O documento discute as ameaças cibernéticas avançadas e como o cenário de crimes cibernéticos está mudando. Ele explica que ataques sofisticados agora têm alvos específicos e são orquestrados por atacantes motivados e financiados, e que a informatização do crime organizado irá aumentar. Também argumenta que a prevenção deixa de fazer sentido e que as pessoas se tornaram a "borda" mais importante a ser protegida, já que a Internet das Coisas torna tudo mais vulnerável a ataques.
3. Eu já fui hackeado! Pelo
Anonymous, pelo menos…
4.
5. O Paradigma das APTs
Advanced Persistent Threat (Ameaça Persistente Avançada) é um
ataque sofisticado e orquestrado para acessar e roubar
informações de computadores específicos
Os alvos são específicos. Os atacantes são
motivados, normalmente financiados e organizados
6. Algumas constatações empíricas…
A informatização do crime organizado vai aumentar.
O cenário de apuração muda completamente.
Prevenção deixa de fazer sentido.
As pessoas são a verdadeira “borda”.
Internet das Coisas faz tudo ser “hackeável”.
7. Informatização do Crime Organizado
Drop Sites
Payment
Gateways eCommerce
eCurrency Gambling
Site
Phishing Keyloggers
Wire
ICQ Banks
Validation Transfer
Botnet Service
Botnet Spammers
Owners Services (Card Checkers)
Card Drop
Retailers
Forums Service
Malware Data Data
Distribution Acquisition Mining & Data
Sales Cashing $$$
Service Service Enrichment
Malware Identity Credit Master
Writers Collectors Card Users Criminals
10. Solução: Processos bem definidos
Electronic discovery, também conhecida como e-discovery, refere-se a um método de
busca, pesquisa, localização e obtenção de dados e informações eletrônicos com a
intenção de utilizá-los como evidências, em um processo judicial. Nos Estados Unidos, o
assunto foi objeto de uma lei específica (E-Discovery Law), promulgada em 2006. Pode ser
executada off-line em um único computador ou em uma rede de computadores, podendo
requerer uma ordem judicial para acesso, visando a obtenção de provas essenciais. Podem
incluir textos, imagens, banco de dados, planilhas eletrônicas, arquivos de
áudio, animações, web sites e programas de computador.
Fonte: Wikipedia
11. Prevenção não faz sentido
Segurança hoje
Foco no Perímetro Camadas de Rede Foco em Assinaturas
12. Agentes de Ameaça Vetores de Ameaça
Segurança X Agentes X Vetores
Vazamentos
Espionagem
X9s Crime
Organizado
0day
Malware APT
Camada de
Fraudes Aplicação
Nações
Estrutura da Apresentação: Com a efetivação de ataques bem sucedidos contra grandes organizações e órgãos de governo, fez-se luz sob o tema já há muito defendido por profissionais de segurança da informação: A efetivação de medidas reais de reação a ataques direcionados. Falarei sobre APTs e estruturação de medidas de contorno para defender ambientes complexos de tecnologia.Pessoal, primeiramente boa tarde a todos, nesta tarde preguiçosa de domingo, com essa chuvinha aí fora, nos chamando para umas três horas de CallofDuty, no mínimo, estamos todos aqui aprimorando nossos conhecimentos. Obrigado pela presença de vocês.Queria agradecer o pessoal da organização do evento, Willian, Luiz Eduardo e Nelson. São esses caras que nos fazem economizar alguns milhares de reais em custo de passagens, estadias e principalmente em tempo, por trazerem com tanto sucesso os eventos que tem vindo pro Brasil.Por estarmos neste fim de tarde de domingo, preferi deixar minha apresentação mais light, sem muitos comandos técnicos e demonstrações com shell e máquinas virtuais. Seria até leviano da minha parte, e digo até vergonhoso, fazer uma demonstração de como fazer uma invasão usando o Metasploit atacando uma vulnerabilidade de PDF. Com uma platéia qualificada dessa que está cansada de saber disso. Vou terceirizar essa parte com o Youtube. Quero nesse momento trocar uma idéia com vocês e mostrar o que tenho visto no mercado nos últimos anos e como após os grandes ataques o paradigma de investigação, forense digital e resposta a incidentes tem mudado. E como tudo em TI, mudado absurdamente rápido.Primeiramente, vou me apresentar para os que não me conhecem. Meu nome é Rodrigo Antão, sou Sócio da Techbiz Forense Digital, empresa líder nacional no mercado de computação forense e investigações digitais. Trabalho no mercado de TI há 12 anos, sendo os últimos 6 anos dedicados a implementação de grandes áreas de investigação digital dentro das maiores empresas do Brasil. Pra quem já ouviu falar de forense, nós, a Techbiz Forense, fomos quem trouxe para o Brasil os softwares Encase e FTK, que hoje são as soluções padrão de uso de forças da lei, em órgãos como PF, PC, Min. Público, grandes bancos, empresas de telecom, etc. Hoje estamos, além de atender o mercado corporativo e de aplicação da lei, trabalhando com as forças armadas na construção de soluções de cybersegurança para o Brasil.Quem já me ouviu falar algumas vezes já deve estar cansado de ouvir eu repetir aquela ladainha: Preservação de cena de incidente, Cadeia de Custódia, Ata Notarial, duplicação forense, tira a mao da máquina, não instala nada nela, etc. Esse discurso, quando estamos falando de perícia, no post-mortem, quando o alvo já foi identificado e já existe uma linha de investigação bem definida com quesitos e perguntas sendo feitas por outras áreas (Seja um advogado, um auditor ou um delegado) faz muito sentido.Vocês acham plausível num cenário desses novos que vem ocorrendo, onde uma organização do tamanho de um banco, com 70 mil, as vezes 100 mil máquinas, pare o sistema para tirar o disco, duplicar a mídia e fazer ata notarial, faça sentido? Eu tenho visto vários amigos meus e clientes que trabalham nas maiores organizações do país viverem num clima de pavor constante, esperando serem as próximas vítimas. Alguns por serem paranóicos com segurança, E TEM QUE SER MESMO, outros por terem sido avisados por agentes do bem que estão na lista dos próximos alvos.É sobre este cenário, de ameaças online e persistentes que quero falar com as senhoras e os senhores hoje. Este cenário muda completamente a maneira como nós vamos responder a incidentes, como vamos receber as demandas e como vamos respondê-las. Vai mudar a maneira como vamos precisar de pensar na prevenção (Mais INTELIGENCIA), detecção (Mais RÁPIDA) e resposta (CRITICA).Vamos caminhar aqui para a apresentação
Começo a apresentação com uma pergunta provocativa.Quem de vocês já foi invadido alguma vez na vida? Ou se vocês preferirem, teve seus dados usurpados?Você sabe o que aconteceu? Sabe o que foi utilizado para te atacar? E o principal, sabe se não ficou nada nos seus sistemas que possa permitir que este atacante volte para lhe assombrar quando quiser?Tem outro caso também de um cliente que mandou um administrador de redes embora e três semanas depois o cofre da empresa foi encontrado aberto. O COFRE! Caso real. O cofre aberto e o servidor onde estavam as cameras do cftv apagado. O cara tinha saído da empresa e fechou com um funcionário la dentro que da casa dele entraria no servidor, abriria a porta do cofre que tinha comando eletronico. O cara abriu, o colega entrou, tirou o dinheiro e o comparsa apagou os vídeos de cftv.Não precisamos ir longe: o roubo do itaú da Paulista.
Hojeesseassuntoaindaétratadocomotabunanossacomunidade: Fulanofoiinvadido, siclanonãoconseguiuvoltar o servidor… Amigos, estamosvivendoumarebelião civil cibernética. Issovaiacontecer com todos.
OK, back to being the CIO of an organized criminal group…
Tem um aluno meu na pós-graduação de forense computacional que foi contratado pra cuidar da parte de segurança de um pequeno provedor de acesso. Esse provedor tem dezenas de máquinas virtualizadas, onde a maioria dos clientes são pequenas empresas da região e, vejam só, vários sites de conteúdo pornográfico. O dono do provedor está com uma disputa com um concorrente, que já trabalhou na empresa, e que pode ter colocado algum backdoor em qualquer uma das 80 máquinas virtuais que estão no seu ambiente para permitir acesso perene. Como que se resolve essa questão? Faz sentido rodar o MSAB da Microsoft? O BaselineAnalizer, que vê se está tudo ok com a máquina?... Tá de brincadeira né? O cara tava meio desesperado sobre por onde começaria e eu o deixei nesta situação, pois não tinha como ajudá-lo. Monitoro a entrada ou a saída dos links? Preocupo com os processos instanciados ou em permissões de acesso? IMHO, na minha humilde opinião, eu acho que ele deveria refazer todas as máquinas do zero. As 80! E enquanto ele não terminasse este serviço com certeza ele teria a mesma exposição ao risco de invasão pois é impossível prever em qual das máquinas pode haver um backdoor. Isso, apenas enquanto estamos falando do ambiente tecnológico, pois ainda não tratamos das pessoas. Se houver alguém ligado a esse ex-profissional insatisfeito dentro da empresa, e esta pessoa tiver acesso a um mísero administrador de máquina, o problema pode recomeçar, sem choro nem vela.
Tem um aluno meu na pós-graduação de forense computacional que foi contratado pra cuidar da parte de segurança de um pequeno provedor de acesso. Esse provedor tem dezenas de máquinas virtualizadas, onde a maioria dos clientes são pequenas empresas da região e, vejam só, vários sites de conteúdo pornográfico. O dono do provedor está com uma disputa com um concorrente, que já trabalhou na empresa, e que pode ter colocado algum backdoor em qualquer uma das 80 máquinas virtuais que estão no seu ambiente para permitir acesso perene. Como que se resolve essa questão? Faz sentido rodar o MSAB da Microsoft? O BaselineAnalizer, que vê se está tudo ok com a máquina?... Tá de brincadeira né? O cara tava meio desesperado sobre por onde começaria e eu o deixei nesta situação, pois não tinha como ajudá-lo. Monitoro a entrada ou a saída dos links? Preocupo com os processos instanciados ou em permissões de acesso? IMHO, na minha humilde opinião, eu acho que ele deveria refazer todas as máquinas do zero. As 80! E enquanto ele não terminasse este serviço com certeza ele teria a mesma exposição ao risco de invasão pois é impossível prever em qual das máquinas pode haver um backdoor. Isso, apenas enquanto estamos falando do ambiente tecnológico, pois ainda não tratamos das pessoas. Se houver alguém ligado a esse ex-profissional insatisfeito dentro da empresa, e esta pessoa tiver acesso a um mísero administrador de máquina, o problema pode recomeçar, sem choro nem vela.
Why NetWitness?The way you need to monitor your network has changed over the past two decades. The security market is fundamentally broken and we have no certainty that our systems are secure.Most organizations have focused their efforts building network defenses that have been perimeter-based, primarily at layers 3 and 4, and requiring signatures or a foreknowledge of an attack before action could be taken. [NEXT SLIDE]
The problem with this approach is that it just does not work when facing each day’s new threat landscape. Every iteration of these solutions has failed due to incomplete view of threat actors or threat vectors or inadequate answers to the tough questions associated with: insider threats and data leakage, 0 day and targeted malware and APTs, and all types of e-crime, fraud and cyber espionage activity. [NEXT SLIDE]
Tem um aluno meu na pós-graduação de forense computacional que foi contratado pra cuidar da parte de segurança de um pequeno provedor de acesso. Esse provedor tem dezenas de máquinas virtualizadas, onde a maioria dos clientes são pequenas empresas da região e, vejam só, vários sites de conteúdo pornográfico. O dono do provedor está com uma disputa com um concorrente, que já trabalhou na empresa, e que pode ter colocado algum backdoor em qualquer uma das 80 máquinas virtuais que estão no seu ambiente para permitir acesso perene. Como que se resolve essa questão? Faz sentido rodar o MSAB da Microsoft? O BaselineAnalizer, que vê se está tudo ok com a máquina?... Tá de brincadeira né? O cara tava meio desesperado sobre por onde começaria e eu o deixei nesta situação, pois não tinha como ajudá-lo. Monitoro a entrada ou a saída dos links? Preocupo com os processos instanciados ou em permissões de acesso? IMHO, na minha humilde opinião, eu acho que ele deveria refazer todas as máquinas do zero. As 80! E enquanto ele não terminasse este serviço com certeza ele teria a mesma exposição ao risco de invasão pois é impossível prever em qual das máquinas pode haver um backdoor. Isso, apenas enquanto estamos falando do ambiente tecnológico, pois ainda não tratamos das pessoas. Se houver alguém ligado a esse ex-profissional insatisfeito dentro da empresa, e esta pessoa tiver acesso a um mísero administrador de máquina, o problema pode recomeçar, sem choro nem vela.