Cnasi sp apresentação marcelo souza
-
date post
19-Oct-2014 -
Category
Technology
-
view
615 -
download
1
Embed Size (px)
description
Transcript of Cnasi sp apresentação marcelo souza
20121022_CNASI_Tutorial_v2_SpeakerDeck.pptx
2012 TechBiz Forense Digital LTDA. Todos os direitos reservados.
Auditando as falhas das camadas de proteo/deteco
Marcelo de Souza Consultor Forense Snior
CNASI-SP, 22 de Outubro de 2012
Sobre o tutorial
Obje%vo Apresentar e discu.r falhas encontradas na abordagem comumente
empregada para SegInfo. Auditar, ou seja, realizar anlise cr.ca sobre a ecincia e eccia das
tecnologias e processos de SegInfo convencionais. Compar.lhar conhecimento e experincia sobre como melhorar o
processo de SegInfo como um todo, e no somente apontar os problemas.
Metodologia Explanaes tericas. Demonstraes pr.cas (cenrios e ferramentas).
Tpicos
3
l Parte I Entendendo a problem%ca l Mo.vao
l Teorias e pr.cas convencionais de SegInfo
l Analisando a SegInfo convencional
l Auditando as falhas
l Parte II Encontrando solues
l Premissas para uma abordagem diferenciada de SegInfo
l SegInfo baseada em Resposta a Incidentes
Tpicos (cont.)
4
l Parte III Viabilizando Resposta a Incidentes efe%va l Viso Geral de Resposta a Incidentes e Forense Digital
l Processos
l Pessoas
l Tecnologia
l Parte IV Concluindo
Parte I
Entendendo a problem.ca
Motivao
Incidentes... sempre!
Incidentes de segurana con%nuam acontecendo, apesar dos esforos
Disseminao do malware STUXNET para sabotar usinas nucleares do Ir
Invases e DoS a websites do Governo
Estamos mesmo nos esforando?
Conhecimento dos Atacantes vs. Sos%cao dos Ataques Ao passar dos anos o conhecimento necessrio para o mal diminui, mas a
sos.cao dos ataques aumentou. Se cou mais fcil atacar, no h algo errado com os esforos em SegInfo?
Quo fcil atacar hoje em dia?
Dois exemplos:
Invaso para roubo de dados (bancrios, etc.), criao de botnets, etc. 1. Copiar artefato malicioso j disponvel na Internet ou criar um 2. Enviar e-mail para o alvo, anexando o artefato ou link para ele (web) 3. Esperar o alvo abrir o artefato e comprometer a mquina (explorar browsers, Java,
Acrobat Reader, etc.) 4. Receber os resultados
Ataques de DDoS 1. Alugar uma botnet, ou ter uma (at mesmo a do exemplo anterior) 2. Especicar um alvo e disparar o ataque
Quo sofisticado?
Malware e mecanismos de Comando e Controle (C&C)
V%ma Criminosos
Envio de comandos e atualizaes
Data Exfiltration
Im here, infec.on successful Wai.ng for instruc.ons
Stay quiet, be pa.ent. Send applica.on creden.als. Use user account, transfer funds. Install new malware, new orders. Look for high prole assets. Send plans, formulas, secrets
Command-and-Control
(C&C)
Transaes Fraudulentas
Propriedade Intelectual
Credenciais de Aplicaes / Clientes
Teorias e Prticas Convencionais de SegInfo
Definies e conceitos
Obje.vo da Segurana da Informao Proteger a%vos de informao contra ameaas que possam afetar a sua:
Condencialidade: apenas usurios autorizados podem ter acesso informao
Integridade: informao deve ser man.da no estado deixado pela l.ma operao vlida e autorizada
Disponibilidade: informao deve estar acessvel aos usurios autorizadas no momento em que for necessria
Anlise de riscos
Modelo matem.co R = V x A / C
Permetro / DMZ
Rede Interna Acesso Remoto
Internet
Rede Wireless
Segurana em profundidade
Analisando a SegInfo Convencional
SegInfo convencional
Evitar que algo acontea
Detectar o que pode estar acontecendo
Reagir a um incidente, realizando conteno
Recuperar o ambiente e corrigir
problemas
Obje%vos das etapas (processo) e camadas (tecnologia)
SegInfo convencional (cont.)
Vou sempre prevenir, detectando apenas as possveis excees, reagindo e remediando conforme necessrio.
Presume-se que a preveno, via de regra, sempre
funciona
Deteco age como backup da preveno
Reao somente quando a
preveno e deteco falharem
Remediao aps a reao
SegInfo convencional (cont.)
Ou ainda: Vou remediar como forma de reagir a algo que detectei, quando eventualmente no conseguir prevenir.
A segurana do ambiente est toda baseada na preveno...
...e na deteco
A reao acaba sendo...
...a prpria remediao
SegInfo, as we know it
Estou constantemente reagindo e/ou remediando, j que no pude detectar a tempo e minha preveno no foi ecaz.
Preveno falhou Deteco tardia, ou noZcia
Reao constante e no
susto
Remediao constante
SegInfo, as we know it (cont.)
Na pr%ca acaba se tornando:
Auditando as falhas
Listando as falhas em geral
Falhas da abordagem convencional de SegInfo:
Preveno no 100% efe.va, logo no funciona como deveria.
Basta uma possvel exceo ter sucesso para toda abordagem falhar.
Reao muitas vezes desfavorecida, pois a organizao prioriza a preveno.
Remediao constante, tambm muitas vezes inecaz.
Cria-se a falsa sensao de segurana ao conar nessa abordagem.
Listando as falhas em geral (cont.)
Em outras palavras:
Sempre haver mais ameaas do que se pode enfrentar.
Preveno inglria
Enxerga-se menos do que realmente acontece.
Deteco mope Impossvel reagir de
forma completa sem saber exatamente quando, o que e como algo aconteceu.
Reao tardia e limitada
Impossvel remediar em deni.vo sem conhecer a extenso dos danos.
Remediao palia.va
Falhas especficas: firewall
Solues convencionais de ltragem de protocolos de rede
Funcionamento: Normalmente libera o trfego que explicitamente permi.do na organizao,
bloqueando todo o resto.
Falhas: Muitas vezes possui congurao excessivamente permissiva. Trfego web e e-mail, obviamente liberado, concentra pra.camente a
totalidade dos vetores de ataque. Talvez no possa ser considerada uma soluo de segurana at all, apesar de
muitos discordarem.
Falhas especficas: antivrus
Solues de an%vrus, an.-malware, etc.
Funcionamento: Verica se um arquivo possui padro malicioso j conhecido. necessrio que a base de assinaturas seja constantemente atualizada. Para cada novo malware e suas variantes, o fabricante precisa lanar
atualizaes.
Falhas: Padres devem ser previamente conhecidos (modelo de segurana nega.vo
blacklist). Proteo suscervel a anulao mesmo em pequenas modicaes de
malware. Alto ndice de falsos nega.vos. Nenhuma proteo em casos de zero day.
Falhas especficas: antivrus (cont.)
Estudo mostra: se o AV no detectar um malware novo em 6 dias, ele nunca ir (hsp://www.theregister.co.uk/2012/08/23/an._virus_detec.on_study/)
O estudo tambm mostrou que aps 30 dias, as solues de AV detectaram menos do que no primeiro dia de testes.
Falhas especficas: antivrus (cont.)
Demonstrao
1. Cdigo-fonte de um malware simples
2. Vdeo do funcionamento do malware
3. Vdeo da vericao u.lizando VirusTotal (www.virustotal.com)
4. Relatrio da vericao do malware u.lizando GFI Sandbox (www.threasrack.com)
Falhas especficas: IDS/IPS
Solues de deteco de intruso em rede
Funcionamento: Capturam o trfego e vericam a equivalncia com conjunto de assinaturas
pr-denido.
Falhas: Padres devem ser previamente conhecidos. Deteco suscervel a anulao mesmo em pequenas modicaes. Nenhuma deteco em casos de zero day. Deteco suscervel a falsos nega.vos. Alto ndice de falsos posi.vos, dicultando sua monitorao.
E as tecnologias levam a culpa?
No se esqueam que SegInfo mais que um produto... ProPeTec!
Pessoas
Tecnologia
Processos
ProPeTec e as falhas
De forma detalhada, o impacto de cada domnio e suas relaes
Processos Pessoas Tecnologia
Preveno Congurao, atualizao e manuteno irregular
No existe equipe Head count
insuciente No exclusivas
para SegInfo Ausncia de
preparao e treinamento
Inecaz, no funcionando como deveria
Muitos falsos nega.vos
Deteco Procedimentos de monitorao no so denidos / seguidos
Ineciente, no funcionando como deveria
Muitos falsos posi.vos e falsos nega.vos
Reao Procedimentos raramente existem
Muitas vezes ausente
Remediao
ProPeTec e as falhas (cont.)
Resumindo
Processos
No existem Quando existem, no so bem denidos e divulgados
Procedimentos e ro.nas de incompletas
Pessoas
No existe equipe Quando existe, pouco preparada / treinada
Head count insuciente
No exclusivas para SegInfo
Tecnologia
Sistemas de preveno inecazes
Sistemas de deteco tradicional inecientes
Muitos falsos posi.vos e falsos nega.vos
Ausncia de soluo de reao e/ou remediao
Parte II
Encontrando solues
Premissas para uma abordagem diferenciada de SegInfo
Outra tica: Time Based Security
Seguindo o conceito de TBS: Um sistema de proteo/preveno (p) pode ser considerado seguro se
funcionar por mais tempo que o tempo de deteco (d) somado ao tempo de reao (r) a um incidente:
Como vimos, a preveno falha. Logo, o tempo de proteo passa a ser na verdade tempo de exposio (e), que ir durar at a concluso da reao
Referncia: Time Based Security (Winn Schwartau)
Te = Td + Tr
Tp > Td + Tr
Se no houver deteco e/ou reao (logo, ambos tendendo ao innito), ento o sistema estar sempre exposto:
Concluso: deteco e reao so importantes e teis, porm somente se forem rpidas (ecientes) e produzirem resultados (ecazes).
Te
Time Based Security a chave
SegInfo, as it should be
Outras premissas
Foco em tecnologias de preveno j se mostrou equivocado. No vale pena concentrar esforos e depender apenas disso.
As solues de deteco convencionais no so sucientes. Porm ainda precisamos monitorar o que acontece no ambiente.
E quando algum incidente acontece? Precisamos reagir. Para isso necessrio iden%car a ocorrncia, inves%gar
causas e resolver os issues, de modo que a resposta seja completa.
Ento o foco passa a ser somente em responder aos incidentes? O foco deve ser num conjunto de capacidades que permi.ro mi.gar riscos e impactos ao negcio.
SegInfo baseada em Resposta a Incidentes
Abordagem baseada em RI
Conjunto de capacidades integradas para maior efe%vidade de SegInfo
Resposta a
Incidentes
Monitorao
Iden.cao
Inves.gao
Resoluo
Abordagem baseada em RI (cont.)
Monitorao, Iden%cao, Inves%gao e Resoluo, usando ProPeTec
Monitorao
Iden.cao
Inves.gao
Resoluo
Abordagem baseada em RI (cont.)
Benedcios
Visibilidade
Conscincia Situacional
Resposta Asser%va
Parte III
Viabilizando Resposta a Incidentes efe.va
Viso Geral de Resposta a Incidentes e Forense Digital
Conceitos
Incidente de segurana Qualquer ao ilegal, inaceitvel ou no autorizada que envolva um
sistema ou rede de computadores
Resposta a incidente (RI) Processo que visa a iden.cao, inves.gao e resoluo de um
incidente
Forense Digital Disciplina focada na descoberta, extrao e inves.gao de evidncias
a par.r de meios digitais (computadores, celures,)
DFIR Digital Forensics and Incident Response, sigla muito u.lizada
Conceitos (cont.)
44
Evento / Ataque / Incidente / Crime
l Um evento caracterizado por uma ao executada num alvo. Representar um ataque ou violao quando ferramentas forem u.lizadas para explorarem falhas, produzindo resultados no autorizados.
l Quando houver sucesso nos obje.vos de um agente qualquer ao executar um ataque, estar ento caracterizado um incidente. Dependendo do alvo, obje.vos, resultado e agente, poder este incidente ser caracterizado como crime.
A Common Language for Computer Security Incidents (hsp://www.cert.org/research/taxonomy_988667.pdf)
Conceitos (cont.)
45
A Common Language for Computer Security Incidents (hsp://www.cert.org/research/taxonomy_988667.pdf)
Normas e Regulamentaes
ISO 27002, seo 13
PCI DSS, requisito 12.9 Implement an incident response plan, be prepared to respond immediately to a system breach
SOx Resposta a Incidentes pode ajudar a fornecer accountability.
Times de Resposta a Incidentes
47
Siglas u%lizadas: l CSIRT - Computer Security Incident Response Team l FIRST - Forum of Incident Response and Security Teams l CIRC - Computer Incident Response Capability l CIRT - Computer Incident Response Team l IRC - Incident Response Center l IRT - Incident Response Team l SERT - Security Emergency Response Team l SIRT - Security Incident Response Team
Times de Resposta a Incidentes (cont.)
48
CSIRTs no Brasil
Times de Resposta a Incidentes (cont.)
49
Desdobramentos recentes: Defesa cibern%ca
Demanda por Forense Digital
50
l Todos incidentes iden.cados demandam alguma ao em resposta.
l Essa ao pode ter como obje.vos: l Determinar as consequncias
l Como prosseguir aps essa ocorrncia? Quais sero os prximos passos?
l Quan.car prejuzos l Qual o impacto, seja ele nanceiro, de imagem, moral, etc.?
l Denir a.vidades de recuperao, correo, etc. l O que precisa ser feito para reestabelecer a normalidade?
l Denir sanes, multas, penas, etc. l Quem precisa ser punido? O que exatamente jus.caria a punio?
Demanda por Forense Digital (cont.)
51
l Para a.ngir estes obje.vos, certamente ser necessrio descobrir e comprovar: l A ocorrncia do incidente e sua extenso
l As causas (fatores que levaram ou permi.ram sua ocorrncia)
l Os causadores (acidentais ou propositais)
l Sempre que se deseja descobrir e comprovar algo sobre um incidente, uma inves.gao se faz necessria.
l Estas inves.gaes so suportadas por a.vidades, ferramentas e prossionais de Forense Digital.
Demanda por Forense Digital (cont.)
52
l Diversas reas organizacionais e situaes podem demandar Forense Digital. Alguns exemplos:
Percia Criminal
Crimes envolvendo uso de computadores (pirataria, pedolia, etc.)
Segurana da Informao
Defacement de sites
Vazamento de informaes
Ataques de DoS
Auditoria
M conduta de funcionrio
Sonegao tributria
Fraudes
Inteligncia
Inves.gao de a.vidade suspeita
Espionagem
Defesa Cibern.ca
Sabotagem de sistemas cr.cos
Ataques contra infraestrutura da nao
Processos
Importncia dos processos para RI
54
l Metodologia com processos formais prov benezcios: l Previne respostas precipitadas, incorretas ou incoerentes.
l Conrma ou nega a ocorrncia de um incidente e sua extenso.
l Estabelece controles para a correta manipulao de provas.
l Promove resoluo e reparao mais rpidas.
l Minimiza a exposio e o comprome.mento de informaes.
l Favorece a resposta a futuros incidentes com lies aprendidas.
Fonte: Dening Incident Management Processes for CSIRTs: A Work in Progress. (hOp://www.cert.org/archive/pdf/04tr015.pdf)
Metodologia CERT CC
Fonte: NIST Special Publica.on 800-61 Revision 2 (pdf)
Metodologia NIST
Preparao pr-
incidente Deteco Resposta Inicial
Formulao da
estratgia
Coleta de dados
Anlise de dados Relatrio
Forense Digital
Conteno Recuperao
Implementao de medidas
Detalhando uma metodologia
Metodologia detalhada (base para referncia)
Monitorao Iden%cao Inves%gao
Resoluo
Metodologia base
Preparao pr-incidente Chave para o sucesso Deve-se preparar a organizao para que RI possa acontecer
Pol.cas (AUP, etc), procedimentos, etc. Modelos de documentao e formulrios Equipe (CSIRT) e treinamentos So{ware e hardware para deteco, inves.gao e resposta
Ningum quer se preparar aps o pior acontecer...
Metodologia base (cont.)
Deteco Sem deteco eciente e ecaz, no existe resposta Parte crucial do TBS Pode acontecer de vrias formas (vrios canais) O mximo de informaes deve ser registrado. Ex.: data/hora, o qu foi
reportado, natureza, a.vos envolvidos, pontos de contato.
Metodologia base (cont.)
Resposta inicial Obter / centralizar todas informaes possveis Determinar .po do incidente e seu impacto Listar possveis passos a seguir No envolve coleta direta no equipamento, e sim:
Entrevistas com usurios e administradores Vericao de relatrios das ferramentas de monitorao Reviso de logs de equipamentos de rede
O mnimo aqui determinar se houve mesmo um incidente
Metodologia base (cont.)
Formulao da estratgia de resposta Determinar como ser a resposta, dadas as circunstncias:
Pol.cas Tcnicas Legais Negcio
Estratgia nal denida pelo(s) lder(es) da equipe Certamente o vazamento de um projeto condencial ter resposta
diferente de usurio recebendo e-mail de phishing
Metodologia base (cont.)
Formulao da estratgia de resposta (cont.) Algumas questes importantes:
Qual a cri.cidade do sistema afetado? Quo sensvel a informao comprome.da? Quem so os perpetradores potenciais? O incidente foi a pblico? Qual o nvel de acesso ob.do pelo atacante? Qual a habilidade tcnica aparente do atacante? Quanto tempo de indisponibilidade est envolvido? Quanto de perda nanceira?
Metodologia base (cont.)
Formulao da estratgia de resposta (cont). Exemplos de estratgias:
Fonte: Incident Response & Computer Forensics (Kevin Mandia)
Metodologia base (cont.)
Forense Digital Obje.vo: descobrir quem, o qu, quando, onde, como e por qu Conduzida com base nas evidncias encontradas nos sistemas, entre
outras Duas etapas bsicas:
Coleta de dados: Anlise de dados
Metodologia base (cont.)
Forense Digital Coleta de dados
Acumular fatos e provas sobre o incidente Quanto mais completa a coleta, maior a possibilidade de sucesso Outros desaos nicos desta etapa:
Os dados devem ser coletados de forma forense Normalmente so coletados mais dados do que se pode analisar Os dados devem ser manipulados de modo que a integridade seja man.da
Metodologia base (cont.)
Forense Digital Coleta de dados (cont.)
Exemplos de evidncias digitais: Arquivos (imagens, vdeos, documentos, executveis, etc.) Histrico de conversas em IM (MSN, Skype, etc.) Histrico de navegao na web (browsers), cookies e bookmarks E-mails Trfego de rede capturado Logs de servidores
Metodologia base (cont.)
Forense Digital Anlise de dados
Novos Alvos Identificados?
[No]
[Sim]
Iniciar Anlise
Dados Suficientes?
Reiniciar Tratamento [No]
[Sim]
Processos de Anlise
Responder:Quem/O que?, Quando?, Onde?, Como?, Por que?
Utilizar os processos de anlise para obter as respostas
Anlise de Emails
Anlise de Documentos
Anlise de Artefatos Web
Anlise de Artefatos de SO
Recuperao de Arquivos Apagados
Anlise de Hash
Comparao de Baseline
Existe Informao Incriminante fora do
escopo inicial?[Sim]Abrir uma Nova Investigao
[No]
Requisitar Informaes
[Sim]
Se obtidas, analisar relevncia dos dados
levantados e relacionamento com
dados atuais
Preparar Relatrio
Informaes Suficientes para Concluir?
[Sim]
[No][No]
Outras Anlises Especficas
NecessrioInformaes fora das permisses diretas do
investigador?
Metodologia base (cont.)
Forense Digital Anlise de dados (cont.) As a.vidades de anlise devem ter como obje.vo responder s
seguintes questes (Heptmetro de Quin%liano): QUIS? Quem? QUID? O qu? UBI? Onde? QUIBUS AUXILIIS? Com que auxlio? CUR? Por qu? QUODOMO? De que modo? QUANDO? Quando?
Metodologia base (cont.)
Relatrio Obje.vo: criar documentao que descreva precisamente os detalhes do
incidente Recomendaes:
Documente imediatamente Escreva de forma concisa e clara Siga um padro e um modelo
Metodologia base (cont.)
70
19/11/12
Relatrio (cont.)
Metodologia base (cont.)
71
19/11/12
Relatrio (cont.) Recurso visual: Vmeline
Pessoas
Dez aptides essenciais
73 19/11/12
1. COMUNICAO ORAL E ESCRITA
4. DIPLOMACIA
6. INTEGRIDADE PESSOAL
7. CONHECER SEUS LIMITES
5. TRABALHO EM EQUIPE
9. SOLUO DE PROBLEMAS
10. GERENCIAMENTO DO TEMPO
2. APRESENTAO
3. POLTICAS E PROCEDIMENTOS
8. ADMINISTRAR O ESTRESSE
Dez aptides essenciais (cont.)
1. Ter comunicao oral e escrita correta.
2. Ter boa apresentao pessoal (aparncia e ves.mentas).
3. Saber a importncia de seguir risca pol.cas e procedimentos.
4. Munir-se de diplomacia.
5. Saber trabalhar em equipe.
6. Ser ntegro.
7. Conhecer seus limites.
8. Saber administrar o estresse e lidar com presso.
9. Ter faro para a soluo de problemas.
10. Saber gerenciar o tempo.
Seis domnios tcnicos
1. TCNICAS DE ANLISE
6. SISTEMAS OPERACIONAIS
5. PROGRAMAO 2. FERRAMENTAS DE RESPOSTA A INCIDENTES
4. REDES 3. SEGURANA DA INFORMAO
Entidades e associaes
Certificaes
l GCIH GIAC Cer.ed Incident Handler hsp://www.giac.org/cer.ca.on/cer.ed-incident-handler-gcih
l GCIA GIAC Cer.ed Intrusion Analyst
hsp://www.giac.org/cer.ca.on/cer.ed-intrusion-analyst-gcia
l GCFA GIAC Cer.ed Forensic Analyst hsp://www.giac.org/cer.ca.on/cer.ed-forensic-analyst-gcfa
Tecnologia
Diversas reas de atuao
79
Domnios da Forense Digital
Computadores
Servidores e estaes Discos e mdias removveis
Memria
Disposi%vos mveis
Rede
Trfego de rede
Sistemas
Logs de sistemas
Diversas formas de atuar
80
Tcnicas u%lizadas pelas solues l Normalmente so u.lizadas tcnicas especcas para cada caso,
mas tambm podem variar conforme a demanda.
Coleta Post-Mortem
Discos e mdias
removveis
Disposi.vos mveis
Coleta Live
Trfego de rede
Servidores e estaes (ligados)
Coleta Remota
Logs de sistemas
Servidores e estaes (ligados)
Forense de disco
81
Computadores
Servidores e Estaes Discos e mdias removveis
Denio: o .po de forense tradicional, onde as evidncias
so os dados gravados em mdias e disposi.vos de armazenamento eletrnico em geral.
Insumos para evidncias: l Discos rgidos (internos) e mdias removveis,
usualmente com coleta post mortem (podendo ser tambm live e remota, atravs de agentes).
Forense de memria
82
Computadores
Servidores e Estaes Memria
Denio: o .po de forense onde as evidncias so ob.das a
par.r de dumping e anlise dos dados armazenados em memria RAM (vol.l).
Insumos para evidncias: l Memria RAM, com coleta live (normalmente remota,
atravs de agentes).
Forense de dispositivos mveis
83
Computadores
Disposi%vos Mveis
Denio: o .po de forense realizada em telefones celulares,
smartphones, tablets, GPSs, etc. Os dados gravados nestes disposi.vos, tais como fotos, mensagens SMS, registros de ligaes, entre outros podem ser usados como evidncias.
Insumos para evidncias: l Imagem lgica (arquivos, registros) ou zsica (bit-a-bit),
coletados geralmente post mortem, com acesso zsico ao disposi.vo.
Forense de rede
84
Rede
Trfego de rede
Denio: a captura, armazenamento e anlise de dados
trafegados numa rede de computadores para detectar a origem de algum problema de segurana ou algum outro incidente.
Insumos para evidncias: l Trfego de rede, usualmente com coleta live (podendo
ser tambm post mortem).
Anlise de Logs
85
Sistemas
Logs
Denio: a captura, armazenamento e anlise de eventos
gerados pelos sistemas (SO, bancos de dados, aplicaes, etc.) que podem ser usados como evidncias.
Insumos para evidncias: l Logs (registros em trilhas de auditoria), com coleta local
ou remota (ferramentas de SIEM e log management), live ou post mortem.
Integrao entre solues de RI
86
Obje.vando visibilidade, conscincia situacional e resposta asser%va
Forense e Remediao de Hosts
Forense de
Rede
Gesto de
Eventos
Parte IV
Concluindo
Benefcios
O modelo baseado em RI vs Preveno/Deteco convencional: Monitorao feita de maneira integrada traz visibilidade sobre os
domnios (Rede, Hosts, Sistemas) e contextualizao sobre os incidentes.
Iden%cao focada em ameaas e impactos reais, conforme o contexto da organizao (ambiente e negcio).
Inves%gao elucida.va que suporte aes (operacionais e legais) posteriores, visando melhorias.
Resoluo que viabilize reao asser.va.
Bibliografia recomendada
Incident Response & Computer Forensics (Kevin Mandia, Chris Prosise, Ma; Pepe)
Real Digital Forensics: Computer Security and Incident Response (Keith Jones, Richar Bejtlich, Cur.s Rose) Cyber Crime Inves%ga%ons (Anthony Reyes)
Servidos prestados pela TBFD
ANLISE FORENSE
IMPLANTAO DE PROCESSOS
DIAGNSTICOS DE COMPROMETIMENTO
INCIDENT RESPONSE TEAM
IMPLANTAO DE CSIRT
Marcelo de Souza Consultor Snior [email protected] www.marcelosouza.com @marcelo_sz
Fim