КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ ЭКСПЕРТИЗА

[Николай Герман]

В ответ на многочисленные вопросы относительно программного обеспечения EnCase Enterprise и попыток сравнить данный продукт с различными иными производителями, хотелось бы наконец внести ясность и описать основные преимущества данного продукта и его отличие от множества представленных на рынке продуктов.

В первую очередь хотелось бы отметить, что EnCase Enterprise нельзя противопоставлять существующим на сегодняшний день продуктам в области защиты информации и расследования инцидентов. EnCase Enterprise имеет уникальные функции, которые дополняют существующие решения в организации и интегрируются с любыми программными продуктами. EnCase Enterprise является сетевой версией программного обеспечения для исследования цифровых носителей информации, которое в течение многих лет используется правоохранительными органами во всем мире и представляет собой универсальный инструмент, включающий в себя многие технические функции, представленные в той или иной степени в различных коммерческих продуктах. Однако объединение многих функций в одном универсальном инструменте не является основным преимуществом данного продукта.

Итак, что же позволяет осуществить EnCase Enterprise в рамках отдельно взятой организации. EnCase Enterprise позволяет сотрудникам департамента информационной безопасности получить мгновенный доступ к любому рабочему месту в сети организации, провести удаленный анализ произошедшего инцидента или поиск определенной информации одновременно на сотнях или тысячах исследуемых компьютеров. Поиск информации, в рамках собственной инфраструктуры, занимает в сотни раз меньшее время, чем при использовании стандартных средств поиска цифровых доказательств совершенного нарушения политики безопасности предприятия или иного противоправного действия. Позволяет расследовать внутренние противоправные инциденты и эффективно бороться с инсайдерами, доказать умышленные изменения или подлог информации, принадлежащей вашему предприятию, при рейдерской атаке или неправомерных действиях со стороны правительственных органов. Немного углубляясь в более тонкие технические моменты, хочется отметить, что все существующие средства поиска цифровых улик и создания доказательной базы при расследовании инцидентов, предполагают «ручное» исследование каждого компьютера в отдельности. EnCase Enterprise позволяет не только автоматизировать процесс поиска доказательств и сократить в десятки или сотни раз время и человеческие ресурсы, затраченные на поиск улик, но и уменьшить расходы на хранение найденной информации. Сейчас вам нет необходимости копировать все данные, а можно провести предварительный анализ и в соответствии с заданными фильтрами предварительно просмотреть искомую информацию, включая, например, удаленные данные и сохранить только ту информацию, которая непосредственно относится к теме конкретного расследования. Это позволит в разы сократить время поиска доказательств и сэкономит вам терабайты дискового пространства. Система хранения и защиты информации современной организации обязательно включает в себя различные способы по контролю за утечкой конфиденциальной информации: контроль доступа, ограничение прав и установка различных профилей защиты, шифрование информации и т.д. Но для того чтобы вы могли осуществить все эти возможности, необходимо в первую очередь ответить на вопрос «Где находятся эти данные?» Эту задачу помогает решить Encase Enterprise.

Однако и это не основное преимущество использования EnCase Enterprise для защиты конфиденциальной информации и расследования инцидентов в вашей организации. Одним из самых весомых преимуществ использования EnCase Enterprise, является использование данного программного обеспечения большинством правоохранительных органов во всем мире. EnCase Enterprise является стандартом исследования цифровых носителей информации и предоставления данных в суде. Неизменность получаемой при помощи EnCase Enterprise информации и соответствие всем основным принципам криминалистического изъятия и анализа цифровых улик, позволяет получить доказательства в соответствии с мировыми стандартами и имеет возможности для быстрой передачи собранной доказательной базы правоохранительным органам. Хотя, зачастую, наличие данных возможностей уже является психологическим барьером для мошенников и позволяет завершить расследование до его начала.

Если организация «не учится на своих ошибках», то эта ошибка непременно повторится. Зачастую организация не имеет возможности предотвратить инцидент. Но мы обязаны иметь возможность расследовать инцидент и установить причины его возникновения для того, чтобы он не повторился в дальнейшем. На сегодняшний день существует много технических решений, позволяющих принять «превентивные» меры от утечки информации. Однако, для того, чтобы защитить информацию необходимо знать, где она находится и всегда существует ряд доверенных сотрудников, которым разрешен доступ к информации в данный момент времени. Совместно с установленной системой выявления атаки, EnCase позволяет выявлять происшествия в режиме реального времени при помощи функции Snapshot, запуск которой происходит сразу после поступления сигнала тревоги. Незамедлительный анализ компьютера-источника и компьютера-цели предоставляет информацию об известных, неизвестных и скрытых процессах, открытых файлах, драйверах устройств, сервисах, данные протоколов TCP и других данных позволяющих определить, осуществляется ли вторжение на компьютер, и виртуально устранить возможность ложных или ошибочных результатов. EnCase Enterprise позволяет сделать криминалистический анализ информации и, по оставленным следам и уликам, восстановить действия злоумышленника, способ его противоправных действий и, таким образом, исключить вероятность повторения данного нарушения в будущем.

EnCase Enterprise используется большинством организаций из списка Fortune 500 для анализа собственной инфраструктуры информационной безопасности. Для любой современной организации важно наличие инструмента для проведения внутреннего аудита на соответствие ряду отраслевых требований и стандартов. EnCase Enterprise позволяет американским компаниям осуществлять контроль за исполнением требований закона Сарбейнза-Оксли и дает руководству компаний инструмент контроля за достоверностью предоставляемой им информации. Закон значительно ужесточает требования к финансовой отчётности и к процессу её подготовки, что явилось следствием многочисленных мировых корпоративных скандалов, связанных с недобросовестными менеджерами крупных корпораций. Финансовые организации имеют возможность сократить расходы и количество человеко-часов по поиску и анализу информации в собственной инфраструктуре, при собственном аудите информационной безопасности на соответствие стандарту PCI DSS, или на соответствие ряда требований стандартов ISO 27001 и ISO 17799. Причем все данные проверки могут осуществляться без остановки бизнес-процессов и потери рабочего времени сотрудников.

EnCase Enterprise не дублирует и не заменяет существующие программно-технические средства защиты информации, а дополняет их и усиливает. А также предоставляет уникальные возможности по созданию доказательной базы в соответствии с международными стандартами получения цифровых улик и предъявления их в суде.

PS. Господа, готов обсуждать все вышеизложенное. Что то смогу объяснить, что то готов обсуждать. Буду рад Вашим идеям, здоровой критике и т.д. Хотелось бы на Вашем опыте обсудить возможные преимущества или недостатки EnCase Enterprise.

[Igor Mikhaylov]

А с чем едят eDiscovery?

EnCase® eDiscovery is the enterprise-wide eDiscovery solution that operates from a central location to automatically perform search and collection of electronically stored information (ESI) from unstructured and semi-structured data stores, such as: workstations, laptops, servers, removable storage devices, archiving and content management solutions, with no business disruption to end-users. EnCase® eDiscovery scales to an organization of any size, while providing a time efficient, cost effective, world class in-house eDiscovery solution.

В чем принципиальное отличие EnCase® eDiscovery от EnCase® Enterprise ?

А ещё помниться был AIR...

[Николай Герман]

В чем принципиальное отличие EnCase® eDiscovery от EnCase® Enterprise ?

Electronic Discovery (http://en.wikipedia.org/wiki/Electronic_Discovery)фишка штатовская, не совсем применима к нам в их трактовке. eDiscovery у них свод мер и правил которые необходимо выполнять по исполнению федеральных законов по защите персональных данных, законов типа Сарбейнза-Оксли и т.д. Отличие состоит в том что EE просто инструмент который необходимо настраивать, eDiscovery - некое решение на основе EE, но уже с определенными настройками и автоматизацией. Грубый пример - любой антивирусный пакет поставляется аля plug'n'play - установил и работай. Настройки там есть, но рядовому пользователю в них обычно лезть не надо. eDiscovery что то сходни антивирусному пакету - уже готовое решение под решение задач Eletronic Discovery.

[Igor Mikhaylov]

Ага. Понятно. Т.е. eDiscovery это продукт заточенный более под коммерческий сектор. Для экспертов правильнее приобретать EE или FIM.

А продажи Encase AIR сейчас прекращены?

И еще вопрос немного не по теме где взять информацию про Encase Lab Edition? Собирается ли ваша фирма продвигать Lab версию программы?

[Igor Mikhaylov]

В свободном доступе появился тренинг
EnCase Enterprise Startup Training
https://www.guidancesoftware.com/traini ... artup.aspx

[xxx2x]

Хотелось бы услышать растолкования по вопросу настройки распределения ресурсов для ускорения обработки кейсов. Идея замечательна, но вот только из мануала не совсем понятно как проводить настройку машин которые будут участвовать в работе в качестве ведомых, кроме того не совсем понятен вопрос с лицензированием. Куда подключается хасп - на клиентскую или серверную машину? Кроме того не совсем ясно - данная функция распределения ресурсов доступна только в Enterprise версии или форенсик версии тоже? Заранее спасибо.