Evolucao das Tecnicas de Investigacao Corporativa

Transcript

1. http://apura.com.br

2. Sandro Süffert, CTO http://suffert.com @suffert Evolução das Técnicas de Investigação

   Digital em meio corporativo

3. ICCyber 2007: SOC BrT (Guarujá) ICCyber 2008: Processos Investigação (RJ)

   ICCyber 2010: Evolução da Perícia (Brasília) ICCyber ICCyber 2009: RoadMap AD, GS (Natal)

4. Investigação Digital em meio corporativo Jurídico Segurança da Inf. Anti-Fraude

   Inspetoria Jurídico Auditoria Recursos Humanos Compliance T.I. Governança Forças da Lei Risco

5. HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8

   setores / 4kb 1-n clusters + d a d o s + c o m p l e x i d a d e Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams Alguns domínios com informações úteis

6. Objetivos INCIDENTE Agente Resultado não autorizado ATAQUE / VIOLAÇÃO Ferramentas

   Falha Alvo EVENTO Ação Taxonomia: Evento>Ataque>Incidente>Crime Crime CERT-US

7. Evolução Temporal das fases de R.I.

8. Classificação/Lições Aprendidas

9. Principais Riscos à cadeia de valor digital – CIAB 2012

10. Velocidade de Resposta 3. Resposta 1. Preparação 2. Detecção /

    Triagem

11. Algumas Possíveis Ferramentas de apoio I - Uma solução de

    SIEM para correlacionamento em near-real time dos logs (firewall, roteadores, servidores, ids/ips, dhcp, dns, aplicações internas) II - Uma infra-estrutura de "Network Forensics" que seja capaz de reconstruir e fazer o "replay" dos pacotes relacionados a ataque, vazamento de informações, etc. III - Uma solução (idealmente enterprise) de forense computacional que possibilite a análise de dados voláteis (incluindo memória) e de disco IV - Monitoração de atividade de desktops, mídias removíveis

12. “Computer Forensics: Results of Live Response Inquiry vs Memory Image

    Analysis” Resposta a Incidentes e Forense Computacional – Abordagem Híbrida

13. David Ross – GFIRST/Mandiant Níveis de Ameaças baseado em verticais

    de atuação

14. “CyberSecurity Risk”

15. Drop Sites Phishing Keyloggers Botnet Owners Spammers Botnet Services Malware

    Distribution Service Data Acquisition Service Data Mining & Enrichment Data Sales Cashing $$$ Malware Writers Identity Collectors Credit Card Users Master Criminals Validation Service (Card Checkers) Card Forums ICQ eCommerce Site Retailers Banks eCurrency Drop Service Wire Transfer Gambling Payment Gateways Fonte: Eddie Schwartz Economia do Cyber Crime

16. Tecnologia  Área de Atuação: Preparação Pré-Incidente, Triagem, Resposta a

    Incidentes  Diferenciais: Capacidade de monitorar através de um pequeno sensor todas as alterações efetuadas por processos em qualquer máquinas Windows (memória, registro, rede, sistema de arquivos)  Principais produtos: Carbon Black

17. Tecnologia Solução light-weight que dá acesso às informações exatas que

    são necessárias para responder a um incidente: quais máquinas foram afetadas e o que aconteceu exatamente nelas (processos, criação, modificação e deleção de arquivos e registro, conexões de rede)

18. Tecnologia  Área de Atuação: Resposta a Incidentes e Forense

    Computacional  Diferenciais: Capacidade de lidar com evidências locais, remotas, de mídias, memória, análise estática de binários, análise de tráfego de rede, dispositivos móveis e criptoanálise.  Principais produtos: CIRT, AD Enterprise, FTK4

19. Tecnologia

20. AccessData – AD LAB

21. Tecnologia

22. Memória: dados não presentes em disco

23. Memória – detecção de Rootkits

24. Estratégia “Aquele que conhece o inimigo e a si mesmo

    lutará cem batalhas sem perigo de derrota; para aquele que não conhece o inimigo, mas conhece a si mesmo, as chances para a vitória ou para a derrota serão iguais; aquele que não conhece nem o inimigo e nem a si próprio, será derrotado em todas as batalhas” Sun Tzu A Arte da Guerra

25. Pensando em tudo..

26. A inteligência não é artificial..

27. Conhecendo as ameaças externas

28. Onde estamos Escritório São Paulo:
Av. Roque Petroni Jr. 999, 13o

    Andar. CEP: 04707-910. Telefone: +55 11 5185-2776 Escritório Brasília:
SHCN CL 102 Bloco B, sl 112 CEP: 70722-520. Telefone: +55 61 4063-8316 Escritório Miami:
80 S.W. 8th Street - Suite 2000 - Miami, Florida 33130 - United States Telefone: +1 305 423 7106

29. Perguntas

30. Obrigado! Amanhã pela manhã: Desafio Forense Premiação 1º lugar: Google

    Nexus 7: “A participação no Desafio é aberta a todos os inscritos no evento, com vagas limitadas, sendo necessário para participar trazer seu notebook, com uma versão atualizada do aplicativo VMWare e 4GB de espaço em disco. Algumas etapas podem necessitar de acesso à Internt. Será declarado vencedor do Desafio o primeiro participante que apresentar a frase ganhadora e demonstrar todas as etapas percorridas.”