1
Giovani Thibau
Diretor Executivo
Sócio Fundador
Alto
Baixo
1980 1985 1990 1995 2008+
adivinhação de senhas
código auto-replicante
quebra de senhas
exploração de vulnerabi...
Cenário de Ameaças Global
 Economia Underground – Grupos de Criminosos:
 Organização: Alta
 Capacidade: Alta
 Intenção...
Economia Underground de Crimes Digitais
Drop Sites
Phishing Keyloggers
Botnet
Owners
Spammers
Botnet
Services
Malware
Dist...
1. EUA projeta um novo caça “Joint Strike Fighter,
5th Generation” para uso próprio e países aliados.
Custo do projeto: US...
Cadeia de Destruição:
Evolução de um Ataque Temporalmente
TECHNICAL REPORT
CMU/SEI-2004-TR-015
Gerenciamento de Incidentes para CSIRTs
TECHNICAL REPORT
CMU/SEI-2004-TR-015
ESC-TR-2004-015
Gerenciamento de Incidentes para CSIRTs
Falha
Dinâmica de um Incidente Digital
Objetivos
INCIDENTE
Agente
Resultado
não
autorizado
ATAQUE
Ferramentas Falha Alvo
E...
Importância da Reação com Inteligência –
Resposta a Incidentes / Forense Computacional
 Por mais que você invista em
prev...
TBS – Time Based Security: Pt ~ Dt + Rt
“Proteção requer detectar um ataque e reagir a tempo”
Proteção = Tempo Detecção + ...
Atribuição de Autoria – Muito além da
identificação de endereços IP
1)Timing
2) Vítimas/Alvos
3) Origem
4) Mecanismo de En...
Diferentes Níveis de Importância Estratégica
Diferentes Categorias de Ameaças e Intrusão
diagrama: - David Ross – GFIRST/M...
Cyber Segurança – uma crise de priorização
NCO/NITRD –National Coordination Office / Networking
and Information Technology...
NCO/NITRD - Priorizações Recomendadas
NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43
Reação: Processo e Tecnologias
Mídia Memória RedeLogs
Local Remota Online Offline
Escopos
Espaço-Tempo
• Rede - remontagem...
Referência Abordagem Híbrida “Computer Forensics: Results
of Live Response Inquiry vs Memory Image Analysis”
Mídia Memória
Local Offline
Escopos
Espaço-Tempo
Laboratórios de Perícia Digital
Mobile Forensics
Laboratórios de Perícia Digital
Bloqueadores de Escrita
Duplicadores de MídiasSoftwares de
Análise Perici...
Laboratório de Perícia de Alta Performance:
Tendência mundial: Colaboração
Mídia Memória
Local Offline
Escopos
Espaço-Tempo
Resposta a Incidentes
Forense Remota de Mídias, Memória & CyberSecurity
Capacidade de Identificação e Remediação de Ameaça...
24
Forense de Rede e Consciência Situacional
Germany
Decoder
France
Decoder
Concentrator
European Operation
Investigator I...
Forense de Rede e Consciência Situacional
Correlação de Milhões de Eventos Diários
Anti
Virus
Anti
Virus
Bancos de
Dados
ApplicationsApplicationsApplicationsApplica...
27
Monitoração de Infra-Estruturas Críticas
Construção da Eficiência em CiberSegurança
Integração de Tecnologia de Reação em Segurança
31
Giovani Thibau
Obrigado!
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau
Próximos SlideShares
Carregando em…5
×

Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau

187 visualizações

Publicada em

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
187
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
2
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau

  1. 1. 1 Giovani Thibau Diretor Executivo Sócio Fundador
  2. 2. Alto Baixo 1980 1985 1990 1995 2008+ adivinhação de senhas código auto-replicante quebra de senhas exploração de vulnerabilidades conhecidas desabilitar audit back doors sequestro de sessões sweepers sniffers packet spoofing Interface grafica varreduras automatizadas negação de serviço ataques WWW Técnicas Atacantes Conhecimento Atacante Sofisticação Ataque técnicas avançadas de scan stealth Invasões av. gerenciamento de redes ferramentas de ataques distribuidos cross site scripting ataques em fases bots Fonte: CERT Complexidade dos Ataques vs Conhecimento Necessário
  3. 3. Cenário de Ameaças Global  Economia Underground – Grupos de Criminosos:  Organização: Alta  Capacidade: Alta  Intenção: Alta | ganho financeiro  ex: “Kneber” ZeuS BotNet – informações vendidas para qualquer um  Atividades Patrocinadas por Nações: Deste coleta de inteligência a CiberGuerra  Organização: Alta  Capacidade: Alta  Intenção: Atrelada a políticas nacionais  Operação Aurora, Titan Rain, Russia- >Estônia/Georgia.  Agentes não-Estatais  Crescente Interesse de grupos radicais / extremistas em “ciberterrorismo”  “Hacking as a service”
  4. 4. Economia Underground de Crimes Digitais Drop Sites Phishing Keyloggers Botnet Owners Spammers Botnet Services Malware Distribution Service Data Acquisition Service Data Mining & Enrichment Data Sales Cashing $$$ Malware Writers Identity Collectors Credit Card Users Master Criminals Validation Service (Card Checkers) Card Forums ICQ eCommerce Site Retailers Banks eCurrency Drop Service Wire Transfer Gambling Payment Gateways Fonte: NetWitness
  5. 5. 1. EUA projeta um novo caça “Joint Strike Fighter, 5th Generation” para uso próprio e países aliados. Custo do projeto: US$ 300.000.000.000,00 2. China rouba informações confidenciais sobre o projeto através de ataques computacionais a empreiteira militar fabricante do caça. 3. Comando Militar americano reavalia a efetividade do caça devido à nova tecnologia nos sistemas de defesa adversários (radares, mísseis terra-ar). 4. 2500 caças JSF deixam de ser produzidos pelos EUA. A China os derruba sem ter dado nenhum tiro. Ameaças Avançadas e Persistentes CiberEspionagem 2009/2010 Ref: http://is.gd/djIvz
  6. 6. Cadeia de Destruição: Evolução de um Ataque Temporalmente
  7. 7. TECHNICAL REPORT CMU/SEI-2004-TR-015 Gerenciamento de Incidentes para CSIRTs
  8. 8. TECHNICAL REPORT CMU/SEI-2004-TR-015 ESC-TR-2004-015 Gerenciamento de Incidentes para CSIRTs
  9. 9. Falha Dinâmica de um Incidente Digital Objetivos INCIDENTE Agente Resultado não autorizado ATAQUE Ferramentas Falha Alvo EVENTO Ação John D. Howard e Thomas A. Longstaff A Common Language for Computer Security Incidents http://www.cert.org/research/taxonomy_988667.pdf
  10. 10. Importância da Reação com Inteligência – Resposta a Incidentes / Forense Computacional  Por mais que você invista em prevenção/proteção, incidentes continuarão ocorrendo  Por mais que você invista em detecção, incidentes chegarão à você por notificações  Você precisa estar preparado para responder à Incidentes de Segurança  Uma Reação adequada requer priorização, treinamento, processos bem definidos e tecnologia adequada
  11. 11. TBS – Time Based Security: Pt ~ Dt + Rt “Proteção requer detectar um ataque e reagir a tempo” Proteção = Tempo Detecção + Tempo Reação cedo na Cadeia acima. Exposição = Tempo Detecção + Tempo Reação inexistente ou tardio. diagramas: Mike Cloppert – Sans Institute Conceito TBS: Winn Schwartau • Identificação das consequências do ataque pode ser mais fácil que detectar o ataque • Cadeia de Destruição – sequência de eventos de efeito de uma ameaça em um alvo: Foco de Atenção: Ênfase na *Ameaça*
  12. 12. Atribuição de Autoria – Muito além da identificação de endereços IP 1)Timing 2) Vítimas/Alvos 3) Origem 4) Mecanismo de Entrada 5) Vulnerabilidade ou Exposição 6) Exploit ou Payload 7) Armamento (Weaponization) 8) Atividade pós-exploração 9) Método de Comando e Controle 10) Servidores de Comando e Controle 11) Ferramentas 12) Mecanismo de Persistência 13) Método de Propagação 14) Dados Alvo 15) Compactação de Dados 16) Modo de Extrafiltração 17) Atribuição Externa 18) Grau de Profissionalismo 19) Variedade de Técnicas utilizadas 20) Escopo Identificação das consequências do ataque pode ser mais fácil que detectar o ataque
  13. 13. Diferentes Níveis de Importância Estratégica Diferentes Categorias de Ameaças e Intrusão diagrama: - David Ross – GFIRST/Mandiant
  14. 14. Cyber Segurança – uma crise de priorização NCO/NITRD –National Coordination Office / Networking and Information Technology Research and Development
  15. 15. NCO/NITRD - Priorizações Recomendadas NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43
  16. 16. Reação: Processo e Tecnologias Mídia Memória RedeLogs Local Remota Online Offline Escopos Espaço-Tempo • Rede - remontagem de sessões / index / buscas e alertas • Hosts - Remoto / Memória / Multi-OS • Eventos/Logs - nível transacional / multi-canal / IA Tecnologia adequada provê maior visibilidade, triagem, capacidade de identificação de autoria e modus operandi
  17. 17. Referência Abordagem Híbrida “Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis”
  18. 18. Mídia Memória Local Offline Escopos Espaço-Tempo Laboratórios de Perícia Digital
  19. 19. Mobile Forensics Laboratórios de Perícia Digital Bloqueadores de Escrita Duplicadores de MídiasSoftwares de Análise PericialArmazenamento Portátil Aquisição em campo Computadores Especializados
  20. 20. Laboratório de Perícia de Alta Performance: Tendência mundial: Colaboração Mídia Memória Local Offline Escopos Espaço-Tempo
  21. 21. Resposta a Incidentes Forense Remota de Mídias, Memória & CyberSecurity Capacidade de Identificação e Remediação de Ameaças Mídia Memória Remota Online Offline Escopos Espaço-Tempo
  22. 22. 24 Forense de Rede e Consciência Situacional Germany Decoder France Decoder Concentrator European Operation Investigator Informer Branch Office Decoder Branch Office Decoder Branch Office Decoder Branch Office Decoder Concentrator Concentrator Geographically Dispersed Locations Corporate HQ Concentrator Decoders Investigator Informer Concentrator Data Center / SOC Internet POPDecoder CIRT, Fraud, Cyber-Threat Teams NetWitness NextGen Sample Deployment Scenarios http://www.forensedigital.com.br Rede Remota Online Offline Escopos Espaço-Tempo
  23. 23. Forense de Rede e Consciência Situacional
  24. 24. Correlação de Milhões de Eventos Diários Anti Virus Anti Virus Bancos de Dados ApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsAplicaçõesAnti-Virus SO de Servers e Desktop Equipamentos De Rede Vulnerability Assessment Intrusion Detection Systems FirewallsFirewallsFirewallsFirewallsFirewallsFirewalls/ VPN Sign-OnSign-OnGerenciamento De Identidade Serviços de Diretório Atributos de Usuários Infraestrutura Física Processos de Negócio Mainframes Correlação de Eventos em Infraestruturas Críticas
  25. 25. 27 Monitoração de Infra-Estruturas Críticas
  26. 26. Construção da Eficiência em CiberSegurança
  27. 27. Integração de Tecnologia de Reação em Segurança
  28. 28. 31 Giovani Thibau Obrigado!

×