![Page 1: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/1.jpg)
http://apura.com.br
![Page 2: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/2.jpg)
Sandro Süffert, CTO http://suffert.com
@suffert
Evolução das Técnicas de Investigação Digital em meio corporativo
![Page 3: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/3.jpg)
ICCyber 2007: SOC BrT (Guarujá) ICCyber 2008: Processos Investigação (RJ)
ICCyber 2010: Evolução da Perícia (Brasília)
ICCyber
ICCyber 2009: RoadMap AD, GS (Natal)
![Page 4: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/4.jpg)
Investigação Digital em meio corporativo
Jurídico Segurança da Inf.
Anti-Fraude Inspetoria
Jurídico
Auditoria
Recursos Humanos Compliance
T.I. Governança Forças da Lei
Risco
![Page 5: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/5.jpg)
HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters
+ d a d o s + c o m p l e x i d a d e
Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads
Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
Alguns domínios com informações úteis
![Page 6: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/6.jpg)
Objetivos
INCIDENTE
Agente Resultado
não
autorizado
ATAQUE / VIOLAÇÃO
Ferramentas Falha Alvo
EVENTO
Ação
Taxonomia: Evento>Ataque>Incidente>Crime
Crime
CERT-US
![Page 7: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/7.jpg)
Evolução Temporal das fases de R.I.
![Page 8: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/8.jpg)
Classificação/Lições Aprendidas
![Page 9: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/9.jpg)
Principais Riscos à cadeia de valor digital – CIAB 2012
![Page 10: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/10.jpg)
Velocidade de Resposta
3. Resposta
1. Preparação
2. Detecção / Triagem
![Page 11: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/11.jpg)
Algumas Possíveis Ferramentas de apoio
I - Uma solução de SIEM para correlacionamento em near-real time dos logs (firewall, roteadores, servidores, ids/ips, dhcp, dns, aplicações internas) II - Uma infra-estrutura de "Network Forensics" que seja capaz de reconstruir e fazer o "replay" dos pacotes relacionados a ataque, vazamento de informações, etc. III - Uma solução (idealmente enterprise) de forense computacional que possibilite a análise de dados voláteis (incluindo memória) e de disco IV - Monitoração de atividade de desktops, mídias removíveis
![Page 12: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/12.jpg)
“Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis”
Resposta a Incidentes e Forense Computacional – Abordagem Híbrida
![Page 13: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/13.jpg)
David Ross – GFIRST/Mandiant
Níveis de Ameaças baseado em verticais de atuação
![Page 14: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/14.jpg)
“CyberSecurity Risk”
![Page 15: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/15.jpg)
Drop Sites
Phishing Keyloggers
Botnet Owners
Spammers Botnet
Services
Malware Distribution
Service
Data Acquisition
Service
Data Mining &
Enrichment
Data Sales Cashing $$$
Malware Writers
Identity Collectors
Credit Card Users
Master Criminals
Validation Service
(Card Checkers)
Card Forums
ICQ
eCommerce Site
Retailers
Banks
eCurrency
Drop Service
Wire Transfer
Gambling
Payment Gateways
Fonte: Eddie Schwartz
Economia do Cyber Crime
![Page 16: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/16.jpg)
Tecnologia
Área de Atuação: Preparação Pré-Incidente, Triagem, Resposta a Incidentes
Diferenciais: Capacidade de monitorar através de um pequeno sensor todas as alterações efetuadas por processos em qualquer máquinas Windows (memória, registro, rede, sistema de arquivos)
Principais produtos: Carbon Black
![Page 17: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/17.jpg)
Tecnologia
Solução light-weight que dá acesso às informações exatas que são necessárias para responder a um incidente: quais máquinas foram afetadas e o que aconteceu exatamente nelas (processos, criação, modificação e deleção de arquivos e registro, conexões de rede)
![Page 18: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/18.jpg)
Tecnologia
Área de Atuação: Resposta a Incidentes e Forense Computacional
Diferenciais: Capacidade de lidar com evidências locais, remotas, de mídias, memória, análise estática de binários, análise de tráfego de rede, dispositivos móveis e criptoanálise.
Principais produtos: CIRT, AD Enterprise, FTK4
![Page 19: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/19.jpg)
Tecnologia
![Page 20: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/20.jpg)
AccessData – AD LAB
![Page 21: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/21.jpg)
Tecnologia
![Page 22: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/22.jpg)
Memória: dados não presentes em disco
![Page 23: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/23.jpg)
Memória – detecção de Rootkits
![Page 24: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/24.jpg)
Estratégia
“Aquele que conhece o inimigo e a si mesmo lutará cem batalhas sem perigo de derrota;
para aquele que não conhece o inimigo, mas
conhece a si mesmo, as chances para a vitória ou para a derrota serão iguais;
aquele que não conhece nem o inimigo e nem
a si próprio, será derrotado em todas as batalhas”
Sun Tzu A Arte da Guerra
![Page 25: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/25.jpg)
Pensando em tudo..
![Page 26: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/26.jpg)
A inteligência não é artificial..
![Page 27: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/27.jpg)
Conhecendo as ameaças externas
![Page 28: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/28.jpg)
Onde estamos
Escritório São Paulo:Av. Roque Petroni Jr. 999, 13o Andar. CEP: 04707-910. Telefone: +55 11 5185-2776
Escritório Brasília:SHCN CL 102 Bloco B, sl 112 CEP: 70722-520. Telefone: +55 61 4063-8316
Escritório Miami:80 S.W. 8th Street - Suite 2000 - Miami, Florida 33130 - United States Telefone: +1 305 423 7106
![Page 29: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/29.jpg)
Perguntas
![Page 30: Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao corporativa](https://reader034.vdocuments.com.br/reader034/viewer/2022042714/555c4401d8b42a0b038b504a/html5/thumbnails/30.jpg)
Obrigado!
Amanhã pela manhã: Desafio Forense
Premiação 1º lugar: Google Nexus 7:
“A participação no Desafio é aberta a todos os inscritos no evento, com vagas limitadas, sendo necessário para participar trazer seu notebook, com uma versão atualizada do aplicativo VMWare e 4GB de espaço em disco. Algumas etapas podem necessitar de acesso à Internt. Será declarado vencedor do Desafio o primeiro participante que apresentar a frase ganhadora e demonstrar todas as etapas percorridas.”