http://apura.com.br
Evolução das Técnicas de Investigação     Digital em meio corporativo           Sandro Süffert, CTO            http://suff...
ICCyber    ICCyber 2007: SOC BrT (Guarujá)     ICCyber 2008: Processos Investigação (RJ) ICCyber 2009: RoadMap AD, GS (Nat...
Investigação Digital em meio corporativo     Jurídico     Segurança da Inf.     Auditoria   Anti-Fraude       Inspetoria  ...
Alguns domínios com informações úteis                        + d a d o s                         + c o m p l e x i d a d e...
Taxonomia: Evento>Ataque>Incidente>Crime INCIDENTE         ATAQUE / VIOLAÇÃO                               EVENTO         ...
Evolução Temporal das fases de R.I.
Classificação/Lições Aprendidas
Principais Riscos à cadeia de valor digital – CIAB 2012
Velocidade de Resposta    1. Preparação2. Detecção / Triagem    3. Resposta
Algumas Possíveis Ferramentas de apoio I - Uma solução de SIEM para correlacionamento em near-real time dos logs (firewall...
Resposta a Incidentes e ForenseComputacional – Abordagem Híbrida“Computer Forensics: Results of LiveResponse Inquiry vs Me...
Níveis de Ameaças baseado em verticais de atuação                                       David Ross – GFIRST/Mandiant
“CyberSecurity Risk”
Economia do Cyber Crime                     Drop Sites                                                                Paym...
Tecnologia   Área de Atuação: Preparação Pré-Incidente,    Triagem, Resposta a Incidentes   Diferenciais: Capacidade de ...
TecnologiaSolução light-weight que dá acesso às informações exatas que são necessárias pararesponder a um incidente: quais...
Tecnologia    Área de Atuação: Resposta a Incidentes e     Forense Computacional    Diferenciais: Capacidade de lidar co...
Tecnologia
AccessData – AD LAB
Tecnologia
Memória: dados não presentes em disco
Memória – detecção de Rootkits
Estratégia “Aquele que conhece o inimigo e a si mesmo lutará cem batalhas sem perigo de derrota;  para aquele que não conh...
Pensando em tudo..
A inteligência não é artificial..
Conhecendo as ameaças externas
Onde estamos           Escritório São Paulo:
Av. Roque Petroni Jr. 999,           13o Andar. CEP: 04707-910.           Tel...
Perguntas
Obrigado!        Amanhã pela manhã: Desafio Forense          Premiação 1º lugar: Google Nexus 7:“A participação no Desafio...
Próximos SlideShares
Carregando em…5
×

Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa

802 visualizações

Publicada em

Evolucao das Tecnicas de Investigacao Corporativa

Publicada em: Tecnologia
1 comentário
3 gostaram
Estatísticas
Notas
Sem downloads
Visualizações
Visualizações totais
802
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
18
Comentários
1
Gostaram
3
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa

  1. 1. http://apura.com.br
  2. 2. Evolução das Técnicas de Investigação Digital em meio corporativo Sandro Süffert, CTO http://suffert.com @suffert
  3. 3. ICCyber ICCyber 2007: SOC BrT (Guarujá) ICCyber 2008: Processos Investigação (RJ) ICCyber 2009: RoadMap AD, GS (Natal) ICCyber 2010: Evolução da Perícia (Brasília)
  4. 4. Investigação Digital em meio corporativo Jurídico Segurança da Inf. Auditoria Anti-Fraude Inspetoria Risco Jurídico Recursos Humanos Compliance T.I. Governança Forças da Lei
  5. 5. Alguns domínios com informações úteis + d a d o s + c o m p l e x i d a d eHD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clustersMemória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threadsRede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
  6. 6. Taxonomia: Evento>Ataque>Incidente>Crime INCIDENTE ATAQUE / VIOLAÇÃO EVENTO Resultado ObjetivosAgente Ferramentas Falha Ação Alvo não autorizado Crime CERT-US
  7. 7. Evolução Temporal das fases de R.I.
  8. 8. Classificação/Lições Aprendidas
  9. 9. Principais Riscos à cadeia de valor digital – CIAB 2012
  10. 10. Velocidade de Resposta 1. Preparação2. Detecção / Triagem 3. Resposta
  11. 11. Algumas Possíveis Ferramentas de apoio I - Uma solução de SIEM para correlacionamento em near-real time dos logs (firewall, roteadores, servidores, ids/ips, dhcp, dns, aplicações internas) II - Uma infra-estrutura de "Network Forensics" que seja capaz de reconstruir e fazer o "replay" dos pacotes relacionados a ataque, vazamento de informações, etc. III - Uma solução (idealmente enterprise) de forense computacional que possibilite a análise de dados voláteis (incluindo memória) e de disco IV - Monitoração de atividade de desktops, mídias removíveis
  12. 12. Resposta a Incidentes e ForenseComputacional – Abordagem Híbrida“Computer Forensics: Results of LiveResponse Inquiry vs Memory Image Analysis”
  13. 13. Níveis de Ameaças baseado em verticais de atuação David Ross – GFIRST/Mandiant
  14. 14. “CyberSecurity Risk”
  15. 15. Economia do Cyber Crime Drop Sites Payment Gateways eCommerce eCurrency Gambling Site Phishing Keyloggers Wire ICQ Banks Validation Transfer Botnet ServiceBotnet SpammersOwners Services (Card Checkers) Card Drop Retailers Forums Service Malware Data Data Distribution Acquisition Mining & Data Sales Cashing $$$ Service Service Enrichment Malware Identity Credit Master Writers Collectors Card Users Criminals Fonte: Eddie Schwartz
  16. 16. Tecnologia Área de Atuação: Preparação Pré-Incidente, Triagem, Resposta a Incidentes Diferenciais: Capacidade de monitorar através de um pequeno sensor todas as alterações efetuadas por processos em qualquer máquinas Windows (memória, registro, rede, sistema de arquivos) Principais produtos: Carbon Black
  17. 17. TecnologiaSolução light-weight que dá acesso às informações exatas que são necessárias pararesponder a um incidente: quais máquinas foram afetadas e o que aconteceuexatamente nelas (processos, criação, modificação e deleção de arquivos e registro,conexões de rede)
  18. 18. Tecnologia  Área de Atuação: Resposta a Incidentes e Forense Computacional  Diferenciais: Capacidade de lidar com evidências locais, remotas, de mídias, memória, análise estática de binários, análise de tráfego de rede, dispositivos móveis e criptoanálise.  Principais produtos: CIRT, AD Enterprise, FTK4
  19. 19. Tecnologia
  20. 20. AccessData – AD LAB
  21. 21. Tecnologia
  22. 22. Memória: dados não presentes em disco
  23. 23. Memória – detecção de Rootkits
  24. 24. Estratégia “Aquele que conhece o inimigo e a si mesmo lutará cem batalhas sem perigo de derrota; para aquele que não conhece o inimigo, mas conhece a si mesmo, as chances para a vitória ou para a derrota serão iguais; aquele que não conhece nem o inimigo e nem a si próprio, será derrotado em todas as batalhas” Sun Tzu A Arte da Guerra
  25. 25. Pensando em tudo..
  26. 26. A inteligência não é artificial..
  27. 27. Conhecendo as ameaças externas
  28. 28. Onde estamos Escritório São Paulo:
Av. Roque Petroni Jr. 999, 13o Andar. CEP: 04707-910. Telefone: +55 11 5185-2776 Escritório Brasília:
SHCN CL 102 Bloco B, sl 112 CEP: 70722-520. Telefone: +55 61 4063-8316 Escritório Miami:
80 S.W. 8th Street - Suite 2000 - Miami, Florida 33130 - United States Telefone: +1 305 423 7106
  29. 29. Perguntas
  30. 30. Obrigado! Amanhã pela manhã: Desafio Forense Premiação 1º lugar: Google Nexus 7:“A participação no Desafio é aberta a todos os inscritos no evento, com vagas limitadas,sendo necessário para participar trazer seu notebook, com uma versão atualizada doaplicativo VMWare e 4GB de espaço em disco. Algumas etapas podem necessitar deacesso à Internt. Será declarado vencedor do Desafio o primeiro participante queapresentar a frase ganhadora e demonstrar todas as etapas percorridas.”

×