Home > EnCase Enterprise > Information Assurance Suite

Guidance Software hat mit der EnCase Information Assurance Suite (IA) eine Lösung entwickelt, die Ihre Defense-in-Depth-Strategie optimal ergänzt. Die schnellen, optimierten und automatisierten Prozesse sowie die Skalierbarkeit und Präzision dieser netzwerkfähigen Lösung ermöglichen Ihnen die Minderung und häufig auch die Eliminierung bekannter und unbekannter Risiken. Diese Einzellösung ist genau auf Ihre Bedürfnisse im Bereich Informationssicherung abgestimmt. Dadurch wird Ihr Personalaufwand reduziert, Prozesse werden optimiert und die Mitarbeiterproduktivität gesteigert.

• Verlassen Sie sich auf die Computerermittlungssoftware der Wahl zahlreicher Strafverfolgungs- und Regierungsbehörden sowie Unternehmen auf der ganzen Welt.
• Nutzen Sie die Funktionen zur Ereignisreaktion in Echtzeit, die Integration in Warnsysteme und Automatisierung bieten, so dass Sie Ihr Netzwerk so schnell wie noch nie umfassend scannen können.
• Profitieren Sie vom derzeit sorgfältigsten und effizientesten InfoCon Baselining.
• Entfernen Sie klassifizierte verstreute Dateien vollständig mit dem einzigen Tool, das eine automatische zielgerichtete Suche und Problembehebung ermöglicht.
• Verlassen Sie sich auf automatische und genaue Bewertungen, die gewährleisten, dass die IAVA-Anforderungen eingehalten werden.

Die Information Assurance Suite besteht aus den folgenden Modulen, die auch separat erworben werden können. Diese Module sind eine Erweiterung der innovativen computerforensischen Ermittlungsfunktionen von EnCase Enterprise:

• Automated Incident Response-Modul (AIRS)
• Modul für klassifizierte verstreute Daten
• InfoCon Baselining-Modul
• Modul zur IAVA-Einhaltung

1.) Automated Incident Response-Modul (AIRS)
Wenn Sie weitere Informationen zur Funktionsweise von AIRS benötigen, klicken Sie hier.

2.) Modul für klassifizierte verstreute Daten
Das Modul zum Auffinden verstreuter klassifizierter Daten verwendet EnCase Enterprise-Servlets zum Durchsuchen des Netzwerks (Desktops, Dateiserver, zugeordnete Laufwerke/Dateifreigaben und Wechseldatenträger) nach Dokumenten, die entsprechende Suchkriterien erfüllen. Das Modul zum Auffinden verstreuter klassifizierter Dateien bietet die folgenden zentralen Funktionen:

Automatisierte, zielgerichtete und skalierbare Suche: Dank automatisierter, jederzeit einsatzbereiter und zielgerichteter Suchvorgänge werden nur potentiell relevante Daten erfasst. Mittels mehrerer Examiner können mehrere Erfassungsvorgänge gleichzeitig durchgeführt werden, so dass eine Anpassung an Netzwerke jeglicher Größe erfolgen kann. Eine zentrale Aufzeichnungsdatenbank koordiniert die verschiedenen Erfassungsvorgänge rund um die Uhr. 

• Fast alle Daten können durchsucht werden, wie zum Beispiel:
  • E-Mails und E-Mail-Anlagen aus Exchange Server bzw. Domino Server, statische PST- sowie NSF-Dateien
  • die meisten Dateitypen, z. B. PDFs, Microsoft-Anwendungen, Dokumente in Fremdsprachen usw.
  • alle von EnCase Enterprise unterstützten Betriebssysteme sowie die meisten Datenrepositorys
• Leistungsstarke Suchkriterien: Das Modul unterstützt die Suche nach einer beliebigen Kombination aus Metadaten, Schlüsselwörtern und entsprechenden digitalen Fingerabdrücken. Die von bestimmten Kriterien erfassten Daten werden über eine eindeutige ID diesen Kriterien zugeordnet, so dass protokolliert wird, wie diese Daten gefunden wurden. Suchkriterien werden gespeichert und können wiederverwendet werden. Bei jedem nachfolgenden Suchvorgang werden nur neue Daten erfasst. 

Dateisuche:

• Dateimetadaten:
• Dateityp
• Dateigröße
• Dateiname
• Zeitpunkte der Erstellung, Änderung oder des letzten Zugriffs
• Benutzername oder Sicherheits-ID
• Schlüsselwörter in Dateien mit regulären Ausdrücken (GREP)
• Digitale Fingerabdrücke (d. h. Hashwerte)

E-Mail-Suche:

• E-Mail-Felder (z. B. An, Von, CC, Betreff, Sende-/Empfangsdatum usw.)
• Text der E-Mail-Nachricht
• Anlagen

Verwaltung: Auf Grund der Sensibilität dieser Ermittlungsarten enthält das Modul für klassifizierte verstreute Daten über die EnCase Enterprise-Funktionen hinaus weitreichende Protokollierungsfunktionen.

• SAFE-Protokollierung: Der SAFE protokolliert EnCase-Benutzerinformationen und -maßnahmen, wodurch die Erfassungsaktivitäten der höheren Ebene verfolgt werden.
• Protokolle für Verwaltungseinheiten: Für jede gescannte Verwaltungseinheit wird ein unabhängiges Sitzungsprotokoll erstellt, das eine Liste aller gescannter Dateien sowie der erfassten Dateien enthält.
• Datenbank-Protokollierung: Eine Erfassungsdatenbank bietet eine Schnittstelle zur Berichterstellung, die den Fortschritt des Erfassungsvorgangs (z. B. Anzahl der erfassten Computer, Fortschritt in Prozent), Eckdaten (z. B. Anzahl erfasste/gescannte Dateien, Angabe in Gigabyte) sowie die durchschnittliche Scandauer eines Geräts anzeigt.

Erzwingung der Einhaltung von Anforderungen/Problembehebung: Sobald ein Dokument gefunden wird, das auf die Suche reagiert, ist eine permanente Entfernung häufig wünschenswert. Mit dem Modul für klassifizierte verstreute Daten können Sie die betroffene Datei löschen.

• Nach dem Erkennen klassifizierter Informationen löscht EnCase Enterprise diese Treffer automatisch. Gleichzeitig werden einzelne Dateien und die zugehörigen Metadaten in einer logischen Beweisdatei zur Beweissicherung erfasst.
• Ermöglicht die Prüfung der Einhaltung von Richtlinien für elektronische Datensatzverwaltung und löscht nicht konforme Datensätze automatisch. Diese werden in einer logischen Beweisdatei gespeichert, um die Prüfungsergebnisse zu belegen.
• Ermöglicht die Migration von Daten in Archive unter Verwendung des Virtual File System (VFS), das die relevanten Daten als freigegebenes Laufwerk lädt.

3.) Einhaltung der IAVA-Anforderungen
Das Modul zur Einhaltung der IAVA-Anforderungen scannt das Unternehmen, um auf einer MD5-Ebene die Einhaltung von gesetzlich vorgeschriebenen Patchmanagementstandards zu prüfen. Hierbei werden diese Standards aus einer Schwachstellen-Datenbank eingelesen und dann mit den im Netzwerk erfassten Informationen verglichen.

Datenbankunterstützung:

• IAVA
• OVAL

Schwachstellenprüfung:

• Prüfen auf einwandfreie Registrierungseinträge
• Prüfen auf einwandfreie Dateieinträge
• Prüfen auf ordnungsgemäße Versionsnummern von Dateien
• Prüfen auf einwandfreie Hashwerte für Dateien

Erstellen detaillierter Berichte auf Grundlage der Ergebnisse

InfoCon Hardening
Das InfoCon Hardening-Modul vergleicht eine bekannte Baseline von Hashprozessen mit den Hashwerten ausführbarer Programme, die derzeit im Netzwerk installiert sind.

Hashset-Support:

• Benutzerdefiniert: Benutzer können eigene Hashsets definieren, indem sie diese entweder neu erstellen oder das Modul auf saubere Computer verweisen (beim Erstellen der Hashsets müssen keine Prozesse aktiv sein).

Differentialanalyse:

• Im Netzwerk installierte und aktive Prozesse können sowohl mit benutzerdefinierten Hashsets als auch mit der Hashdatenbank verglichen werden. Unbekannte Prozesse und bekannte böswillige Prozesse werden zur schnellen Identifizierung und Bereinigung gekennzeichnet.
• Für eine uhrzeitbasierte Differentialanalyse können mehrere Scans miteinander verglichen werden.
• Zielgerichtete Scans in Bezug auf bekannten, böswilligen Code, nicht autorisierten Code sowie unbekannten Code, den Schwachstellenbeurteilungs-Tools nicht finden (injizierte DLLs, verdeckte Kanäle usw.).

Problembehebung: Prozesse beenden, Dateien löschen oder Registrierungseinträge ändern, wenn unbekannte, böswillige oder nicht autorisierte Binärdateien identifiziert werden.