Embed Size (px)
DESCRIPTION
Evolucao das Tecnicas de Investigacao Corporativa
http://apura.com.br
Sandro Süffert, CTO http://suffert.com
@suffert
Evolução das Técnicas de Investigação Digital em meio corporativo
ICCyber 2007: SOC BrT (Guarujá) ICCyber 2008: Processos Investigação (RJ)
ICCyber 2010: Evolução da Perícia (Brasília)
ICCyber
ICCyber 2009: RoadMap AD, GS (Natal)
Investigação Digital em meio corporativo
Jurídico Segurança da Inf.
Anti-Fraude Inspetoria
Jurídico
Auditoria
Recursos Humanos Compliance
T.I. Governança Forças da Lei
Risco
HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters
+ d a d o s + c o m p l e x i d a d e
Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads
Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
Alguns domínios com informações úteis
Objetivos
INCIDENTE
Agente Resultado
não
autorizado
ATAQUE / VIOLAÇÃO
Ferramentas Falha Alvo
EVENTO
Ação
Taxonomia: Evento>Ataque>Incidente>Crime
Crime
CERT-US
Evolução Temporal das fases de R.I.
Classificação/Lições Aprendidas
Principais Riscos à cadeia de valor digital – CIAB 2012
Velocidade de Resposta
3. Resposta
1. Preparação
2. Detecção / Triagem
Algumas Possíveis Ferramentas de apoio
I - Uma solução de SIEM para correlacionamento em near-real time dos logs (firewall, roteadores, servidores, ids/ips, dhcp, dns, aplicações internas) II - Uma infra-estrutura de "Network Forensics" que seja capaz de reconstruir e fazer o "replay" dos pacotes relacionados a ataque, vazamento de informações, etc. III - Uma solução (idealmente enterprise) de forense computacional que possibilite a análise de dados voláteis (incluindo memória) e de disco IV - Monitoração de atividade de desktops, mídias removíveis
“Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis”
Resposta a Incidentes e Forense Computacional – Abordagem Híbrida
David Ross – GFIRST/Mandiant
Níveis de Ameaças baseado em verticais de atuação
“CyberSecurity Risk”
Drop Sites
Phishing Keyloggers
Botnet Owners
Spammers Botnet
Services
Malware Distribution
Service
Data Acquisition
Service
Data Mining &
Enrichment
Data Sales Cashing $$$
Malware Writers
Identity Collectors
Credit Card Users
Master Criminals
Validation Service
(Card Checkers)
Card Forums
ICQ
eCommerce Site
Retailers
Banks
eCurrency
Drop Service
Wire Transfer
Gambling
Payment Gateways
Fonte: Eddie Schwartz
Economia do Cyber Crime
Tecnologia
Área de Atuação: Preparação Pré-Incidente, Triagem, Resposta a Incidentes
Diferenciais: Capacidade de monitorar através de um pequeno sensor todas as alterações efetuadas por processos em qualquer máquinas Windows (memória, registro, rede, sistema de arquivos)
Principais produtos: Carbon Black
Tecnologia
Solução light-weight que dá acesso às informações exatas que são necessárias para responder a um incidente: quais máquinas foram afetadas e o que aconteceu exatamente nelas (processos, criação, modificação e deleção de arquivos e registro, conexões de rede)
Tecnologia
Área de Atuação: Resposta a Incidentes e Forense Computacional
Diferenciais: Capacidade de lidar com evidências locais, remotas, de mídias, memória, análise estática de binários, análise de tráfego de rede, dispositivos móveis e criptoanálise.
Principais produtos: CIRT, AD Enterprise, FTK4
Tecnologia
AccessData – AD LAB
Tecnologia
Memória: dados não presentes em disco
Memória – detecção de Rootkits
Estratégia
“Aquele que conhece o inimigo e a si mesmo lutará cem batalhas sem perigo de derrota;
para aquele que não conhece o inimigo, mas
conhece a si mesmo, as chances para a vitória ou para a derrota serão iguais;
aquele que não conhece nem o inimigo e nem
a si próprio, será derrotado em todas as batalhas”
Sun Tzu A Arte da Guerra
Pensando em tudo..
A inteligência não é artificial..
Conhecendo as ameaças externas
Onde estamos
Escritório São Paulo:Av. Roque Petroni Jr. 999, 13o Andar. CEP: 04707-910. Telefone: +55 11 5185-2776
Escritório Brasília:SHCN CL 102 Bloco B, sl 112 CEP: 70722-520. Telefone: +55 61 4063-8316
Escritório Miami:80 S.W. 8th Street - Suite 2000 - Miami, Florida 33130 - United States Telefone: +1 305 423 7106
Perguntas
Obrigado!
Amanhã pela manhã: Desafio Forense
Premiação 1º lugar: Google Nexus 7:
“A participação no Desafio é aberta a todos os inscritos no evento, com vagas limitadas, sendo necessário para participar trazer seu notebook, com uma versão atualizada do aplicativo VMWare e 4GB de espaço em disco. Algumas etapas podem necessitar de acesso à Internt. Será declarado vencedor do Desafio o primeiro participante que apresentar a frase ganhadora e demonstrar todas as etapas percorridas.”
