UserAssist

Meu amigo Marcello Zillo apontou em seu blog uma ferramenta muito interessante para trabalhos de forensic (ou simplesmente resposta a incidentes), o UserAssist.

A ferramenta faz uma busca por informações usadas para mostrar as aplicações mais usadas no menu Iniciar, recurso presente desde o XP. De forma interessante, acabamos sabendo o que um usuário andou fazendo em sua máquina.

Lembrando que é possível fazer queries remotas ao Registry do Windows, podemos pensar em verificações periódicas nas estações da rede, em busca de aplicações suspeitas ou não alinhadas com o perfil de uso dos usuários.

Detecção por anomalias - uma outra visão

Muitos sabem que eu sou apaixonado pela idéia de detecção por anomalias, ao invés da já batida detecção por assinaturas. Falo isso sobre IDS, antivírus, etc. Porém, é interessante ver pesquisas e pontos de vista distintos. Achei este trabalho muito interessante, mostrando os problemas da detecção por anomalias. Vale a pena lê-lo.

Network Security Monitoring

O Richard Bejtlich foi muito correto neste post de seu blog ao salientar as deficiências de se utilizar apenas logs para monitoração de segurança. A sugestão dele é fazer uma composição entre o uso de logs e o uso de sensores de rede, no que ele chama de Network Security Monitoring. Faz muito sentido, principalmente pelo risco de comprometimento dos componentes do sistema de log, seja na geração, na transmissão ou no armazenamento. Também é interessante notar que o uso de técnicas de detecção por anomalia podem se beneficiar bastante do conteúdo relacionado ao tráfego de rede.

(Há um ponto incorreto no post dele, que é assumir que a máquina monitorada está ok simplesmente porque não foi detectado tráfego malicioso após o levantamento da suspeita. Há um comentário no post que menciona isso e o próprio Richard concorda)