SlideShare uma empresa Scribd logo

Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa

Sandro Suffert
Sandro Suffert

Evolucao das Tecnicas de Investigacao Corporativa

Tecnologia
1 de 30
Baixar para ler offline
http://apura.com.br
Evolução das Técnicas de Investigação Digital em meio corporativo Sandro Süffert, CTO http://suffert.com @suffert
ICCyber ICCyber 2007: SOC BrT (Guarujá) ICCyber 2008: Processos Investigação (RJ) ICCyber 2009: RoadMap AD, GS (Natal) ICCyber 2010: Evolução da Perícia (Brasília)
Investigação Digital em meio corporativo Jurídico Segurança da Inf. Auditoria Anti-Fraude Inspetoria Risco Jurídico Recursos Humanos Compliance T.I. Governança Forças da Lei
Alguns domínios com informações úteis + d a d o s + c o m p l e x i d a d e HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
Taxonomia: Evento>Ataque>Incidente>Crime INCIDENTE ATAQUE / VIOLAÇÃO EVENTO Resultado Objetivos Agente Ferramentas Falha Ação Alvo não autorizado Crime CERT-US
Evolução Temporal das fases de R.I.
Classificação/Lições Aprendidas
Principais Riscos à cadeia de valor digital – CIAB 2012
Velocidade de Resposta 1. Preparação 2. Detecção / Triagem 3. Resposta
Algumas Possíveis Ferramentas de apoio I - Uma solução de SIEM para correlacionamento em near-real time dos logs (firewall, roteadores, servidores, ids/ips, dhcp, dns, aplicações internas) II - Uma infra-estrutura de "Network Forensics" que seja capaz de reconstruir e fazer o "replay" dos pacotes relacionados a ataque, vazamento de informações, etc. III - Uma solução (idealmente enterprise) de forense computacional que possibilite a análise de dados voláteis (incluindo memória) e de disco IV - Monitoração de atividade de desktops, mídias removíveis
Resposta a Incidentes e Forense Computacional – Abordagem Híbrida “Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis”
Níveis de Ameaças baseado em verticais de atuação David Ross – GFIRST/Mandiant
“CyberSecurity Risk”
Economia do Cyber Crime Drop Sites Payment Gateways eCommerce eCurrency Gambling Site Phishing Keyloggers Wire ICQ Banks Validation Transfer Botnet Service Botnet Spammers Owners Services (Card Checkers) Card Drop Retailers Forums Service Malware Data Data Distribution Acquisition Mining & Data Sales Cashing $$$ Service Service Enrichment Malware Identity Credit Master Writers Collectors Card Users Criminals Fonte: Eddie Schwartz
Tecnologia  Área de Atuação: Preparação Pré-Incidente, Triagem, Resposta a Incidentes  Diferenciais: Capacidade de monitorar através de um pequeno sensor todas as alterações efetuadas por processos em qualquer máquinas Windows (memória, registro, rede, sistema de arquivos)  Principais produtos: Carbon Black
Tecnologia Solução light-weight que dá acesso às informações exatas que são necessárias para responder a um incidente: quais máquinas foram afetadas e o que aconteceu exatamente nelas (processos, criação, modificação e deleção de arquivos e registro, conexões de rede)
Tecnologia  Área de Atuação: Resposta a Incidentes e Forense Computacional  Diferenciais: Capacidade de lidar com evidências locais, remotas, de mídias, memória, análise estática de binários, análise de tráfego de rede, dispositivos móveis e criptoanálise.  Principais produtos: CIRT, AD Enterprise, FTK4
Tecnologia
AccessData – AD LAB
Tecnologia
Memória: dados não presentes em disco
Memória – detecção de Rootkits
Estratégia “Aquele que conhece o inimigo e a si mesmo lutará cem batalhas sem perigo de derrota; para aquele que não conhece o inimigo, mas conhece a si mesmo, as chances para a vitória ou para a derrota serão iguais; aquele que não conhece nem o inimigo e nem a si próprio, será derrotado em todas as batalhas” Sun Tzu A Arte da Guerra
Pensando em tudo..
A inteligência não é artificial..
Conhecendo as ameaças externas
Onde estamos Escritório São Paulo:
Av. Roque Petroni Jr. 999, 13o Andar. CEP: 04707-910. Telefone: +55 11 5185-2776 Escritório Brasília:
SHCN CL 102 Bloco B, sl 112 CEP: 70722-520. Telefone: +55 61 4063-8316 Escritório Miami:
80 S.W. 8th Street - Suite 2000 - Miami, Florida 33130 - United States Telefone: +1 305 423 7106
Perguntas
Obrigado! Amanhã pela manhã: Desafio Forense Premiação 1º lugar: Google Nexus 7: “A participação no Desafio é aberta a todos os inscritos no evento, com vagas limitadas, sendo necessário para participar trazer seu notebook, com uma versão atualizada do aplicativo VMWare e 4GB de espaço em disco. Algumas etapas podem necessitar de acesso à Internt. Será declarado vencedor do Desafio o primeiro participante que apresentar a frase ganhadora e demonstrar todas as etapas percorridas.”

Recomendados

Certificado digital
Certificado digitalCertificado digital
Certificado digitalAdilmar Dantas
 
Certificados digitais. O que são e formas de configuração e uso
Certificados digitais. O que são e formas de configuração e usoCertificados digitais. O que são e formas de configuração e uso
Certificados digitais. O que são e formas de configuração e usoPewebhosting
 
Aula 5 - Assinatura e Certificado Digital
Aula 5 - Assinatura e Certificado DigitalAula 5 - Assinatura e Certificado Digital
Aula 5 - Assinatura e Certificado DigitalCarlos Henrique Martins da Silva
 
Assinatura Digital e Segurança
Assinatura Digital e SegurançaAssinatura Digital e Segurança
Assinatura Digital e SegurançaJosé Carlos de Araújo Almeida Filho
 
Aula 3 semana2
Aula 3 semana2Aula 3 semana2
Aula 3 semana2Jorge Ávila Miranda
 
Apresentação SegInfo
Apresentação SegInfoApresentação SegInfo
Apresentação SegInfoTechBiz Forense Digital
 
Criptografia
CriptografiaCriptografia
CriptografiaÉlida Tavares
 
Forense windows registro_sandro_suffert
Forense windows registro_sandro_suffertForense windows registro_sandro_suffert
Forense windows registro_sandro_suffertSandro Suffert
 

Recomendados

Certificado digital
Certificado digitalCertificado digital
Certificado digitalAdilmar Dantas
 
Certificados digitais. O que são e formas de configuração e uso
Certificados digitais. O que são e formas de configuração e usoCertificados digitais. O que são e formas de configuração e uso
Certificados digitais. O que são e formas de configuração e usoPewebhosting
 
Aula 5 - Assinatura e Certificado Digital
Aula 5 - Assinatura e Certificado DigitalAula 5 - Assinatura e Certificado Digital
Aula 5 - Assinatura e Certificado DigitalCarlos Henrique Martins da Silva
 
Assinatura Digital e Segurança
Assinatura Digital e SegurançaAssinatura Digital e Segurança
Assinatura Digital e SegurançaJosé Carlos de Araújo Almeida Filho
 
Aula 3 semana2
Aula 3 semana2Aula 3 semana2
Aula 3 semana2Jorge Ávila Miranda
 
Apresentação SegInfo
Apresentação SegInfoApresentação SegInfo
Apresentação SegInfoTechBiz Forense Digital
 
Criptografia
CriptografiaCriptografia
CriptografiaÉlida Tavares
 
Forense windows registro_sandro_suffert
Forense windows registro_sandro_suffertForense windows registro_sandro_suffert
Forense windows registro_sandro_suffertSandro Suffert
 
Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010Sandro Suffert
 
Iccyber 2010 - Sandro Süffert Avanços Tecnológicos
Iccyber 2010 - Sandro Süffert Avanços TecnológicosIccyber 2010 - Sandro Süffert Avanços Tecnológicos
Iccyber 2010 - Sandro Süffert Avanços TecnológicosSandro Suffert
 
201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...Sandro Suffert
 
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...Sandro Suffert
 
2010 2013 sandro suffert memory forensics introdutory work shop - public
2010 2013 sandro suffert memory forensics introdutory work shop - public2010 2013 sandro suffert memory forensics introdutory work shop - public
2010 2013 sandro suffert memory forensics introdutory work shop - publicSandro Suffert
 
Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Sandro Suffert
 
3 FunçòEs Inorganicas
3 FunçòEs Inorganicas3 FunçòEs Inorganicas
3 FunçòEs InorganicasRaquel Gastao Daniel
 
SilverBullet Security Conference 2011
SilverBullet Security Conference 2011SilverBullet Security Conference 2011
SilverBullet Security Conference 2011Rodrigo Antao
 
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaPenetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaCampus Party Brasil
 
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?SegInfo
 
2009 - Segurança de Redes
2009 - Segurança de Redes2009 - Segurança de Redes
2009 - Segurança de RedesVaine Luiz Barreira, MBA
 
Cloud computing e big data
Cloud computing e big dataCloud computing e big data
Cloud computing e big dataPET Computação
 
Unidade5 footprint
Unidade5 footprintUnidade5 footprint
Unidade5 footprintLeandro Almeida
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativasosmarcorrea
 
Criando aplicativos para o windows 8
Criando aplicativos para o windows 8Criando aplicativos para o windows 8
Criando aplicativos para o windows 8José Farias
 
Prospecção e Implantação de Tecnologia de Identificação Biométrica
Prospecção e Implantação de Tecnologia de Identificação BiométricaProspecção e Implantação de Tecnologia de Identificação Biométrica
Prospecção e Implantação de Tecnologia de Identificação BiométricaIST-Rio
 
Cartilha de segurança para internet parte 01 conceitos de segurança
Cartilha de segurança para internet parte 01 conceitos de segurançaCartilha de segurança para internet parte 01 conceitos de segurança
Cartilha de segurança para internet parte 01 conceitos de segurançadavidstar16
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.TI Safe
 
Certificação Digital (Conceitos e Tendências)
Certificação Digital (Conceitos e Tendências)Certificação Digital (Conceitos e Tendências)
Certificação Digital (Conceitos e Tendências)Jairo Junior
 
Segurança da Informação, Novos Desafios
Segurança da Informação, Novos DesafiosSegurança da Informação, Novos Desafios
Segurança da Informação, Novos Desafiosedmofilho
 
Cartilha 01
Cartilha 01Cartilha 01
Cartilha 01gabrielreboucas12
 

Mais conteúdo relacionado

Destaque

Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010Sandro Suffert
 
Iccyber 2010 - Sandro Süffert Avanços Tecnológicos
Iccyber 2010 - Sandro Süffert Avanços TecnológicosIccyber 2010 - Sandro Süffert Avanços Tecnológicos
Iccyber 2010 - Sandro Süffert Avanços TecnológicosSandro Suffert
 
201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...Sandro Suffert
 
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...Sandro Suffert
 
2010 2013 sandro suffert memory forensics introdutory work shop - public
2010 2013 sandro suffert memory forensics introdutory work shop - public2010 2013 sandro suffert memory forensics introdutory work shop - public
2010 2013 sandro suffert memory forensics introdutory work shop - publicSandro Suffert
 
Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Sandro Suffert
 

Destaque (7)

Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010
 
Iccyber 2010 - Sandro Süffert Avanços Tecnológicos
Iccyber 2010 - Sandro Süffert Avanços TecnológicosIccyber 2010 - Sandro Süffert Avanços Tecnológicos
Iccyber 2010 - Sandro Süffert Avanços Tecnológicos
 
201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...
 
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
 
2010 2013 sandro suffert memory forensics introdutory work shop - public
2010 2013 sandro suffert memory forensics introdutory work shop - public2010 2013 sandro suffert memory forensics introdutory work shop - public
2010 2013 sandro suffert memory forensics introdutory work shop - public
 
Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016
 
3 FunçòEs Inorganicas
3 FunçòEs Inorganicas3 FunçòEs Inorganicas
3 FunçòEs Inorganicas
 

Semelhante a Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa

SilverBullet Security Conference 2011
SilverBullet Security Conference 2011SilverBullet Security Conference 2011
SilverBullet Security Conference 2011Rodrigo Antao
 
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaPenetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaCampus Party Brasil
 
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?SegInfo
 
Cloud computing e big data
Cloud computing e big dataCloud computing e big data
Cloud computing e big dataPET Computação
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativasosmarcorrea
 
Criando aplicativos para o windows 8
Criando aplicativos para o windows 8Criando aplicativos para o windows 8
Criando aplicativos para o windows 8José Farias
 
Prospecção e Implantação de Tecnologia de Identificação Biométrica
Prospecção e Implantação de Tecnologia de Identificação BiométricaProspecção e Implantação de Tecnologia de Identificação Biométrica
Prospecção e Implantação de Tecnologia de Identificação BiométricaIST-Rio
 
Cartilha de segurança para internet parte 01 conceitos de segurança
Cartilha de segurança para internet parte 01 conceitos de segurançaCartilha de segurança para internet parte 01 conceitos de segurança
Cartilha de segurança para internet parte 01 conceitos de segurançadavidstar16
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.TI Safe
 
Certificação Digital (Conceitos e Tendências)
Certificação Digital (Conceitos e Tendências)Certificação Digital (Conceitos e Tendências)
Certificação Digital (Conceitos e Tendências)Jairo Junior
 
Segurança da Informação, Novos Desafios
Segurança da Informação, Novos DesafiosSegurança da Informação, Novos Desafios
Segurança da Informação, Novos Desafiosedmofilho
 
Cartilha de Segurança para Internet - Conceitos
Cartilha de Segurança para Internet - ConceitosCartilha de Segurança para Internet - Conceitos
Cartilha de Segurança para Internet - ConceitosCentral Info
 
Apostila - Aspectos Técnicos de Segurança para eCommerce
Apostila - Aspectos Técnicos de Segurança para eCommerceApostila - Aspectos Técnicos de Segurança para eCommerce
Apostila - Aspectos Técnicos de Segurança para eCommerceE-Commerce Brasil
 
Crimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosCrimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosVaine Luiz Barreira, MBA
 
Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_webFavsro Fot
 

Semelhante a Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa (20)

SilverBullet Security Conference 2011
SilverBullet Security Conference 2011SilverBullet Security Conference 2011
SilverBullet Security Conference 2011
 
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaPenetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
 
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
 
2009 - Segurança de Redes
2009 - Segurança de Redes2009 - Segurança de Redes
2009 - Segurança de Redes
 
Cloud computing e big data
Cloud computing e big dataCloud computing e big data
Cloud computing e big data
 
Unidade5 footprint
Unidade5 footprintUnidade5 footprint
Unidade5 footprint
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
 
Criando aplicativos para o windows 8
Criando aplicativos para o windows 8Criando aplicativos para o windows 8
Criando aplicativos para o windows 8
 
Prospecção e Implantação de Tecnologia de Identificação Biométrica
Prospecção e Implantação de Tecnologia de Identificação BiométricaProspecção e Implantação de Tecnologia de Identificação Biométrica
Prospecção e Implantação de Tecnologia de Identificação Biométrica
 
Cartilha de segurança para internet parte 01 conceitos de segurança
Cartilha de segurança para internet parte 01 conceitos de segurançaCartilha de segurança para internet parte 01 conceitos de segurança
Cartilha de segurança para internet parte 01 conceitos de segurança
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
 
Certificação Digital (Conceitos e Tendências)
Certificação Digital (Conceitos e Tendências)Certificação Digital (Conceitos e Tendências)
Certificação Digital (Conceitos e Tendências)
 
Segurança da Informação, Novos Desafios
Segurança da Informação, Novos DesafiosSegurança da Informação, Novos Desafios
Segurança da Informação, Novos Desafios
 
Cartilha 01
Cartilha 01Cartilha 01
Cartilha 01
 
Cartilha de Segurança para Internet - Conceitos
Cartilha de Segurança para Internet - ConceitosCartilha de Segurança para Internet - Conceitos
Cartilha de Segurança para Internet - Conceitos
 
Apostila - Aspectos Técnicos de Segurança para eCommerce
Apostila - Aspectos Técnicos de Segurança para eCommerceApostila - Aspectos Técnicos de Segurança para eCommerce
Apostila - Aspectos Técnicos de Segurança para eCommerce
 
Como funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeComo funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrime
 
Crimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosCrimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB Santos
 
Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_web
 

Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa

  • 2. Evolução das Técnicas de Investigação Digital em meio corporativo Sandro Süffert, CTO http://suffert.com @suffert
  • 3. ICCyber ICCyber 2007: SOC BrT (Guarujá) ICCyber 2008: Processos Investigação (RJ) ICCyber 2009: RoadMap AD, GS (Natal) ICCyber 2010: Evolução da Perícia (Brasília)
  • 4. Investigação Digital em meio corporativo Jurídico Segurança da Inf. Auditoria Anti-Fraude Inspetoria Risco Jurídico Recursos Humanos Compliance T.I. Governança Forças da Lei
  • 5. Alguns domínios com informações úteis + d a d o s + c o m p l e x i d a d e HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
  • 6. Taxonomia: Evento>Ataque>Incidente>Crime INCIDENTE ATAQUE / VIOLAÇÃO EVENTO Resultado Objetivos Agente Ferramentas Falha Ação Alvo não autorizado Crime CERT-US
  • 7. Evolução Temporal das fases de R.I.
  • 9. Principais Riscos à cadeia de valor digital – CIAB 2012
  • 10. Velocidade de Resposta 1. Preparação 2. Detecção / Triagem 3. Resposta
  • 11. Algumas Possíveis Ferramentas de apoio I - Uma solução de SIEM para correlacionamento em near-real time dos logs (firewall, roteadores, servidores, ids/ips, dhcp, dns, aplicações internas) II - Uma infra-estrutura de "Network Forensics" que seja capaz de reconstruir e fazer o "replay" dos pacotes relacionados a ataque, vazamento de informações, etc. III - Uma solução (idealmente enterprise) de forense computacional que possibilite a análise de dados voláteis (incluindo memória) e de disco IV - Monitoração de atividade de desktops, mídias removíveis
  • 12. Resposta a Incidentes e Forense Computacional – Abordagem Híbrida “Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis”
  • 13. Níveis de Ameaças baseado em verticais de atuação David Ross – GFIRST/Mandiant
  • 15. Economia do Cyber Crime Drop Sites Payment Gateways eCommerce eCurrency Gambling Site Phishing Keyloggers Wire ICQ Banks Validation Transfer Botnet Service Botnet Spammers Owners Services (Card Checkers) Card Drop Retailers Forums Service Malware Data Data Distribution Acquisition Mining & Data Sales Cashing $$$ Service Service Enrichment Malware Identity Credit Master Writers Collectors Card Users Criminals Fonte: Eddie Schwartz
  • 16. Tecnologia  Área de Atuação: Preparação Pré-Incidente, Triagem, Resposta a Incidentes  Diferenciais: Capacidade de monitorar através de um pequeno sensor todas as alterações efetuadas por processos em qualquer máquinas Windows (memória, registro, rede, sistema de arquivos)  Principais produtos: Carbon Black
  • 17. Tecnologia Solução light-weight que dá acesso às informações exatas que são necessárias para responder a um incidente: quais máquinas foram afetadas e o que aconteceu exatamente nelas (processos, criação, modificação e deleção de arquivos e registro, conexões de rede)
  • 18. Tecnologia  Área de Atuação: Resposta a Incidentes e Forense Computacional  Diferenciais: Capacidade de lidar com evidências locais, remotas, de mídias, memória, análise estática de binários, análise de tráfego de rede, dispositivos móveis e criptoanálise.  Principais produtos: CIRT, AD Enterprise, FTK4
  • 22. Memória: dados não presentes em disco
  • 23. Memória – detecção de Rootkits
  • 24. Estratégia “Aquele que conhece o inimigo e a si mesmo lutará cem batalhas sem perigo de derrota; para aquele que não conhece o inimigo, mas conhece a si mesmo, as chances para a vitória ou para a derrota serão iguais; aquele que não conhece nem o inimigo e nem a si próprio, será derrotado em todas as batalhas” Sun Tzu A Arte da Guerra
  • 26. A inteligência não é artificial..
  • 28. Onde estamos Escritório São Paulo:
Av. Roque Petroni Jr. 999, 13o Andar. CEP: 04707-910. Telefone: +55 11 5185-2776 Escritório Brasília:
SHCN CL 102 Bloco B, sl 112 CEP: 70722-520. Telefone: +55 61 4063-8316 Escritório Miami:
80 S.W. 8th Street - Suite 2000 - Miami, Florida 33130 - United States Telefone: +1 305 423 7106
  • 30. Obrigado! Amanhã pela manhã: Desafio Forense Premiação 1º lugar: Google Nexus 7: “A participação no Desafio é aberta a todos os inscritos no evento, com vagas limitadas, sendo necessário para participar trazer seu notebook, com uma versão atualizada do aplicativo VMWare e 4GB de espaço em disco. Algumas etapas podem necessitar de acesso à Internt. Será declarado vencedor do Desafio o primeiro participante que apresentar a frase ganhadora e demonstrar todas as etapas percorridas.”