возможность своевременного реагирования и получения достоверных результатов.

Применение

Сокращение расходов
При использовании системы EnCase Enterprise, организации, имеющие территориально разнесенные филиалы или представительства в различных точках страны или мира, могут окупить свои инвестиции, сразу же после начала расследований. EnCase Enterprise позволяет:
- Полностью избежать затрат на выезд специалистов и проводить расследование без остановки деятельности компании;
- Избежать расходов и рисков, возникающих при привлечении проведения расследования инцидента сторонней организации;
- Сократить риск наложения ответственности в виде значительных штрафов и других мер наказания, при помощи проведения расследований в соответствии с установленными законодательными нормами.

Удаленное исследование данных на экспертно-криминалистическом уровне
Технология EnCase® Enterprise позволяет организациям осуществлять полный контроль "статичной" информации и информации из оперативной памяти на конечных точках сети для выявления нарушений политики безопасности компании и полной прозрачности корпоративных данных.
- Проведение расследований на "живой", работающей системе, позволяет получить крайне ценную информацию, которая содержится исключительно в оперативной памяти, а также возможность видеть, что происходит за компьютером, который находится под наблюдением в определенный момент времени. Фиксация данных оперативной памяти позволяет, например, зафиксировать работу сотрудника с облачными системами хранения данных, шифрованными разделами диска или внешними носителями информации.
- Базовый уровень настроек системы позволяет осуществлять постоянное наблюдение за данными, информация о которых не содержится в операционной системе, такими как скрытые файлы, удаленные файлы (включая предпросмотр удаленных данных во избежание излишнего копирования огромных массивов лишней информации), а также данные, хранящиеся в заполнителях, либо в неразмеченном пространстве жесткого диска
- Позволяет осуществлять проверку почтовых серверов и архивов, выявление попыток скрыть данные методом изменения расширения файла или шифрования информации, что является абсолютно необходимым при проведении расследований по факту нарушений со стороны персонала, или по факту мошенничества.

Повышение продуктивности деятельности

Технология EnCase Enterprise предоставляет возможность с рабочего места администратора системы запускать неограниченное количество одновременных соединений (ограничено лишь количеством лицензий) с исследуемыми рабочими местами, запуская предустановленные сценарии реагирования на сигналы тревоги системы безопасности либо периодический поиск информации по заданным шаблонам, позволяя выявить и предотвратить, например, появление неклассифицированной информации, содержащей конфиденциальные данные.

- Широкий набор заранее созданных фильтров, оптимизированных для проведения расследований, позволяет осуществлять более эффективный поиск интересующих данных;
- Широкий набор предустановленных шаблонов поиска с возможностью изменения их пользователем;
- Автоматизация типовых задач и возможность разделения полномочий доступа к системе позволяет с
большей эффективностью распределить работу рядовых сотрудников и руководящего состава
отдела безопасности

Каким образом EnCase Enterprise дополняет Вашу существующую систему безопасности.

Сканеры уязвимости приложений.

Сканеры выявляющие уязвимости в приложениях, ищут либо известные уязвимости, либо известные возможные сценарии которые послужили причиной уязвимостей в исходном коде приложения в прошлом.

EnCase Enterprise подтверждает статический код, определенный сканером приложений, и проверяет сохранность кода, осуществляющего функционирование критически важных ресурсов организации.

Сканеры уязвимости сети.

Сканеры, выявляющие уязвимости в сети, предупреждают об известных уязвимостях и конфигурациях представляющих опасность для сети.

Опираясь на реакцию операционной системы, сканеры уязвимостей в сети распознают функционирующие процессы, приложения и конфигурации. Полученная в результате анализа операционных систем, уровней пакетов обновлений, функционирующих приложений или текущих процессов передачи данных информация может быть обманчивой или неточной.

EnCase Enterprise осуществляет анализ с точки зрения пользователя с целью выявить какие-либо запрещенные или приносящие вред программы, или несанкионированные процессы передачи данных. Программа также позволяет распознавать неизвестные или скрытые программы которые могут использовать уязвимости операционной системы. Данная операция осуществляется благодаря возможности анализировать профили машины пользователя (включая названия процессов и соответствующие им значения хеш-функции MD5), а также возможности распознавать руткиты (rootkits) на компьютерах с системой Windows.

Управляемые службы безопасности.

Управляемые службы безопасности позволяют оценивать общий уровень безопасности в организации, используя известные и проверенные инструменты и методы.

EnCase Enterprise позволяет определять протекающие неизвестные или вредоносные процессы, а также вредоносный или неизвестный код, находящий в состоянии бездействия на сканируемом устройстве.

Корпоративные брандмауэры.

Стандартная функция брандмауэров заключается в осуществлении контроля над сетевым трафиком и регистрации нарушений политики сети, как имеющих место внутри организации, так и
поступающих извне.

EnCase Enterprise позволяет производить быстрый анализ, как в автоматическом порядке, так и с ручными настройками, компьютеров вовлеченных в процесс нарушения политики сети, параметры которой определяются настройками системы брандмауэров организации.

Корпоративные антивирусы.

Системы антивирусов занимаются поиском известных вирусов, червей и других вредоносных кодов, заражающих операционную систему посредством сопоставления известных сигнатур файлов и значений хеш-функций с подозрительным кодом. После обнаружения вредоносного кода антивирус, как правило, либо уведомляет об обнаруженной опасности, либо устраняет ее.

EnCase Enterprise является единственным коммерческим решением, позволяющим находить и исправлять последствия работы руткитов действующих на базе Windows. EnCase осуществляет глубокий анализ операционной системы с целью обнаружения и уничтожения скрытых процессов и средств, используемых руткитами. Таким образом, выявляя эти скрытые процессы, EnCase служит дополнением к установленным антивирусам и системам защиты от вредоносных программ.

 

Дескриптор приложений, наборы хэш-функций, профили и технология Snapshot Enterprise позволяют быстро выявить и устранить неизвестные вредоносные коды, которые невозможно обнаружить при помощи существующих антивирусных решений. Подобного рода программы использующие уязвимости системы и черви в большинстве случаев ускользают от антивирусных систем, так как они не совпадают с известными сигнатурами. EnCase служит дополнением к установленной системе антивирусного программного обеспечения предоставляя средства для быстрого выявления проблем, определения масштаба их распространения, источника возникновения, а также для устранения последствий на компьютерах подвергавшихся
риску.

Сразу после обнаружения неизвестного процесса EnCase Enterprise может в автоматическом порядке произвести анализ других компьютеров в организации с целью найти другие машины которые могли подвергаться атаке ранее обнаруженного червя или вредоносной программы.

Сканеры содержимого интернета, почты и сети.

Сканеры содержимого сканируют послания электронной почты, страницы Интернета, другое содержимое сетевого трафика, а также приложения с целью обнаружить вредоносный код или содержимое запрещенного характера и предотвратить их попадание в организацию или выход за ее пределы.

Как только запрещенный процесс был обнаружен одной из перечисленных систем, EnCase Enterprise может произвести анализ компьютера и предоставить ключевую информацию (Интернет историю, данные кэш-памяти Интернет, поиск по ключевым словам) для подтверждения нарушений установленной политики и его источник.

Шифрование файлов дисков и электронной почты.

Технологии шифрования позволяют пользователю обеспечивать защиту важной информации как внутри, так и за пределами организации.

Технологии шифрования также используются сотрудниками с целью скрыть информацию и инструменты которые могут использоваться для несанкционированной деятельности.

EnCase Enterprise позволяет сотрудникам отдела безопасности выявлять существование на компьютерах организации зашифрованных данных, которые могут противоречить политике корпорации.

EnCase Enterprise позволяет анализировать данные зашифрованные EFS как в автономных, так и в подтвержденных доменом системах.

EnCase Enterprise позволяет сотрудникам отдела безопасности просматривать и анализировать зашифрованные тома и логические накопители с целью определить открывались ли они подозреваемым во время проведения расследования.

Системы выявления атак.

Система выявления атак предпринимает попытки обнаружить вредоносные процессы или нарушения политики организации в сегментах сети или хостах в пределах организации. Перечисленные системы могут базироваться как в сетевой инфраструктуре (как в случае с сетевыми системами выявления атак), так и в системах с конечным узлом, таким как клиентские рабочие станции и серверы (в случае с централизованной системой выявления атак).

EnCase Enterprise предоставляет возможность автоматического реагирования на происшествия, и также позволяет осуществлять эту функцию вручную. Совместно с установленной системой выявления атаки EnCase позволяет выявлять происшествия в режиме реального времени при помощи функции, известной как Snapshot, запуск которого происходит сразу после поступления сигнала тревоги. Незамедлительный анализ компьтера-источника и компьютера цели предоставляет информацию об известных, неизвестных и скрытых процессах, открытых файлах, драйверах устройств, сервисах, данные протоколов TCP и другие данные позволяющие определить, осуществляется ли вторжение на компьютер, и виртуально устранить возможность ложных или ошибочных результатов. Автоматически срабатывающая сразу же после обнаружения происшествия функция Snapshot показывает последствия атаки во времени, таким образом, вы узнаете, имело ли происшествие место на самом деле и, если да, то каковы его источник и последствия.

Вы также можете использовать аналогичные возможности функции Snapshot для быстрого блокирования небезопасных процессов и осуществлять ответные действия вручную. После подтверждения того, что вредоносный процесс имел место, EnCase Enterprise может осуществлять автоматический анализ компьютеров во всей организации с целью обнаружить компьютеры, которые подвергались атаке того же червя или программы.

Верификаторы целостности систмы.

Верификаторы целостности системы генерируют значение для каждого файла и системы текущего контроля чтобы определить имели ли место, и когда, изменения файла или системы служащие признаком возможных несанкционированных доступов или вредоносных процессов.

EnCase Enterprise может осуществлять автоматическую проверку не только целостности статических файлов системы, но также протекающих в системе процессов. Программа может собирать дополнительную информацию из системного реестра, файловой системы, сети, чтобы определить имел ли место несанкционированный доступ к машине.

Инструменты управления информацией систем безопасности.

Системы управления корреляцией и регистрацией событий собирают регистрационные записии сигналы тревоги из различных систем и группируют их, устанавливая между ними корреляции чтобы определять потенциальные угрозы выявленные ранее и сократить общее число ошибочных результатов поиска.

EnCase Enterprise автоматически реагирует на различные типы сигналов тревоги и подтверждает возникновение опасности. Несмотря на то, что инструмент управления информацией систем безопасности осуществляет расширенную корреляцию среди множества систем чтобы сгенерировать сигнал тревоги, он не позволяет подтвердить с позиции целевого компьютера наличие угрожающего процесса и определить степень нанесенного ущерба. EnCase Enterprise предоставляет возможность осуществлять реакцию после того, как происшествие было идентифицировано.

Самая широкая поддержка операционных систем

Позволяет осуществлять исследование одного или группы компьютеров с операционной системой Windows, UNIX, Linux, Solaris, Mac OS X, и даже NetWare, на наличие конфиденциальной информации, несанкционированных процессов и сетевых соединений.

Пассивный агент размером 720k позволяет осуществлять пассивный мониторинг конечных точек

Пассивный агент (servlet) системы EnCase ® Enterprise, имеющий размер всего лишь 720k, не препятствует работе операционной системы и не монополизирует ресурсы, в отличие от традиционных приложений конечных точек, а также позволяет получить и произвести анализ оперативной памяти или информации хранящейся на жестком диске.

Позволяет осуществить запатентованный, одновременный распределенный поиск информации

Поисковый метод EnCase Enterprise не требует индексации данных. Технология распределенного поиска позволяет осуществлять копирование только необходимой информации, при помощи быстрого анализа метаданных фокусируя внимание только на предмете поиска.

Многоуровневая система администрирования

EnCase Enterprise обладает множеством назначаемых ролей, позволяющих распределить доступ к системе для разграничения полномочий владельцев системы, что позволяет организациям использовать данную технологию не нарушая права сотрудников, не раскрывая служебную информацию, а также не позволяя администраторам системы самовольно осуществлять несанкционированные компьютерные расследования и использовать служебные полномочия в личных целях.

Детализированные отчеты и их анализ

Настраиваемые шаблоны отчетов, позволяют настроить визуализацию полученных результатов в зависимости от требований заказчика, например, могут настраиваться для представления только важной информации руководству компании. Контрольный журнал содержит детализированные отчеты обо всех операциях, проводимых в ходе расследования.

Услуги

Профессиональные услуги
Профессиональные услуги компании Guidance Software предоставляют заказчикам прямой доступ к базе знаний, сформированной на основании практического опыта компьютерно-технической экспертизы во всем мире, что позволит Вам увеличить до максимума окупаемость инвестиций и сэкономить время.

Консалтинговые услуги Guidance Software
Использование консалтинга нашей компании предоставит Вам возможность использовать накопленный нами опыт по проведению расследований любого уровня. Накопленный нами опыт, позволяет эффективно и в кратчайшие сроки провести поиск необходимой информации с учетом технических требований наших Заказчиков и основных международных стандартов и принципов проведения расследований и фиксации улик при проведении компьютерной экспертизы.

Внедрение и поддержка
Инсталляция, развертывание и настройка системы производится при помощи специалистов компании Guidance Software. В дальнейшем наши Заказчики всегда получают возможность обновления программного обеспечения и круглосуточный доступ к постоянно расширяющейся базе знаний.

Услуги по сертификации
Наша компания накопила значительный опыт, который помогает нашим Заказчикам соответствовать требованиям различных внутренних и внешних стандартов, помогает в выполнении требований таких стандартов, как ISO 27001, PCIDSS, Electronic Discovery и многих других. Нами разработаны базовые настройки системы EnCase Enterprise для различных рынков и сфер деятельности.

Услуги по оказанию технической поддержки и интеграции
Нами постоянно ведется работа по доработке нашего программного обеспечения под нужды Заказчиков и интеграция с программными и аппаратными решениями ведущих разработчиков индустрии информационной безопасности для того чтобы предоставить нашим клиентам наилучший сервис и гарантию востребованности и оптимального использования наших продуктов. В настоящий момент проведена работа по интеграции и получен успешный опыт совместного использования EnCase Enterprise с решениями компании Perimetrix, Seventest, ArcSight.

Тренинги компании Guidance Software
Тренинги и обучающие программы компании Guidance Software помогают организациям получить максимальную отдачу от использования программного обеспечения EnCase® Enterprise в своей деятельности. Мы предлагаем тренинги мирового класса по вопросам проведения корпоративных расследований, исследований корпоративной сети, осуществления ответных действий в случае обнаружения нарушений, а также проведении компьютерно-технической экспертизы.

Проведение интерактивных тренингов по запросу
Интерактивный тренинг предлагает Вам возможность удаленного обучения того же уровня, что и доступные на сегодняшний момент тренинги Guidance Software, в любое удобное для вас время, в любом удобном для вас месте.

Проведение обучения у Заказчика
Базовый курс обучения проводится при инсталляции системы. По запросу возможно проведение дополнительных курсов на базе нашей компании либо непосредственно у Заказчика. Обучение на курсах компании Guidance Software предоставляет нашим клиентам не только широкий спектр профессиональных навыков, но и возможность обмена опытом с коллегами со всего мира.

Документация: 
Производитель: 
Тип лицензии: 
Коммерческая
Требования к ОС: 
Windows XP
Windows Vista
Windows 7

Добавить комментарий

CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.