4. Investigação Digital em meio corporativo
Jurídico Segurança da Inf. Auditoria
Anti-Fraude Inspetoria Risco
Jurídico Recursos Humanos Compliance
T.I. Governança Forças da Lei
5. Alguns domínios com informações úteis
+ d a d o s + c o m p l e x i d a d e
HD: Bit Byte Setor Cluster Arquivo
1 8bits 512B 8 setores / 4kb 1-n clusters
Memória: Bit Byte Página Thread Processo
1 8bits 4kB n páginas n threads
Rede: Bit Byte Pacote Stream Sessão
1 8bits n bytes n pacotes n streams
11. Algumas Possíveis Ferramentas de apoio
I - Uma solução de SIEM para correlacionamento em near-real time dos
logs (firewall, roteadores, servidores, ids/ips, dhcp, dns, aplicações internas)
II - Uma infra-estrutura de "Network Forensics" que seja capaz de
reconstruir e fazer o "replay" dos pacotes relacionados a ataque, vazamento
de informações, etc.
III - Uma solução (idealmente enterprise) de forense computacional que
possibilite a análise de dados voláteis (incluindo memória) e de disco
IV - Monitoração de atividade de desktops, mídias removíveis
12. Resposta a Incidentes e Forense
Computacional – Abordagem Híbrida
“Computer Forensics: Results of Live
Response Inquiry vs Memory Image Analysis”
13. Níveis de Ameaças baseado em verticais de atuação
David Ross – GFIRST/Mandiant
15. Economia do Cyber Crime
Drop Sites
Payment
Gateways eCommerce
eCurrency Gambling
Site
Phishing Keyloggers
Wire
ICQ Banks
Validation Transfer
Botnet Service
Botnet Spammers
Owners Services (Card Checkers)
Card Drop
Retailers
Forums Service
Malware Data Data
Distribution Acquisition Mining & Data
Sales Cashing $$$
Service Service Enrichment
Malware Identity Credit Master
Writers Collectors Card Users Criminals
Fonte: Eddie Schwartz
16. Tecnologia
Área de Atuação: Preparação Pré-Incidente,
Triagem, Resposta a Incidentes
Diferenciais: Capacidade de monitorar através de
um pequeno sensor todas as alterações efetuadas
por processos em qualquer máquinas Windows
(memória, registro, rede, sistema de arquivos)
Principais produtos: Carbon Black
17. Tecnologia
Solução light-weight que dá acesso às informações exatas que são necessárias para
responder a um incidente: quais máquinas foram afetadas e o que aconteceu
exatamente nelas (processos, criação, modificação e deleção de arquivos e registro,
conexões de rede)
18. Tecnologia
Área de Atuação: Resposta a Incidentes e
Forense Computacional
Diferenciais: Capacidade de lidar com evidências
locais, remotas, de mídias, memória, análise
estática de binários, análise de tráfego de rede,
dispositivos móveis e criptoanálise.
Principais produtos: CIRT, AD Enterprise, FTK4
24. Estratégia
“Aquele que conhece o inimigo e a si mesmo
lutará cem batalhas sem perigo de derrota;
para aquele que não conhece o inimigo, mas
conhece a si mesmo, as chances para a vitória
ou para a derrota serão iguais;
aquele que não conhece nem o inimigo e nem
a si próprio, será derrotado em todas as
batalhas”
Sun Tzu
A Arte da Guerra
30. Obrigado!
Amanhã pela manhã: Desafio Forense
Premiação 1º lugar: Google Nexus 7:
“A participação no Desafio é aberta a todos os inscritos no evento, com vagas limitadas,
sendo necessário para participar trazer seu notebook, com uma versão atualizada do
aplicativo VMWare e 4GB de espaço em disco. Algumas etapas podem necessitar de
acesso à Internt. Será declarado vencedor do Desafio o primeiro participante que
apresentar a frase ganhadora e demonstrar todas as etapas percorridas.”