Você e sua empresa estão preparados para o ataque dos crackers?
1. “VOCÊ E SUA EMPRESA ESTÃO PREPARADOS PARA O ATAQUE DOS CRACKERS? ”,
Marcos Nascimento Borges Pereira, MSc, MBA
PMP, EnCE, ITIL, MCSE, CCA, CCSP, VCP, VTSP e VSP
Gerente de Negócios – Forças da Lei - Br
Cel: +55 (31) 9102-4423
Cel: +55 (31) 9242-0187
Tel : +55 (31)3211-1800 R: 1830
Mail: marcos@techbiz.com.br
2. Resumo da Apresentação
Segurança Versus Reação
Teatro da Segurança
Soluções de Forense Digital
Preparação para o Time de Forense
Institucional Techbiz Forense Digital
4. “State of the Internet” Report, Akamai Technologies
/APT
WARE
MAL
5. Ataques de phishing
Ataque s de evenenamento Websites e
DNS - "Drive-by“
Infecção generalizada (por exemplo,
Zeus, Aurora, Stuxnet, Night Dragon, /
etc)
Malware e mais malware resultantes de
todos os acima ...
Vulnerabilidades do produto (por
exemplo, Adobe, Microsoft, Oracle)
Rede Social / Mobilidade / Web 2.0
Cloud Computing / Outros perfis de
risco desconhecido
7. E ...
ENT
VAM
NITI
DEFI
DO?
HAN
FAL
O
ESTÃ
NÇA
URA
SEG
DE
IPES
EQU
Pessoas
Subestimam a complexidade
e capacidade dos atores
ameaça
Não tomam medidas
proativas para detectar
ameaças
Processo
Organizações de TI têm
extraviado medições e foco
no programa
RI falta de dados corretos e
foco
Tecnologia
A tecnologia atual não está
conseguindo detectar
ameaças APT, APA, e outros
Buracos profundos na
visibilidade da rede
8. EY
SURV
ATS
THRE
NCED
ADVA
TUTE
INSTI
MON
PONE
2010
Sabemos o que precisamos fazer, mas não estamos fazendo isso ...
14. S
ANTE
ATAC
UES /
ATAQ
DOS
ÃO
TICAÇ
SOFIS
E
CENT
CRES
More than 286 million new malware variants detected in 2010 1
93% increase in malware attacks in 2011 1
56% of malicious code infections were Trojans in 2010 1
$559.7M USD in 2009 – a total of 336,655
Reported online crime losses totaled
complaints, a 111% and 22.3% increase from 2008, respectively. 2
Ecommerce fraud in 2010 estimated to $2.7 billion 3
Cyber criminals are targeting Web 2.0 and cloud technologies
More than 115,000 reported phishing attacks in 2010 4
1 Symantec 2 IC3 3 Internetretailer.com 4 APWG
15. ER-SE
MANT
O DE
DESAFI
O
Como posso ficar à frente das
ameaças?
Isso é uma ameaça real? Existem
ameaças que eu não conheço?
Como faço para melhorar
informarção para os executivos
sobre os fatores de risco mais Como faço para tirar o máximo
relevantes? de proveito dos nossos
investimentos em infra-
estrutura de segurança?
Quais patches são críticos?
Quais não são?
Como faço para maximizar
nossos esforços de resposta a
Como posso fazer para incidentes?
implantar o senso de ameaça
global?
17. O?
ÇÃ
VEN
PRE
Firewalls
Anti-Vírus
Anti-Spam
Controle de Conteúdo
Hardening de S.O.
Desenvolvimento
Seguro
Etc..
18. ?
CÇÃO
DETE
IDS/IPS
Anti-Vírus
Anti-Spam
Logs de Sistemas
SIEM
HoneyNets
Auditoria de Sistema
Auditoria de Código
Etc..
19. Segurança hoje: Foco em perímetro , Camada de rede, Baseado em
Segurança Hoje
Assinatura
20. Segurança hoje: Foco em perímetro , Camada de rede, Baseado em
Assinatura
ATORES VETORES
Ameaças de hoje
Espionagem Vazamen
to de
dados
Internos Organizações
Malware
APT
Criminosas Fraudes
Estados – Nações
21. Segurança hoje: Foco em perímetro , Camada de rede, Baseado em
Assinatura
Ameaças Hoje: Internas, Organizações criminosas, Estados e nações usando
metodos avanç.
ATORES VETORES
Ameaças de hoje
Espionagem Vazamen
to de
dados
Internos Organizações
Malware
APT
Criminosas Fraudes
Estados – Nações
22. Segurança hoje: Foco em perímetro , Camada de rede, Baseado em
Assinatura
Ameaças Hoje: Internas, Organizações criminosas, Estados e nações usando
metodos avanç.
Segurança devem evoluir ...
e ser ágil
Para preencher esta lacuna
23. Uma abordagem Uma plataforma de Fornecendo
revolucionária para a visibilidade informações
empresa monitorar a abrangente em precisas e
rede conteúdo e acionáveis
comportamento
Saber tudo. Responder qualquer coisa.
24. COISA
UER
QUALQ
NDER
RESPO
TUDO.
SABER
» Quais as ameaças críticas o meu Anti-vírus e IDS estão
falhando?
» Estou preocupado com malwares direcionados, e APTS -
Investir como posso analisar e reconhecer a impressão digital dessas
atividades no meu ambiente?
» Precisamos entender melhor e gerenciar os riscos
Certo. associados com ameaças internas - Quero visibilidade das
atividades do usuário final e ser alertado sobre certos tipos
de comportamento?
» Em nossos ativos de alto valor, como podemos ter certeza
de que nossos controles de segurança estão funcionando
exatamente como implementado?
investir em » Como posso detectar novas variantes de malware Zeus ou
outros 0 day na minha rede?
Agilidade.. » Precisamos examinar os incidentes críticos como se
tivéssemos uma câmera de vídeo HD de gravação tudo ...
25. John Smith
CISO
Copyright 2007 NetWitness Corporation
26. INVESTIMENTOS EM SEGURANÇA DA INFORMAÇÃO
Prevenção Detecção Avaliação Reação
Firewalls IDS Scan de Vulnerabilidades Resposta a Incidentes
Controle de Acesso SIEMs Sniffers Computação Forense
Mapeamento de
Autenticação
Processos
Defesa de Redes Detecção Resposta
Investimentos tradicionais Em investimento Poucos
Efetiva em 99% dos casos As “Euquipes” não tem investimentos
Resolve 1% do problema tempo de fazer Efetiva em 1% dos
estudos de ambiente casos
Resolve 99% do
problema
27. PREVENÇÃO?
Firewalls
Anti-Vírus
Anti-Spam
Controle de Conteúdo
Hardening de S.O.
Desenvolvimento Seguro
Etc..
28. DETECÇÃO?
IDS/IPS
Anti-Vírus
Anti-Spam
Logs de Sistemas
SIEM
HoneyNets
Auditoria de Sistema
Auditoria de Código
Etc..
34. 1 Envio do malware via spear phishing
Máquina
alvo
2 Execução do malware na máquina alvo
3 Máquina alvo abre conexão reversa com
Origem do
origem do ataque EnCase CyberSecurity identifica
ataque
o malware na máquina
alvo, coleta as evidências e
8
executa a remediação
(eliminação do malware)
NetWitness captura/analisa tráfego de
4 dados do ataque
NetWitness
Investigato
r
NetWitness identifica tráfego anormal e
5 envia evento para ArcSight
NetWitness
Informer
Analista inicia o processo
7 de remediação com o
EnCase CyberSecurity
Evento
ArcSight correlaciona eventos, identifica
6 incidente, e dispara alerta para remediação
35. 1 Usuário executa o vazamento de informações
NetWitness captura/analisa tráfego de
2 dados do ataque, e identifica hosts
envolvidos
Origem do vazamento EnCase CyberSecurity realiza análise de
de informações 6 entropia, identifica e coleta evidências
(artefatos de navegação, etc)
NetWitness
Investigato
r NetWitness envia evento para
3 ArcSight
NetWitness
Informer
ArcSight correlaciona eventos, identifica
4 incidente, e dispara alerta para remediação
Analista inicia o processo
Evento 5 de remediação com o
EnCase CyberSecurity
36. Ferramentas de Laboratório
SOLUÇÕES DE FORENSE DIGITAL
Armazenamento Portátil
Duplicadores de Mídias –
de Alta Capacidade
SOLO-IV
WiebeTech
Softwares de Análise Pericial
Encase e FTK
Servidores e Estações
Forenses - Digital Intelligence
Bloqueadores de Escrita
Tableau Forense de Celulares
37. CLIENTES TECHBIZ FORENSE DIGITAL
Alguns de nossos + 160 clientes no Brasil
Mercado Financeiro Ministério Público
Mercado Telecom Secretaria de Fazenda
Indústria Secretaria de Segurança
Petrobras Instituto Geral de Perícia
ABIN Instituto de Criminalística
Marinha do Brasil Superior Tribunal de Justiça
CIEx – Exército Presidência da República
Ministério da Saúde Polícia Federal
Ministério da Justiça Polícia Militar DF
38. OGIA
TECNOL
DE
AÇÃO
INTEGR
Parceiros Tecnológicos
39. Marcos Nascimento Borges Pereira, MSc, MBA
PMP, EnCE, ITIL, MCSE, CCA, CCSP, VCP, VTSP e VSP
Gerente de Negócios – Forças da Lei - Br
Cel: +55 (31) 9102-4423
Cel: +55 (31) 9242-0187
Tel : +55 (31)3211-1800 R: 1830
Mail: marcos@techbiz.com.br
Editor's Notes
Why NetWitness?The way you need to monitor your network has changed over the past two decades. The security market is fundamentally broken and we have no certainty that our systems are secure.Most organizations have focused their efforts building network defenses that have been perimeter-based, primarily at layers 3 and 4, and requiring signatures or a foreknowledge of an attack before action could be taken. [NEXT SLIDE]
The problem with this approach is that it just does not work when facing each day’s new threat landscape. Every iteration of these solutions has failed due to incomplete view of threat actors or threat vectors or inadequate answers to the tough questions associated with: insider threats and data leakage, 0 day and targeted malware and APTs, and all types of e-crime, fraud and cyber espionage activity. [NEXT SLIDE]
The problem with this approach is that it just does not work when facing each day’s new threat landscape. Every iteration of these solutions has failed due to incomplete view of threat actors or threat vectors or inadequate answers to the tough questions associated with: insider threats and data leakage, 0 day and targeted malware and APTs, and all types of e-crime, fraud and cyber espionage activity. [NEXT SLIDE]
There is a critical and costly gap between security today and the threats you have faced over the last several years. Network security MUST evolve for organizations to effective combat this constantly changing threat landscape…and be agile in order to deal with emerging risks and threats.Today we will show you how. [NEXT SLIDE]
What is NetWitness?NetWitness is a revolutionary approach to network monitoring that is being aggressively adopted by top security teams across government, financial services, energy, high-tech and other sectors which have the greatest insight into the critical risks we described. NetWitness provides an enterprise security platform that let’s your organization obtain pervasive network visibility into the content of all network traffic and discrete behavior of entities operating across the network.This approach provides precise and actionable real-time intelligence for your security team, and the agility to address security issues, as both your IT environment and the threat landscape evolve.Ultimately, this pervasive network visibility permits you to know everything that happening on the network, and answer anything about a broad spectrum of critical security problems. [NEXT SLIDE]
What does it mean to “Know Everything and Answer Anything?”It means that you can have the knowledge you need about any tough issue you are facing now, or that you may face down the road.Our customers use the unique automation and patented analytics in NetWitness to solve a wide variety of tough security problems, for example: [Click on EACH]What critical threats are overlooked by my Anti-Virus and and evading my Intrusion Detection?Are files crossing the network that are using packing or other obfuscation technologies that may cause harm or steal sensitive data?I am worried about targeted malware and APTs -- how can I fingerprint and analyze all executable files that are entering my environment?I want to ensure that the risks associated with insider threats are managed effectively -- How do I improve visibility across end-user activity and network behavior?How do I continuously monitor important security controls to always know if they are functioning as I implemented them?How can I detect new variants of Zeus or other 0day malware on my network?How can I walk through this incident as if had an HD network video camera recording it all?Above all, how can I stop the churn and complexity of running to buy yet another security product every time a new threat hits the market?NetWitness is solid investment in the future for security teams. The power, extensibility, and agility of the platform offer advantages that will not become obsolete and that will increase the value of your existing security investments. [NEXT SLIDE]