• Save
Auditando Falhas das Camadas de Proteção e Detecção
Upcoming SlideShare
Loading in...5
×
 

Auditando Falhas das Camadas de Proteção e Detecção

on

  • 1,190 views

 

Statistics

Views

Total Views
1,190
Views on SlideShare
421
Embed Views
769

Actions

Likes
0
Downloads
0
Comments
0

4 Embeds 769

http://marcelosouza.com 766
http://hsmaker.com 1
http://cloud.feedly.com 1
http://marcelodesouza.wordpress.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Auditando Falhas das Camadas de Proteção e Detecção Auditando Falhas das Camadas de Proteção e Detecção Presentation Transcript

  • Auditando as falhas das camadas de proteção/detecção Marcelo  de  Souza   Consultor  Forense  Sênior   CNASI-­‐SP,  22  de  Outubro  de  2012  © 2012 TechBiz Forense Digital LTDA. Todos os direitos reservados.
  • Sobre o tutorialObje%vo   •  Apresentar  e  discu.r  falhas  encontradas  na  abordagem  comumente   empregada  para  SegInfo.   •  Auditar,  ou  seja,  realizar  análise  crí.ca  sobre  a  eficiência  e  eficácia  das   tecnologias  e  processos  de  SegInfo  convencionais.   •  Compar.lhar  conhecimento  e  experiência  sobre  como  melhorar  o   processo  de  SegInfo  como  um  todo,  e  não  somente  apontar  os   problemas.  Metodologia   •  Explanações  teóricas.   •  Demonstrações  prá.cas  (cenários  e  ferramentas).    
  • Tópicosl  Parte  I  –  Entendendo  a  problemá%ca   l  Mo.vação   l  Teorias  e  prá.cas  convencionais  de  SegInfo   l  Analisando  a  SegInfo  convencional   l  Auditando  as  falhas  l  Parte  II  –  Encontrando  soluções   l  Premissas  para  uma  abordagem  diferenciada  de  SegInfo   l  SegInfo  baseada  em  Resposta  a  Incidentes   3
  • Tópicos (cont.)l  Parte  III  –  Viabilizando  “Resposta  a  Incidentes”  efe%va   l  Visão  Geral  de  Resposta  a  Incidentes  e  Forense  Digital   l  Processos   l  Pessoas   l  Tecnologia  l  Parte  IV  –  Concluindo   4
  • Parte IEntendendo  a  problemá.ca  
  • Motivação
  • Incidentes... sempre!Incidentes  de  segurança  con%nuam  acontecendo,  apesar  dos  esforços   •  Disseminação  do  malware  STUXNET  para   sabotar  usinas  nucleares  do  Irã   •  Invasões  e  DoS  a  websites  do  Governo  
  • Estamos mesmo nos esforçando?Conhecimento  dos  Atacantes  vs.  Sofis%cação  dos  Ataques     •  Ao  passar  dos  anos  o  conhecimento  necessário  “para  o  mal”  diminui,  mas  a   sofis.cação  dos  ataques  aumentou.   •  Se  ficou  mais  fácil  atacar,  não  há  algo  errado  com  os  esforços  em  SegInfo?  
  • Quão fácil é atacar hoje em dia?Dois  exemplos:     •  Invasão  para  roubo  de  dados  (bancários,  etc.),  criação  de  botnets,  etc.   1.  Copiar  artefato  malicioso  já  disponível  na  Internet  ou  criar  um   2.  Enviar  e-­‐mail  para  o  alvo,  anexando  o  artefato  ou  link  para  ele  (web)   3.  Esperar  o  alvo  abrir  o  artefato  e  comprometer  a  máquina  (explorar  browsers,  Java,   Acrobat  Reader,  etc.)   4.  Receber  os  resultados   •  Ataques  de  DDoS   1.  Alugar  uma  botnet,  ou  ter  uma     (até  mesmo  a  do  exemplo  anterior)   2.  Especificar  um  alvo  e  disparar  o  ataque  
  • Quão sofisticado? Malware  e  mecanismos  de  Comando  e  Controle  (C&C)     Envio de comandos e atualizações Ví%ma   Criminosos    “Stay  quiet,  be  pa.ent.”    “Send  applica.on  creden.als.”    “Use  user  account,  transfer  funds.”   Command-­‐and-­‐Control    “Install  new  malware,  new  orders.”      “Look  for  high  profile  assets.”   (C&C)    “Send  plans,  formulas,  secrets…”    “I’m  here,  infec.on  successful”  “Wai.ng  for  instruc.ons”   Propriedade Intelectual “Data Exfiltration” Transações Fraudulentas Credenciais de Aplicações / Clientes
  • Teorias e Práticas Convencionais de SegInfo
  • Definições e conceitosObje.vo  da  Segurança  da  Informação   •  Proteger  a%vos  de  informação  contra  ameaças  que  possam  afetar  a  sua:   •  Confidencialidade:  apenas  usuários  autorizados  podem  ter   acesso  à  informação   •  Integridade:  informação  deve  ser  man.da  no  estado   deixado  pela  úl.ma  operação  válida  e  autorizada   •  Disponibilidade:  informação  deve  estar  acessível  aos   usuários  autorizadas  no  momento  em  que  for  necessária  
  • Análise de riscosModelo  matemá.co  R  =  V  x  A  /  C                    
  • Segurança em profundidade Internet Perímetro / DMZ Rede WirelessAcesso Remoto Rede Interna
  • Analisando a SegInfo Convencional
  • SegInfo convencionalObje%vos  das  etapas  (processo)  e  camadas  (tecnologia)   Detectar  o  que   Evitar  que  algo   pode  estar   aconteça   acontecendo   Recuperar  o   Reagir  a  um   ambiente  e   incidente,   corrigir   realizando   problemas   contenção  
  • SegInfo convencional (cont.)“Vou  sempre  prevenir,  detectando  apenas  as  possíveis  exceções,  reagindo  e   remediando  conforme  necessário.”   Presume-­‐se  que   Detecção  age   a  prevenção,  via   como  “backup”   de  regra,  sempre   da  prevenção   funciona   Reação  somente   quando  a   Remediação   prevenção  e   após  a  reação   detecção   falharem  
  • SegInfo convencional (cont.)Ou  ainda:  “Vou  remediar  como  forma  de  reagir  a  algo  que  detectei,  quando   eventualmente  não  conseguir  prevenir.”   A  segurança  do   ambiente  está   ...e  na  detecção   toda  baseada  na   prevenção...   ...a  própria   A  reação  acaba   remediação   sendo...  
  • SegInfo, “as we know it”“Estou  constantemente  reagindo  e/ou  remediando,  já  que  não  pude  detectar  a   tempo  e  minha  prevenção  não  foi  eficaz.”   Detecção  tardia,   Prevenção  falhou   ou  “noZcia”   Reação   Remediação   constante  e  “no   constante   susto”  
  • SegInfo, “as we know it” (cont.)Na  prá%ca  acaba  se  tornando:  
  • Auditando as falhas
  • Listando as falhas em geralFalhas  da  abordagem  convencional  de  SegInfo:   •  Prevenção  não  é  100%  efe.va,  logo  não  funciona  como  deveria.   •  Basta  uma  “possível  exceção”  ter  sucesso  para  toda  abordagem  falhar.   •  Reação  muitas  vezes  desfavorecida,  pois  a  organização  prioriza  a  prevenção.   •  Remediação  constante,  também  muitas  vezes  ineficaz.   •  Cria-­‐se  a  “falsa  sensação  de  segurança”  ao  confiar  nessa  abordagem.  
  • Listando as falhas em geral (cont.)Em  outras  palavras:   Detecção   Remediação   • Sempre  haverá  mais   míope   • Impossível  reagir  de   palia.va   ameaças  do  que  se   forma  completa  sem   pode  enfrentar.   • Enxerga-­‐se  menos  do   saber  exatamente   • Impossível  remediar   que  realmente   quando,  o  que  e  como   em  defini.vo  sem   acontece.   algo  aconteceu.   conhecer  a  extensão   dos  danos.   Prevenção   Reação  tardia   inglória   e  limitada  
  • Falhas específicas: firewallSoluções  convencionais  de  filtragem  de  protocolos  de  rede   •  Funcionamento:   •  Normalmente  libera  o  tráfego  que  é  explicitamente  permi.do  na  organização,   bloqueando  todo  o  resto.   •  Falhas:   •  Muitas  vezes  possui  configuração  excessivamente  permissiva.   •  Tráfego  web  e  e-­‐mail,  obviamente  liberado,  concentra  pra.camente  a   totalidade  dos  vetores  de  ataque.   •  Talvez  não  possa  ser  considerada  uma  solução  de  segurança  “at  all”,  apesar  de   muitos  discordarem.  
  • Falhas específicas: antivírusSoluções  de  an%vírus,  an.-­‐malware,  etc.   •  Funcionamento:   •  Verifica  se  um  arquivo  possui  padrão  malicioso  já  conhecido.   •  É  necessário  que  a  base  de  assinaturas  seja  constantemente  atualizada.   •  Para  cada  novo  malware  e  suas  variantes,  o  fabricante  precisa  lançar   atualizações.   •  Falhas:   •  Padrões  devem  ser  previamente  conhecidos  (modelo  de  segurança  nega.vo  –   “blacklist”).   •  Proteção  suscervel  a  anulação  mesmo  em  pequenas  modificações  de   malware.   •  Alto  índice  de  falsos  nega.vos.   •  Nenhuma  proteção  em  casos  de  “zero  day”.  
  • Falhas específicas: antivírus (cont.)•  Estudo  mostra:  se  o  AV  não  detectar  um  malware  novo  em  6  dias,  ele   nunca  irá  ( hsp://www.theregister.co.uk/2012/08/23/an._virus_detec.on_study/)   •  O  estudo  também  mostrou  que  após  30  dias,  as  soluções  de  AV  detectaram  menos  do   que  no  primeiro  dia  de  testes.  
  • Falhas específicas: antivírus (cont.)Demonstração   1.  Código-­‐fonte  de  um  malware  simples   2.  Vídeo  do  funcionamento  do  malware     3.  Vídeo  da  verificação  u.lizando  VirusTotal  (www.virustotal.com)   4.  Relatório  da  verificação  do  malware  u.lizando  GFI  Sandbox   (www.threasrack.com)  
  • Falhas específicas: IDS/IPSSoluções  de  detecção  de  intrusão  em  rede   •  Funcionamento:   •  Capturam  o  tráfego  e  verificam  a  equivalência  com  conjunto  de  assinaturas   pré-­‐definido.   •  Falhas:   •  Padrões  devem  ser  previamente  conhecidos.   •  Detecção  suscervel  a  anulação  mesmo  em  pequenas  modificações.   •  Nenhuma  detecção  em  casos  de  “zero  day”.   •  Detecção  suscervel  a  falsos  nega.vos.   •  Alto  índice  de  falsos  posi.vos,  dificultando  sua  monitoração.  
  • E as tecnologias levam a culpa?Não  se  esqueçam  que  SegInfo  é  mais  que  um  produto...  é  ProPeTec!   Processos   Pessoas   Tecnologia  
  • ProPeTec e as falhasDe  forma  detalhada,  o  impacto  de  cada  “domínio”  e  suas  relações   Processos   Pessoas   Tecnologia   Prevenção   •  Configuração,  atualização   •  Ineficaz,  não   e  manutenção  irregular   funcionando   como  deveria   •  Muitos  falsos   •  Não  existe  equipe   nega.vos   Detecção   •  Procedimentos  de   •  Head  count   •  Ineficiente,  não   monitoração  não  são   insuficiente   funcionando   definidos  /  seguidos   •  Não  exclusivas   como  deveria   para  SegInfo   •  Muitos  falsos   •  Ausência  de   posi.vos  e  falsos   preparação  e   nega.vos   treinamento   Reação   •  Procedimentos  raramente     •  Muitas  vezes   existem   ausente   Remediação  
  • ProPeTec e as falhas (cont.)Resumindo   Processos     Pessoas   Tecnologia   • Não  existem   • Não  existe  equipe   • Sistemas  de   • Quando  existem,  não   • Quando  existe,  é   prevenção  ineficazes   são  bem  definidos  e   pouco  preparada  /   • Sistemas  de  detecção   divulgados     treinada   tradicional   • Procedimentos  e   • Head  count   ineficientes   ro.nas  de   insuficiente   • Muitos  falsos   incompletas   • Não  exclusivas  para   posi.vos  e  falsos   SegInfo   nega.vos   • Ausência  de  solução   de  reação  e/ou   remediação  
  • Parte IIEncontrando  soluções  
  • Premissas para uma abordagem diferenciada de SegInfo
  • Outra ótica: Time Based SecuritySeguindo  o  conceito  de  TBS:   •  Um  sistema  de  proteção/prevenção  (p)  pode  ser  considerado  seguro  se   funcionar  por  mais  tempo  que  o  tempo  de  detecção  (d)  somado  ao   tempo  de  reação  (r)  a  um  incidente:   Tp > Td + Tr •  Como  vimos,  a  prevenção  é  falha.  Logo,  o  tempo  de  proteção  passa  a  ser   na  verdade  tempo  de  exposição  (e),  que  irá  durar  até  a  conclusão  da   reação   Te = Td + Tr Referência:  Time  Based  Security  (Winn  Schwartau)  
  • Time Based Security é a chave•  Se  não  houver  detecção  e/ou  reação  (logo,  ambos  tendendo  ao   infinito),  então  o  sistema  estará  sempre  exposto:   Te à ∞•  Conclusão:  detecção  e  reação  são  importantes  e  úteis,  porém   somente  se  forem  rápidas  (eficientes)  e  produzirem  resultados   (eficazes).  
  • SegInfo, “as it should be”Outras  premissas    •  Foco  em  tecnologias  de  prevenção  já  se  mostrou  equivocado.   à  Não  vale  à  pena  concentrar  esforços  e  depender  apenas  disso.  •  As  soluções  de  detecção  convencionais  não  são  suficientes.   à  Porém  ainda  precisamos  monitorar  o  que  acontece  no  ambiente.  •  E  quando  algum  incidente  acontece?   à  Precisamos  reagir.  Para  isso  é  necessário  iden%ficar  a  ocorrência,  inves%gar   causas  e  resolver  os  issues,  de  modo  que  a  resposta  seja  completa.  •  Então  o  foco  passa  a  ser  somente  em  responder  aos  incidentes?   à  O  foco  deve  ser  num  conjunto  de  capacidades  que  permi.rão  mi.gar  riscos  e   impactos  ao  negócio.  
  • SegInfo baseada em Resposta a Incidentes
  • Abordagem baseada em RIConjunto  de  capacidades  integradas  para  maior  efe%vidade  de  SegInfo   Monitoração   Resposta   Resolução   a   Iden.ficação   Incidentes   Inves.gação  
  • Abordagem baseada em RI (cont.)Monitoração,  Iden%ficação,  Inves%gação  e  Resolução,  usando  ProPeTec   Monitoração   Resolução   Iden.ficação   Inves.gação  
  • Abordagem baseada em RI (cont.)Benedcios              à  Visibilidade        à  Consciência  Situacional      à  Resposta  Asser%va  
  • Parte IIIViabilizando  “Resposta  a   Incidentes”  efe.va  
  • Visão Geral de Resposta aIncidentes e Forense Digital
  • ConceitosIncidente  de  segurança   •  Qualquer  ação  ilegal,  inaceitável  ou  não  autorizada  que  envolva  um   sistema  ou  rede  de  computadores    Resposta  a  incidente  (RI)   •  Processo  que  visa  a  iden.ficação,  inves.gação  e  resolução  de  um   incidente  Forense  Digital   •  Disciplina  focada  na  descoberta,  extração  e  inves.gação  de  evidências   a  par.r  de  meios  digitais  (computadores,  celures,…)  DFIR   •  Digital  Forensics  and  Incident  Response,  sigla  muito  u.lizada  
  • Conceitos (cont.)Evento  /  Ataque  /  Incidente  /  Crime   A  Common  Language   for  Computer  Security   Incidents   (hsp://www.cert.org/ research/ taxonomy_988667.pdf)  l  Um  evento  é  caracterizado  por  uma  ação  executada  num  alvo.  Representará  um   ataque  ou  violação  quando  ferramentas  forem  u.lizadas  para  explorarem  falhas,   produzindo  resultados  não  autorizados.  l  Quando  houver  sucesso  nos  obje.vos  de  um  agente  qualquer  ao  executar  um   ataque,  estará  então  caracterizado  um  incidente.  Dependendo  do  alvo,  obje.vos,   resultado  e  agente,  poderá  este  incidente  ser  caracterizado  como  crime.   44
  • Conceitos (cont.) A  Common  Language   for  Computer  Security   Incidents   (hsp://www.cert.org/ research/ taxonomy_988667.pdf)   45
  • Normas e Regulamentações  •  ISO  27002,  seção  13  •  PCI  DSS,  requisito  12.9  “Implement  an  incident  response  plan,  be  prepared  to  respond  immediately  to  a  system  breach”      •  SOx  Resposta  a  Incidentes  pode  ajudar  a  fornecer  accountability.    
  • Times de Resposta a IncidentesSiglas  u%lizadas:  l  CSIRT  -­‐  Computer  Security  Incident  Response  Team  l  FIRST  -­‐  Forum  of  Incident  Response  and  Security  Teams  l  CIRC  -­‐  Computer  Incident  Response  Capability    l  CIRT  -­‐  Computer  Incident  Response  Team    l  IRC  -­‐  Incident  Response  Center    l  IRT  -­‐  Incident  Response  Team    l  SERT  -­‐  Security  Emergency  Response  Team    l  SIRT  -­‐  Security  Incident  Response  Team   47
  • Times de Resposta a Incidentes (cont.)CSIRTs  no  Brasil   48
  • Times de Resposta a Incidentes (cont.)Desdobramentos  recentes:  “Defesa  ciberné%ca”   49
  • Demanda por Forense Digitall  Todos  incidentes  iden.ficados  demandam  alguma  ação  em   resposta.  l  Essa  ação  pode  ter  como  obje.vos:   l  Determinar  as  consequências   l  Como  prosseguir  após  essa  ocorrência?  Quais  serão  os  próximos  passos?   l  Quan.ficar  prejuízos   l  Qual  o  impacto,  seja  ele  financeiro,  de  imagem,  moral,  etc.?   l  Definir  a.vidades  de  recuperação,  correção,  etc.   l  O  que  precisa  ser  feito  para  reestabelecer  a  normalidade?   l  Definir  sanções,  multas,  penas,  etc.   l  Quem  precisa  ser  punido?  O  que  exatamente  jus.ficaria  a  punição?   50
  • Demanda por Forense Digital (cont.)l  Para  a.ngir  estes  obje.vos,  certamente  será  necessário  descobrir  e   comprovar:   l  A  ocorrência  do  incidente  e  sua  extensão   l  As  causas  (fatores  que  levaram  ou  permi.ram  sua  ocorrência)   l  Os  causadores  (acidentais  ou  propositais)  l  Sempre  que  se  deseja  descobrir  e  comprovar  algo  sobre  um  incidente,  uma   inves.gação  se  faz  necessária.  l  Estas  inves.gações  são  suportadas  por  a.vidades,  ferramentas  e   profissionais  de  Forense  Digital.   51
  • Demanda por Forense Digital (cont.)l  Diversas  áreas  organizacionais  e  situações  podem  demandar   Forense  Digital.  Alguns  exemplos:   Segurança  da   Defesa   Perícia  Criminal   Auditoria   Inteligência   Informação   Ciberné.ca  •  Crimes   •  Defacement   •  Má  conduta   •  Inves.gação   •  Sabotagem  de   envolvendo   de  sites   de  funcionário   de  a.vidade   sistemas   uso  de   •  Vazamento  de   •  Sonegação   suspeita   crí.cos   computadores   informações   tributária   •  Espionagem   •  Ataques   (pirataria,   •  Ataques  de   •  Fraudes   contra   pedofilia,  etc.)   DoS     infraestrutura   da  nação   52
  • Processos
  • Importância dos processos para RIl  Metodologia  com  processos  formais  provê  benezcios:   l  Previne  respostas  precipitadas,  incorretas  ou  incoerentes.   l  Confirma  ou  nega  a  ocorrência  de  um  incidente  e  sua  extensão.   l  Estabelece  controles  para  a  correta  manipulação  de  provas.   l  Promove  resolução  e  reparação  mais  rápidas.   l  Minimiza  a  exposição  e  o  comprome.mento  de  informações.   l  Favorece  a  resposta  a  futuros  incidentes  com  lições  aprendidas.   54
  • Metodologia CERT CCFonte:  Defining  Incident  Management  Processes  for  CSIRTs:  A  Work  in  Progress.  (hOp://www.cert.org/archive/pdf/04tr015.pdf)
  • Metodologia NISTFonte:  NIST  Special  Publica.on  800-­‐61  –  Revision  2  (pdf)  
  • Detalhando uma metodologiaMetodologia  detalhada  (base  para  referência)   Monitoração   Iden%ficação   Inves%gação  Preparação Formulação Resposta Coleta de Análise de pré- Detecção da dados dados Relatório incidente Inicial estratégia Forense Digital Contenção Resolução   Recuperação Implementação de medidas
  • Metodologia basePreparação  pré-­‐incidente   •  Chave  para  o  sucesso   •  Deve-­‐se  preparar  a  organização  para  que  RI  possa  acontecer   •  Polí.cas  (AUP,  etc),  procedimentos,  etc.   •  Modelos  de  documentação  e  formulários   •  Equipe  (CSIRT)  e  treinamentos   •  So{ware  e  hardware  para  detecção,  inves.gação  e  resposta   •  Ninguém  quer  se  preparar  após  o  pior  acontecer...  
  • Metodologia base (cont.)Detecção   •  Sem  detecção  eficiente  e  eficaz,  não  existe  resposta   •  Parte  crucial  do  TBS   •  Pode  acontecer  de  várias  formas  (vários  canais)   •  O  máximo  de  informações  deve  ser  registrado.  Ex.:  data/hora,  o  quê  foi   reportado,  natureza,  a.vos  envolvidos,  pontos  de  contato.  
  • Metodologia base (cont.)Resposta  inicial   •  Obter  /  centralizar  todas  informações  possíveis   •  Determinar  .po  do  incidente  e  seu  impacto   •  Listar  possíveis  passos  a  seguir   •  Não  envolve  coleta  direta  no  equipamento,  e  sim:   •  Entrevistas  com  usuários  e  administradores   •  Verificação  de  relatórios  das  ferramentas  de  monitoração   •  Revisão  de  logs  de  equipamentos  de  rede   •  O  mínimo  aqui  é  determinar  se  houve  mesmo  um  incidente  
  • Metodologia base (cont.)Formulação  da  estratégia  de  resposta   •  Determinar  como  será  a  resposta,  dadas  as  circunstâncias:   •  Polí.cas   •  Técnicas   •  Legais   •  Negócio   •  Estratégia  final  é  definida  pelo(s)  líder(es)  da  equipe   •  Certamente  o  “vazamento  de  um  projeto  confidencial”  terá  resposta   diferente  de  “usuário  recebendo  e-­‐mail  de  phishing”  
  • Metodologia base (cont.)Formulação  da  estratégia  de  resposta  (cont.)   •  Algumas  questões  importantes:   •  Qual  a  cri.cidade  do  sistema  afetado?   •  Quão  sensível  é  a  informação  comprome.da?   •  Quem  são  os  perpetradores  potenciais?   •  O  incidente  foi  a  público?   •  Qual  é  o  nível  de  acesso  ob.do  pelo  atacante?   •  Qual  é  a  habilidade  técnica  aparente  do  atacante?   •  Quanto  tempo  de  indisponibilidade  está  envolvido?   •  Quanto  de  perda  financeira?  
  • Metodologia base (cont.)Formulação  da  estratégia  de  resposta  (cont).   •  Exemplos  de  estratégias:     Fonte:  Incident  Response  &  Computer  Forensics  (Kevin  Mandia)  
  • Metodologia base (cont.)Forense  Digital   §  Obje.vo:  descobrir  quem,  o  quê,  quando,  onde,  como  e  por  quê   §  Conduzida  com  base  nas  evidências  encontradas  nos  sistemas,  entre   outras   §  Duas  etapas  básicas:   •  Coleta  de  dados:   •  Análise  de  dados  
  • Metodologia base (cont.)Forense  Digital  –  Coleta  de  dados   •  Acumular  fatos  e  provas  sobre  o  incidente   •  Quanto  mais  completa  a  coleta,  maior  a  possibilidade  de  sucesso   •  Outros  desafios  únicos  desta  etapa:   •  Os  dados  devem  ser  coletados  de  forma  forense   •  Normalmente  são  coletados  mais  dados  do  que  se  pode  analisar   •  Os  dados  devem  ser  manipulados  de  modo  que  a  integridade  seja   man.da  
  • Metodologia base (cont.)Forense  Digital  –  Coleta  de  dados  (cont.)   •  Exemplos  de  evidências  digitais:   •  Arquivos  (imagens,  vídeos,  documentos,  executáveis,  etc.)   •  Histórico  de  conversas  em  IM  (MSN,  Skype,  etc.)   •  Histórico  de  navegação  na  web  (browsers),  cookies  e  bookmarks   •  E-­‐mails   •  Tráfego  de  rede  capturado   •  Logs  de  servidores    
  • Metodologia base (cont.)Forense  Digital  –  Análise  de  dados   Iniciar Análise Reiniciar Dados [Não] Tratamento Suficientes? [Sim] Processos de Análise Responder: Quem/O que?, Quando?, Onde?, Como?, Por que? Utilizar os processos de análise para obter as respostas Recuperação de Arquivos Análise de Emails Apagados Análise de Documentos Análise de Hash Análise de Artefatos Web Comparação de Baseline Análise de Artefatos de SO Outras Análises Específicas Existe Informação Se obtidas, analisar Abrir uma Nova relevância dos dados [Sim] Incriminante fora do Investigação levantados e escopo inicial? relacionamento com dados atuais [Não] Novos Alvos Requisitar [Sim] Identificados? Informações [Sim] [Não] Necessário Informações Suficientes Informações fora das [Não] [Não] para Concluir? permissões diretas do investigador? [Sim] Preparar Relatório
  • Metodologia base (cont.)Forense  Digital  –  Análise  de  dados  (cont.)   •  As  a.vidades  de  análise  devem  ter  como  obje.vo  responder  às   seguintes  questões  (Heptâmetro  de  Quin%liano):   •  QUIS?  Quem?   •  QUID?  O  quê?   •  UBI?  Onde?   •  QUIBUS  AUXILIIS?  Com  que  auxílio?   •  CUR?  Por  quê?   •  QUODOMO?  De  que  modo?   •  QUANDO?  Quando?  
  • Metodologia base (cont.)Relatório   •  Obje.vo:  criar  documentação  que  descreva  precisamente  os  detalhes  do   incidente   •  Recomendações:   •  Documente  imediatamente   •  Escreva  de  forma  concisa  e  clara   •  Siga  um  padrão  e  um  modelo  
  • 19/11/12 Metodologia base (cont.)Relatório  (cont.)   70
  • 19/11/12 Metodologia base (cont.)Relatório  (cont.)  •  Recurso  visual:  Vmeline   71
  • Pessoas
  • Dez aptidões essenciais 10.  GERENCIAMENTO  DO   1.  COMUNICAÇÃO   TEMPO   ORAL  E  ESCRITA   9.  SOLUÇÃO  DE   2.  APRESENTAÇÃO   PROBLEMAS   8.  ADMINISTRAR  O   3.  POLÍTICAS  E   ESTRESSE   PROCEDIMENTOS   7.  CONHECER  SEUS   4.  DIPLOMACIA   LIMITES   6.  INTEGRIDADE   5.  TRABALHO  EM   PESSOAL   EQUIPE  19/11/12 73  
  • Dez aptidões essenciais (cont.)1.  Ter  comunicação  oral  e  escrita  correta.  2.  Ter  boa  apresentação  pessoal  (aparência  e  ves.mentas).  3.  Saber  a  importância  de  seguir  à  risca  polí.cas  e  procedimentos.  4.  Munir-­‐se  de  diplomacia.  5.  Saber  trabalhar  em  equipe.  6.  Ser  íntegro.  7.  Conhecer  seus  limites.  8.  Saber  administrar  o  estresse  e  lidar  com  pressão.  9.  Ter  faro  para  a  solução  de  problemas.  10.  Saber  gerenciar  o  tempo.  
  • Seis domínios técnicos 6.  SISTEMAS   1.  TÉCNICAS  DE   OPERACIONAIS   ANÁLISE  5.  PROGRAMAÇÃO   2.  FERRAMENTAS  DE   RESPOSTA  A   INCIDENTES   4.  REDES   3.  SEGURANÇA  DA   INFORMAÇÃO  
  • Entidades e associações
  • Certificaçõesl  GCIH  –  GIAC  Cer.fied  Incident  Handler    hsp://www.giac.org/cer.fica.on/cer.fied-­‐incident-­‐handler-­‐gcih    l  GCIA  –  GIAC  Cer.fied  Intrusion  Analyst    hsp://www.giac.org/cer.fica.on/cer.fied-­‐intrusion-­‐analyst-­‐gcia  l  GCFA  –  GIAC  Cer.fied  Forensic  Analyst    hsp://www.giac.org/cer.fica.on/cer.fied-­‐forensic-­‐analyst-­‐gcfa  
  • Tecnologia
  • Diversas áreas de atuaçãoDomínios  da  Forense  Digital   Computadores   Rede   Sistemas   Servidores  e   estações   •  Discos  e  mídias   removíveis   •  Memória   Tráfego  de  rede   Logs  de  sistemas   Disposi%vos   móveis   79
  • Diversas formas de atuarTécnicas  u%lizadas  pelas  soluções   l  Normalmente  são  u.lizadas  técnicas  específicas  para  cada  caso,   mas  também  podem  variar  conforme  a  demanda.   Coleta  Post-­‐ Coleta   Coleta  Live   Mortem   Remota     Discos  e   Tráfego  de   Logs  de   mídias   rede   sistemas   removíveis   Servidores   Servidores   Disposi.vos   e  estações   e  estações   móveis   (ligados)   (ligados)   80
  • Forense de discoDefinição:  É  o  .po  de  forense  “tradicional”,  onde  as  evidências   são  os  dados  gravados  em  mídias  e  disposi.vos  de   Computadores   armazenamento  eletrônico  em  geral.     Servidores  Insumos  para  evidências:   e  Estações   l  Discos  rígidos  (internos)  e  mídias  removíveis,   •  Discos  e   usualmente  com  coleta  post  mortem  (podendo  ser   mídias   também  live  e  remota,  através  de  agentes).   removíveis     81
  • Forense de memóriaDefinição:  É  o  .po  de  forense  onde  as  evidências  são  ob.das  a   par.r   de   dumping   e   análise   dos   dados   Computadores   armazenados  em  memória  RAM  (volá.l).     Servidores  Insumos  para  evidências:   e  Estações   l  Memória  RAM,  com  coleta  live  (normalmente  remota,   •  Memória   através  de  agentes).     82
  • Forense de dispositivos móveisDefinição:  É  o  .po  de  forense  realizada  em  telefones  celulares,   smartphones,   tablets,   GPSs,   etc.   Os   dados   Computadores   gravados   nestes   disposi.vos,   tais   como   fotos,   mensagens   SMS,   registros   de   ligações,   entre   outros  podem  ser  usados  como  evidências.       Disposi%vos  Insumos  para  evidências:   Móveis   l  Imagem  lógica  (arquivos,  registros)  ou  zsica  (bit-­‐a-­‐bit),   coletados  geralmente  post  mortem,  com  acesso  zsico   ao  disposi.vo.     83
  • Forense de redeDefinição:  É   a   captura,   armazenamento   e   análise   de   dados   trafegados   numa   rede   de   computadores   para   detectar   a   origem   de   algum   problema   de   Rede   segurança  ou  algum  outro  incidente.    Insumos  para  evidências:   Tráfego   l  Tráfego  de  rede,  usualmente  com  coleta  live  (podendo   de  rede   ser  também  post  mortem).     84
  • Análise de LogsDefinição:  É   a   captura,   armazenamento   e   análise   de   eventos   gerados   pelos   sistemas   (SO,   bancos   de   dados,   Sistemas   aplicações,   etc.)   que   podem   ser   usados   como   evidências.    Insumos  para  evidências:   Logs   l  Logs  (registros  em  trilhas  de  auditoria),  com  coleta  local   ou  remota  (ferramentas  de  SIEM  e  log  management),   live  ou  post  mortem.     85
  • Integração entre soluções de RIObje.vando  visibilidade,  consciência  situacional  e  resposta  asser%va   Gestão   de   Eventos   Forense   de   Rede   Forense  e   Remediação   de  Hosts   86
  • Parte IVConcluindo  
  • BenefíciosO  modelo  baseado  em  RI  vs  Prevenção/Detecção  convencional:   •  Monitoração  feita  de  maneira  integrada  traz  visibilidade  sobre  os   domínios  (Rede,  Hosts,  Sistemas)  e  contextualização  sobre  os  incidentes.   •  Iden%ficação  focada  em  ameaças  e  impactos  reais,  conforme  o  contexto   da  organização  (ambiente  e  negócio).   •  Inves%gação  elucida.va  que  suporte  ações  (operacionais  e  legais)   posteriores,  visando  melhorias.   •  Resolução  que  viabilize  reação  asser.va.  
  • Bibliografia recomendadaIncident  Response  &  Computer  Forensics    (Kevin  Mandia,  Chris  Prosise,  Ma;  Pepe)  Real  Digital  Forensics:  Computer  Security  and  Incident  Response    (Keith  Jones,  Richar  Bejtlich,  Cur.s  Rose)    Cyber  Crime  Inves%ga%ons    (Anthony  Reyes)  
  • Servidos prestados pela TBFD ANÁLISE  FORENSE   IMPLANTAÇÃO  DE  PROCESSOS   DIAGNÓSTICOS  DE  COMPROMETIMENTO   INCIDENT  RESPONSE  TEAM   IMPLANTAÇÃO  DE  CSIRT  
  • Fim Marcelo de Souza Consultor Sênior marcelo.souza@techbiz.com.br www.marcelosouza.com @marcelo_sz