http://apura.com.br

Sandro Süffert, CTO http://suffert.com @suffert Evolução das Técnicas de Investigação Digital em meio corporativo

ICCyber 2007: SOC BrT (Guarujá) ICCyber 2008: Processos Investigação (RJ) ICCyber 2010: Evolução da Perícia (Brasília) ICCyber ICCyber 2009: RoadMap AD, GS (Natal)

Investigação Digital em meio corporativo Jurídico Segurança da Inf. Anti-Fraude Inspetoria Jurídico Auditoria Recursos Humanos Compliance T.I. Governança Forças da Lei Risco

HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters + d a d o s + c o m p l e x i d a d e Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams Alguns domínios com informações úteis

Objetivos INCIDENTE Agente Resultado não autorizado ATAQUE / VIOLAÇÃO Ferramentas Falha Alvo EVENTO Ação Taxonomia: Evento>Ataque>Incidente>Crime Crime CERT-US

Evolução Temporal das fases de R.I.

Classificação/Lições Aprendidas

Principais Riscos à cadeia de valor digital – CIAB 2012

Velocidade de Resposta 3. Resposta 1. Preparação 2. Detecção / Triagem

Algumas Possíveis Ferramentas de apoio I - Uma solução de SIEM para correlacionamento em near-real time dos logs (firewall, roteadores, servidores, ids/ips, dhcp, dns, aplicações internas) II - Uma infra-estrutura de "Network Forensics" que seja capaz de reconstruir e fazer o "replay" dos pacotes relacionados a ataque, vazamento de informações, etc. III - Uma solução (idealmente enterprise) de forense computacional que possibilite a análise de dados voláteis (incluindo memória) e de disco IV - Monitoração de atividade de desktops, mídias removíveis

“Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis” Resposta a Incidentes e Forense Computacional – Abordagem Híbrida

David Ross – GFIRST/Mandiant Níveis de Ameaças baseado em verticais de atuação

“CyberSecurity Risk”

Drop Sites Phishing Keyloggers Botnet Owners Spammers Botnet Services Malware Distribution Service Data Acquisition Service Data Mining & Enrichment Data Sales Cashing $$$ Malware Writers Identity Collectors Credit Card Users Master Criminals Validation Service (Card Checkers) Card Forums ICQ eCommerce Site Retailers Banks eCurrency Drop Service Wire Transfer Gambling Payment Gateways Fonte: Eddie Schwartz Economia do Cyber Crime

Tecnologia  Área de Atuação: Preparação Pré-Incidente, Triagem, Resposta a Incidentes  Diferenciais: Capacidade de monitorar através de um pequeno sensor todas as alterações efetuadas por processos em qualquer máquinas Windows (memória, registro, rede, sistema de arquivos)  Principais produtos: Carbon Black

Tecnologia Solução light-weight que dá acesso às informações exatas que são necessárias para responder a um incidente: quais máquinas foram afetadas e o que aconteceu exatamente nelas (processos, criação, modificação e deleção de arquivos e registro, conexões de rede)

Tecnologia  Área de Atuação: Resposta a Incidentes e Forense Computacional  Diferenciais: Capacidade de lidar com evidências locais, remotas, de mídias, memória, análise estática de binários, análise de tráfego de rede, dispositivos móveis e criptoanálise.  Principais produtos: CIRT, AD Enterprise, FTK4

Tecnologia

AccessData – AD LAB

Tecnologia

Memória: dados não presentes em disco

Memória – detecção de Rootkits

Estratégia “Aquele que conhece o inimigo e a si mesmo lutará cem batalhas sem perigo de derrota; para aquele que não conhece o inimigo, mas conhece a si mesmo, as chances para a vitória ou para a derrota serão iguais; aquele que não conhece nem o inimigo e nem a si próprio, será derrotado em todas as batalhas” Sun Tzu A Arte da Guerra

Pensando em tudo..

A inteligência não é artificial..

Conhecendo as ameaças externas

Onde estamos Escritório São Paulo:
Av. Roque Petroni Jr. 999, 13o Andar. CEP: 04707-910. Telefone: +55 11 5185-2776 Escritório Brasília:
SHCN CL 102 Bloco B, sl 112 CEP: 70722-520. Telefone: +55 61 4063-8316 Escritório Miami:
80 S.W. 8th Street - Suite 2000 - Miami, Florida 33130 - United States Telefone: +1 305 423 7106

Perguntas

Obrigado! Amanhã pela manhã: Desafio Forense Premiação 1º lugar: Google Nexus 7: “A participação no Desafio é aberta a todos os inscritos no evento, com vagas limitadas, sendo necessário para participar trazer seu notebook, com uma versão atualizada do aplicativo VMWare e 4GB de espaço em disco. Algumas etapas podem necessitar de acesso à Internt. Será declarado vencedor do Desafio o primeiro participante que apresentar a frase ganhadora e demonstrar todas as etapas percorridas.”