GUIDANCE SOFTWARE

EnCase Cybersecurity

EnCase Cybersecurity

Lutter contre la menace et le cot accru des cyberattaques

par une rponse instantane aux incidents

GUIDANCE SOFTWARE | EnCase Cybersecurity

EnCase Cybersecurity
Les donnes sensibles sont au cur de votre activit et la perte de ces donnes est lun des
plus grands risques auquel votre organisation doit faire face aujourdhui. La frquence accrue des
attaques, laugmentation des cots lis aux rparations et lallongement du temps de rponse
sont autant de vulnrabilits supplmentaires. De plus, vous ne disposez que dune visibilit
restreinte pour identifier les cibles des attaques, et dterminer o et comment les donnes
sensibles sont stockes, ce qui ne fait quajouter la complexit du problme.

Ractivit rduite par la multiplicit des outils et des alertes,

tandis que les donnes exploitables disparaissent
Face la prolifration des outils de contrle et des alertes quils gnrent et leffacement rapide
des donnes exploitables, en quelques minutes ou secondes, il devient de plus en plus difficile de
rpondre aux incidents de manire approprie. Il suffit de quelques minutes aux cybercriminels
pour entrer et sortir de votre systme, et laisser derrire eux des mois de travail aux quipes
en charge de la scurit pour rassembler et analyser les donnes. Avec une moyenne de
500000attaques visant les administrations, les tablissements denseignement et les entreprises
du Fortune500 chaque jour, les alertes et les mises en quarantaines ne suffisent plus.

Audits et fonctionnalits de scurit plus avancs pour

combler les failles critiques
EnCase Cybersecurity vous permet de mettre en uvre un plan dvaluation des risques et
un processus de rponse rapide, qui compltent vos technologies de scurit actuelles afin de
raliser les oprations ci-dessous sans avoir embaucher de personnel supplmentaire.

Recherche:
o
Menaces internes et externes non dceles
o
Instances supplmentaires des logiciels malveillants
o
Emplacement des donnes sensibles
Rponse:
o
Validation des menaces dtectes par les solutions primtriques
o
valuation de lorigine et de limpact de la menace
o
Dlais plus courts pour valuer la porte et restaurer les systmes
o
Classement des rponses par ordre de priorit en fonction du profil des
donnes sensibles
o
Comprhension exhaustive du risque
o
Effacement des informations personnelles et de proprit intellectuelle
infectes, et suppression des donnes malveillantes

Chronologie de rponse un incident sans la fonction de rponse automatise d'EnCase Cybersecurity

JOUR X

JOUR X+2

JOUR X+4

JOUR X+8

JOUR X+14

Examen
du dossier

Technicien en scurit
envoy sur place pour
collecter manuellement
des donnes sur l'incident

Analyse des
donnes collectes

Investigation manuelle
sur la machine

Attaque
Laps de
temps
indtermin

Alert Received
Attaque

Appel de l'utilisateur
l'assistance pour
signaler un problme
informatique

Dossier cr
et plac en
file d'attente

En quelques minutes

Demande
d'une
cyber-rponse
par le SIEM

Investigation ralise
sur toutes les machines
potentiellement touches

vnement valid,
dtails enregistrs

Cration de rapports
Web dtaills

avec la fonction de rponse automatise d'EnCase Cybersecurity

Plusieurs semaines ou mois

Une seule machine analyse
Donnes essentielles perdues
Porte relle de l'intrusion
inconnue

Processus complet excut en quelques minutes

Toutes les machines potentiellement touches
analyses
Donnes essentielles prserves
Porte relle de l'intrusion dtermine

Principaux avantages
Efficacit accrue des quipes
en charge de la scurit et des
rponses aux incidents
Dlai rduit entre lalerte et la
rponse initiale

Frquence des attaques

Cot des rparations

Temps de rponse

Validation des vnements de

scurit rduisant le nombre de
fauxpositifs

90% des entreprises

signalent au moins
un incident de securit
paran

Cot moyen par attaque

de 591000$, 42%
plus lev quen 2011

Temps de rponse moyen

en 2012:

valuation instantane du risque

portant sur les donnes sensibles

- Attaques externes: 24 jours

- Malveillances internes: 50jours

Meilleur contrle des logiciels et

des donnes dans vos systmes

Avantages de linvestigation informatique:

instantan complet du endpoint

Rduction significative des cots

occasionns par les rponses aux
incidents

Solaris
HPUX
Netware

Limitation remarquable de votre

vulnrabilit aux cyberattaques
etaux pertes de donnes

Linux /
UNIX
OST

Principales
fonctionnalits

Code zero-day

Windows

Response Automation Connector

facilite lintgration dans les
solutions dalerte ou dagrgation
de donnes

Activit cache
Chevaux
Virus de Troie
Logiciels publicitaires
Logiciels
espions

Malveillance interne
Rootkits

Code polymorphe
Contrairement
aux produits de
scurit standard,
qui se bornent analyser
les systmes dexploitation
Windows ou dtecter certaines
menaces connues, EnCase Cybersecurity
est conu pour offrir une visibilit complte
de vos diffrents systmes dexploitation, et vous
permettre de dtecter et danalyser toute menace,
oquelle se cache.

Injections de DLL

Des rapports Web pratiques pour

examiner et prsenter les rsultats
et dterminer les mesures
prendre

Produits
de scurit
standard

Systme de rfrences
forensiques permettant didentifier
les donnes potentiellement
dangereuses, mme lorsquelles
sont caches ou indtectables
parle systme dexploitation

Menaces
persistantes
avances

Connaissance exhaustive de la situation: EnCase Cybersecurity est fond sur la

technologie EnCase, norme internationale en matire dinvestigation informatique.
Contrairement aux produits de scurit standard, dont les recherches se limitent
aux problmes de composants tels que les virus, vulnrabilits ou analyses rseau,
EnCase Cybersecurity utilise des technologies et des processus dinvestigation.
Vous pouvez le configurer de manire obtenir automatiquement un aperu
exhaustif du point de terminaison au moment o une alerte est reue.

Dissimul et transparent: un service passif et lger sur chaque systme ralise

toutes les activits ncessaires. Vous pouvez le dissimuler pour quil ne soit
pas supprim par des logiciels malveillants ni dtect par des agents internes
malintentionns. Il agit de manire transparente pour ne pas interrompre le travail
des utilisateurs ni alerter des suspects potentiels, et il est compatible avec la plupart
des systmes dexploitation pour les ordinateurs portables et de bureau, et les
serveurs de fichiers, de messagerie et dimpression.

Visibilit et matrise totale des

donnes du point de terminaison
par un fonctionnement cibl la
fois sur le disque et la mmoire
Possibilit de combiner et dajuster
diffrents critres de recherche,
notamment les mots-cls, valeurs
de hachage, expressions rgulires
et priodes

Avec EnCase Cybersecurity,

nous avons rduit notre temps
de rponse moins dune heure,
alors quil nous fallait auparavant
six heures trois mois pour ragir
une menace.

- Matt K., fournisseur dune administration

EnCase Cybersecurity prouve sa valeur dans quatre domaines:

1) Triage: des donnes exploitables centralises
Pour vous fournir un diagnostic aussi complet que possible sur les menaces qui psent sur
une machine, EnCase Cybersecurity examine son comportement par le biais dinvestigations
approfondies comprenant des analyses de codes binaires et de mmoire vive. Notre outil
brevet Entropy Near-match Analyzer permet de dceler les codes malveillants dguiss
oumutants. Les fonctionnalits de triage dEnCase Cybersecurity vous indiqueront:

comment ces codes communiquent avec le rseau;

quels autres systmes ou zones sont dj touchs, le cas chant;
quels autres systmes ou zones sont menacs, le cas chant;
de quels droits daccs la machine concerne dispose;
si des donnes sensibles sont menaces.

2) Solution: prendre des mesures radicales pour radiquer

totalement les menaces
Une fois le logiciel malveillant dtect et identifi, EnCase Cybersecurity peut prendre des
mesures radicales, savoir:

Interrompre les processus associs

Effacer les artefacts des disques durs pour stopper la diffusion de la menace
Vous laisser le temps de dterminer lorigine et la porte exactes de lincident

3) Point de comparaison: rduire le risque de rinfection

Aprs leur limination, les logiciels malveillants actuels peuvent rapparatre deux-mmes
ou par le biais des utilisateurs, qui ont lhabitude dinstaller des codes inconnus ou de stocker
des donnes sensibles sur leurs systmes locaux. Cest pourquoi EnCase Cybersecurity vous
propose deux mthodes pour dtecter ces phnomnes et rduire le risque de rinfection
laide danalyses rgulires.

Mthode1 : crez des modles de rfrence approuvs pour les diffrents

systmes de votre rseau en toute simplicit. laide de ces profils, vous planifiez
des analyses rgulires des points de terminaison afin de dtecter les diffrences
par rapport au modle approuv. Toute excution de code inhabituelle est alors
traite comme un incident et dclenche votre processus de rponse EnCase, qui
limine le code en question ou lajoute au profil de rfrence.
Mthode2 : exploitez les donnes recueillies lors du processus de rponse pour
crer un ensemble dinformations haches sur les codes malveillants connus, que
vous utiliserez lors des analyses rgulires pour vrifier quaucune menace identique
ou similaire nest rintroduite dans votre rseau.

4) Recherche de donnes sensibles: auditer et mettre en

uvre des stratgies de donnes
Avec EnCase Cybersecurity, vous pouvez aisment rechercher les informations de proprit
intellectuelle, les informations personnelles et les donnes confidentielles sensibles, qui
exposent les systmes un risque. Grce ces recherches effectues la fois dans la
mmoire et le disque dur, vous pourrez:

localiser rapidement les donnes sensibles, quels que soient leur emplacement et
leur mode de stockage, mme si elles ont t supprimes, rsident dans un espace
non allou ou sont "en cours dutilisation";
auditer des donnes mdicales ou de carte bancaire afin de vrifier quelles sont
stockes uniquement aux emplacements appropris, conformment aux lois PCI
DSS ou HIPAA;
cibler des proprits intellectuelles spcifiques, (plans, code source ou donnes
confidentielles) laide dune combinaison de mots cls et dautres critres donns
(priode, expression gnrique ou valeur de hachage);
effacer entirement les donnes dangereuses des emplacements non autoriss
laide de fonctionnalits de correction forensique assurant la mise en uvre des
stratgies (conservation des enregistrements) et llimination du risque.

tude de cas
Organisation:
Grande compagnie ptrolire
Scnario:
Attaque dun pirate sur un serveur
distant
Objectif:
Exfiltrer des donnes de production
ptrolire sensibles permettant
dexploiter des processus fluctuants
Solution:
Seize ordinateurs pirats dtects
sur trois continents en moins de
quatre jours.
Attaque contre avec
EnCase Cybersecurity
Les consultants de Guidance
Software ont analys le systme
pirat via le rseau, tabli la
chronologie des vnements et
reconstitu le droulement de
lattaque afin de savoir quelles
preuves ils devaient rechercher
surles autres systmes.
Avec les artefacts et les
mtadonnes rcuprs, lquipe
Guidance Software a cr
une empreinte du logiciel
malveillant et lanc des analyses
EnCase Cybersecurity parallles
automatises par satellite et sur
le rseau ciblant les machines
similaires installes dans les locaux
situs en Asie et en Afrique. Le
logiciel a inspect 465systmes
en quatre jours et identifi
16machines pirates. Pour finir,
lquipe Guidance Software a
form les administrateurs de la
compagnie ptrolire la correction
des anomalies laide dEnCase
Cybersecurity.

Options dintgration
flexibles

Programme de conseils Guidance: adoptez de bonnes

pratiques pour raliser des conomies
De lanalyse initiale des carts aux processus ritrables, en passant par les audits
trimestriels, nos experts vous aideront envisager la cyber-scurit, les investigations
informatiques et la recherche de donnes lectroniques de faon plus moderne. En plus
de vous indiquer les bonnes pratiques adopter, le programme de conseils Guidance vous
permettra didentifier les ressources gaspilles inutilement et les processus manuels
liminer pour mettre en uvre les mthodes de gestion les plus conomiques en matire
de rponse aux incidents, dinvestigations et de stockage lectronique des informations.
Notre quipe vous aidera :

HP ArcSight ESM

diagnostiquer vos processus actuels;

tablir une feuille de route pour gagner en efficacit et instaurer les bonnes
pratiques en vigueur dans votre secteur dactivit;
dployer et intgrer les produits EnCase dans les processus et les activits de
votre entreprise;
suivre la progression de votre entreprise avec des donnes statistiques tangibles
regroupes dans des audits trimestriels dtaills;
dfinir un objectif de retour sur investissement un an.

Efficacit accrue dEnCase Cybersecurity par lintgration

dans les systmes de dtection et de gestion de la
scurit
Lorsquune attaque est dtecte, le premier dfi consiste caractriser lattaque et sa
porte aussi vite que possible afin de minimiser le risque. Voici les questions auxquelles
vous devez rpondre:

EnCase Cybersecurity sintgre

facilement une large gamme de
solutions de scurit laide de
langages courants tels que Java,
PERL, Python et C# ou via notre
service de rponse automatise.
Partenaires dintgration:

Lattaque a-t-elle effectivement atteint lendpoint?

Depuis combien de temps est-elle active?
Des donnes sensibles sont-elles menaces?
Dautres systmes sont-ils touchs?
Quel a t le premier appareil touch?
Sagit-il dun code malveillant ou dune opration effectue par inadvertance?
Dans quels dlais puis-je restaurer le systme et corriger lanomalie?

EnCase Cybersecurity vous permet dagir immdiatement, car il sintgre au systme

dalerte et de gestion des vnements pour enregistrer un instantan des donnes
systme sur le rseau et lanalyser. Vous pouvez configurer le systme pour quil se
concentre automatiquement sur les endpoints touchs au moment de lalerte et dploie
un ensemble de techniques danalyse et dinspection approfondies permettant de mettre
au jour les activits suspectes.

RSA enVision
IBM QRadar
FireEye MPS
...et bien dautres

En 48heures environ, une

administration fdrale amricaine
parvient analyser les disques
durs de ses 1200postes de
travail rpartis dans diffrentes
rgions du monde: une
automatisation qui permet
dconomiser 280 000 $ par an.

- Directeur adjoint,
Agence IRM et ISO de ladministration
fdrale des tats-Unis

www.encase.com
Nos clients
Les clients de GuidanceSoftware sont des entreprises et des administrations de secteurs trs divers, tels que les services financiers et lassurance, la
technologie, la dfense, lindustrie pharmaceutique, lindustrie manufacturire et la vente au dtail. Allstate, Chevron, FBI, Ford, GeneralElectric, Honeywell,
lOTAN, NorthropGrumman, Pfizer, SEC, UnitedHealth Group et Viacom font notamment partie de nos rfrences.
propos de GuidanceSoftware (NASDAQ: GUID)
GuidanceSoftware est reconnu dans le monde entier comme le leader des solutions pour investigation informatique. Sa plate-forme EnCase Enterprise est utilise
par de nombreuses administrations, par plus de 65% des entreprises du Fortune 100 et par plus de 40% des entreprises du Fortune 500, pour raliser des
investigations informatiques sur des serveurs, des ordinateurs portables, des ordinateurs de bureau et des appareils mobiles. EnCase Enterprise est la plateforme
utilise par EnCase eDiscovery et EnCase Cybersecurity, des solutions leaders en matire de scurit Internet et denqute lectronique qui donnent aux
organisations la possibilit de rpondre aux demandes dinformations dans le cadre de litiges, de procder elles-mmes des recherches de donnes et de ragir
de faon rapide et exhaustive en cas dincident de scurit. Pour plus dinformations sur Guidance Software, rendez-vous sur le site www.guidancesoftware.com.
EnCase, EnScript, FastBloc, EnCE, EnCEP, Guidance Software et Tableau sont des marques dposes ou des marques de Guidance Software aux tats-Unis et dans dautres juridictions, et ne peuvent tre
utilises sans consentement crit pralable. Les autres marques et droits dauteur prsents dans ce communiqu de presse sont dtenus par leurs propritaires respectifs.