1

Giovani ThibauDiretor Executivo

Sócio Fundador

Alto

Baixo1980 1985 1990 1995 2008+

adivinhação de senhas

código auto-replicante

quebra de senhas

exploração de vulnerabilidades conhecidas

desabilitar audit

back doors

sequestro

de sessões

sweepers

sniffers

packet spoofing

Interface grafica

varreduras automatizadas

negação de serviço

ataques WWW

Técnicas

Atacantes

Conhecimento

Atacante

Sofisticação

Ataque

técnicas avançadas

de scan stealth

Invasões av.

gerenciamento de redes

ferramentas de

ataques distribuidos

cross site scripting

ataques

em fases

bots

Fonte: CERT

Complexidade dos Ataques vs

Conhecimento Necessário

Cenário de Ameaças Global

Economia Underground – Grupos de Criminosos:

Organização: Alta

Capacidade: Alta

Intenção: Alta | ganho financeiro

ex: “Kneber” ZeuS BotNet – informações

vendidas para qualquer um

Atividades Patrocinadas por Nações: Deste coleta

de inteligência a CiberGuerra

Organização: Alta

Capacidade: Alta

Intenção: Atrelada a políticas nacionais

Operação Aurora, Titan Rain, Russia-

>Estônia/Georgia.

Agentes não-Estatais

Crescente Interesse de grupos radicais /

extremistas em “ciberterrorismo”

“Hacking as a service”

Economia Underground de Crimes Digitais

Drop Sites

Phishing Keyloggers

Botnet

OwnersSpammers

Botnet

Services

Malware

Distribution

Service

Data

Acquisition

Service

Data

Mining &

Enrichment

Data

SalesCashing $$$

Malware

Writers

Identity

Collectors

Credit

Card Users

Master

Criminals

Validation

Service(Card Checkers)

Card

Forums

ICQ

eCommerce

Site

Retailers

Banks

eCurrency

Drop

Service

Wire

Transfer

GamblingPayment

Gateways

Fonte: NetWitness

1. EUA projeta um novo caça “Joint Strike Fighter,

5th Generation” para uso próprio e países aliados.

Custo do projeto: US$ 300.000.000.000,00

2. China rouba informações confidenciais sobre o

projeto através de ataques computacionais a

empreiteira militar fabricante do caça.

3. Comando Militar americano reavalia a efetividade

do caça devido à nova tecnologia nos sistemas

de defesa adversários (radares, mísseis terra-ar).

4. 2500 caças JSF deixam de ser produzidos

pelos EUA. A China os derruba sem ter dado

nenhum tiro.

Ameaças Avançadas e Persistentes

CiberEspionagem 2009/2010

Ref: http://is.gd/djIvz

Cadeia de Destruição:

Evolução de um Ataque Temporalmente

TECHNICAL REPORT

CMU/SEI-2004-TR-015

Gerenciamento de Incidentes para CSIRTs

TECHNICAL REPORT

CMU/SEI-2004-TR-015

ESC-TR-2004-015

Gerenciamento de Incidentes para CSIRTs

Falha

Dinâmica de um Incidente Digital

Objetivos

INCIDENTE

Agente

Resultado

não

autorizado

ATAQUE

Ferramentas Falha Alvo

EVENTO

Ação

John D. Howard e Thomas A. Longstaff

A Common Language for Computer Security Incidents

http://www.cert.org/research/taxonomy_988667.pdf

Importância da Reação com Inteligência –

Resposta a Incidentes / Forense Computacional

Por mais que você invista em

prevenção/proteção, incidentes

continuarão ocorrendo

Por mais que você invista em

detecção, incidentes chegarão à

você por notificações

Você precisa estar preparado

para responder à Incidentes de

Segurança

Uma Reação adequada requer

priorização, treinamento,

processos bem definidos e

tecnologia adequada

TBS – Time Based Security: Pt ~ Dt + Rt

“Proteção requer detectar um ataque e reagir a tempo”

Proteção = Tempo Detecção + Tempo Reação cedo na Cadeia acima.

Exposição = Tempo Detecção + Tempo Reação inexistente ou tardio.

diagramas: Mike Cloppert – Sans Institute

Conceito TBS: Winn Schwartau

• Identificação das consequências do ataque pode ser mais fácil que detectar o ataque

• Cadeia de Destruição – sequência de eventos de efeito de uma ameaça em um alvo:

Foco de Atenção: Ênfase na *Ameaça*

Atribuição de Autoria – Muito além da

identificação de endereços IP

1)Timing

2) Vítimas/Alvos

3) Origem

4) Mecanismo de Entrada

5) Vulnerabilidade ou Exposição

6) Exploit ou Payload

7) Armamento (Weaponization)

8) Atividade pós-exploração

9) Método de Comando e Controle

10) Servidores de Comando e Controle

11) Ferramentas

12) Mecanismo de Persistência

13) Método de Propagação

14) Dados Alvo

15) Compactação de Dados

16) Modo de Extrafiltração

17) Atribuição Externa

18) Grau de Profissionalismo

19) Variedade de Técnicas utilizadas

20) Escopo

Identificação das

consequências do

ataque pode ser mais

fácil que detectar o

ataque

Diferentes Níveis de Importância Estratégica

Diferentes Categorias de Ameaças e Intrusão

diagrama: - David Ross – GFIRST/Mandiant

Cyber Segurança – uma crise de priorização

NCO/NITRD –National Coordination Office / Networking

and Information Technology Research and Development

NCO/NITRD - Priorizações Recomendadas

NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43

Reação: Processo e Tecnologias

Mídia Memória RedeLogs

Local Remota Online Offline

Escopos

Espaço-Tempo

• Rede - remontagem de sessões / index / buscas e alertas

• Hosts - Remoto / Memória / Multi-OS

• Eventos/Logs - nível transacional / multi-canal / IA

Tecnologia adequada provê maior visibilidade, triagem,

capacidade de identificação de autoria e modus operandi

Referência Abordagem Híbrida “Computer Forensics: Results

of Live Response Inquiry vs Memory Image Analysis”

Mídia Memória

Local Offline

Escopos

Espaço-Tempo

Laboratórios de Perícia Digital

Mobile Forensics

Laboratórios de Perícia Digital

Bloqueadores de Escrita

Duplicadores de MídiasSoftwares de

Análise PericialArmazenamento Portátil

Aquisição em campo

Computadores

Especializados

Laboratório de Perícia de Alta Performance:

Tendência mundial: Colaboração

Mídia Memória

Local Offline

Escopos

Espaço-Tempo

Resposta a Incidentes

Forense Remota de Mídias, Memória & CyberSecurity

Capacidade de Identificação e Remediação de Ameaças

Mídia Memória

Remota Online Offline

Escopos

Espaço-Tempo

24

Forense de Rede e Consciência Situacional

Germany

Decoder

France

Decoder

Concentrator

European Operation

Investigator Informer

Branch Office

Decoder

Branch Office

Decoder

Branch Office

Decoder

Branch Office

Decoder

Concentrator Concentrator

Geographically Dispersed Locations

Corporate HQ

Concentrator

Decoders

Investigator Informer

Concentrator

Data Center / SOC

Internet POPDecoder

CIRT, Fraud, Cyber-Threat Teams

NetWitness NextGen

Sample Deployment

Scenarios

http://www.forensedigital.com.br

Rede

Remota Online Offline

Escopos

Espaço-Tempo

Forense de Rede e Consciência Situacional

Correlação de Milhões de Eventos Diários

AntiVirus

AntiVirus

Bancos de Dados

ApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsAplicaçõesAnti-VirusSO de Servers e

DesktopEquipamentos

De RedeVulnerabilityAssessment

IntrusionDetectionSystems

FirewallsFirewallsFirewallsFirewallsFirewallsFirewalls/VPN

Sign-OnSign-OnGerenciamentoDe Identidade

Serviços de Diretório

Atributos de Usuários

InfraestruturaFísica

Processos de Negócio

Mainframes

Correlação de Eventos em Infraestruturas Críticas

27

Monitoração de Infra-Estruturas Críticas

Construção da Eficiência em CiberSegurança

Integração de Tecnologia de Reação em Segurança

31

Giovani Thibau

Obrigado!