http://apura.com.br

Sandro Süffert, CTO http://suffert.com

@suffert

Evolução das Técnicas de Investigação Digital em meio corporativo

ICCyber 2007: SOC BrT (Guarujá) ICCyber 2008: Processos Investigação (RJ)

ICCyber 2010: Evolução da Perícia (Brasília)

ICCyber

ICCyber 2009: RoadMap AD, GS (Natal)

Investigação Digital em meio corporativo

Jurídico Segurança da Inf.

Anti-Fraude Inspetoria

Jurídico

Auditoria

Recursos Humanos Compliance

T.I. Governança Forças da Lei

Risco

HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters

+ d a d o s + c o m p l e x i d a d e

Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads

Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams

Alguns domínios com informações úteis

Objetivos

INCIDENTE

Agente Resultado

não

autorizado

ATAQUE / VIOLAÇÃO

Ferramentas Falha Alvo

EVENTO

Ação

Taxonomia: Evento>Ataque>Incidente>Crime

Crime

CERT-US

Evolução Temporal das fases de R.I.

Classificação/Lições Aprendidas

Principais Riscos à cadeia de valor digital – CIAB 2012

Velocidade de Resposta

3. Resposta

1. Preparação

2. Detecção / Triagem

Algumas Possíveis Ferramentas de apoio

I - Uma solução de SIEM para correlacionamento em near-real time dos logs (firewall, roteadores, servidores, ids/ips, dhcp, dns, aplicações internas) II - Uma infra-estrutura de "Network Forensics" que seja capaz de reconstruir e fazer o "replay" dos pacotes relacionados a ataque, vazamento de informações, etc. III - Uma solução (idealmente enterprise) de forense computacional que possibilite a análise de dados voláteis (incluindo memória) e de disco IV - Monitoração de atividade de desktops, mídias removíveis

“Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis”

Resposta a Incidentes e Forense Computacional – Abordagem Híbrida

David Ross – GFIRST/Mandiant

Níveis de Ameaças baseado em verticais de atuação

“CyberSecurity Risk”

Drop Sites

Phishing Keyloggers

Botnet Owners

Spammers Botnet

Services

Malware Distribution

Service

Data Acquisition

Service

Data Mining &

Enrichment

Data Sales Cashing $$$

Malware Writers

Identity Collectors

Credit Card Users

Master Criminals

Validation Service

(Card Checkers)

Card Forums

ICQ

eCommerce Site

Retailers

Banks

eCurrency

Drop Service

Wire Transfer

Gambling

Payment Gateways

Fonte: Eddie Schwartz

Economia do Cyber Crime

Tecnologia

Área de Atuação: Preparação Pré-Incidente, Triagem, Resposta a Incidentes

Diferenciais: Capacidade de monitorar através de um pequeno sensor todas as alterações efetuadas por processos em qualquer máquinas Windows (memória, registro, rede, sistema de arquivos)

Principais produtos: Carbon Black

Tecnologia

Solução light-weight que dá acesso às informações exatas que são necessárias para responder a um incidente: quais máquinas foram afetadas e o que aconteceu exatamente nelas (processos, criação, modificação e deleção de arquivos e registro, conexões de rede)

Tecnologia

Área de Atuação: Resposta a Incidentes e Forense Computacional

Diferenciais: Capacidade de lidar com evidências locais, remotas, de mídias, memória, análise estática de binários, análise de tráfego de rede, dispositivos móveis e criptoanálise.

Principais produtos: CIRT, AD Enterprise, FTK4

Tecnologia

AccessData – AD LAB

Tecnologia

Memória: dados não presentes em disco

Memória – detecção de Rootkits

Estratégia

“Aquele que conhece o inimigo e a si mesmo lutará cem batalhas sem perigo de derrota;

para aquele que não conhece o inimigo, mas

conhece a si mesmo, as chances para a vitória ou para a derrota serão iguais;

aquele que não conhece nem o inimigo e nem

a si próprio, será derrotado em todas as batalhas”

Sun Tzu A Arte da Guerra

Pensando em tudo..

A inteligência não é artificial..

Conhecendo as ameaças externas

Onde estamos

Escritório São Paulo:Av. Roque Petroni Jr. 999, 13o Andar. CEP: 04707-910. Telefone: +55 11 5185-2776

Escritório Brasília:SHCN CL 102 Bloco B, sl 112 CEP: 70722-520. Telefone: +55 61 4063-8316

Escritório Miami:80 S.W. 8th Street - Suite 2000 - Miami, Florida 33130 - United States Telefone: +1 305 423 7106

Perguntas

Obrigado!

Amanhã pela manhã: Desafio Forense

Premiação 1º lugar: Google Nexus 7:

“A participação no Desafio é aberta a todos os inscritos no evento, com vagas limitadas, sendo necessário para participar trazer seu notebook, com uma versão atualizada do aplicativo VMWare e 4GB de espaço em disco. Algumas etapas podem necessitar de acesso à Internt. Será declarado vencedor do Desafio o primeiro participante que apresentar a frase ganhadora e demonstrar todas as etapas percorridas.”