Cnasi sp apresentação marcelo souza

of 91 /91
© 2012 TechBiz Forense Digital LTDA. Todos os direitos reservados. Auditando as falhas das camadas de proteção/detecção Marcelo de Souza Consultor Forense Sênior CNASISP, 22 de Outubro de 2012
  • date post

    19-Oct-2014
  • Category

    Technology

  • view

    615
  • download

    1

Embed Size (px)

description

¨Auditando as falhas das camadas de proteção e detecção¨ - Palestra realizada pelo consultor sênior da TechBiz Forense Digital, Marcelo Souza, no CNASI Latino Americano 2012.

Transcript of Cnasi sp apresentação marcelo souza

20121022_CNASI_Tutorial_v2_SpeakerDeck.pptx

2012 TechBiz Forense Digital LTDA. Todos os direitos reservados.

Auditando as falhas das camadas de proteo/deteco

Marcelo de Souza Consultor Forense Snior

CNASI-SP, 22 de Outubro de 2012

Sobre o tutorial

Obje%vo Apresentar e discu.r falhas encontradas na abordagem comumente

empregada para SegInfo. Auditar, ou seja, realizar anlise cr.ca sobre a ecincia e eccia das

tecnologias e processos de SegInfo convencionais. Compar.lhar conhecimento e experincia sobre como melhorar o

processo de SegInfo como um todo, e no somente apontar os problemas.

Metodologia Explanaes tericas. Demonstraes pr.cas (cenrios e ferramentas).

Tpicos

3

l Parte I Entendendo a problem%ca l Mo.vao

l Teorias e pr.cas convencionais de SegInfo

l Analisando a SegInfo convencional

l Auditando as falhas

l Parte II Encontrando solues

l Premissas para uma abordagem diferenciada de SegInfo

l SegInfo baseada em Resposta a Incidentes

Tpicos (cont.)

4

l Parte III Viabilizando Resposta a Incidentes efe%va l Viso Geral de Resposta a Incidentes e Forense Digital

l Processos

l Pessoas

l Tecnologia

l Parte IV Concluindo

Parte I

Entendendo a problem.ca

Motivao

Incidentes... sempre!

Incidentes de segurana con%nuam acontecendo, apesar dos esforos

Disseminao do malware STUXNET para sabotar usinas nucleares do Ir

Invases e DoS a websites do Governo

Estamos mesmo nos esforando?

Conhecimento dos Atacantes vs. Sos%cao dos Ataques Ao passar dos anos o conhecimento necessrio para o mal diminui, mas a

sos.cao dos ataques aumentou. Se cou mais fcil atacar, no h algo errado com os esforos em SegInfo?

Quo fcil atacar hoje em dia?

Dois exemplos:

Invaso para roubo de dados (bancrios, etc.), criao de botnets, etc. 1. Copiar artefato malicioso j disponvel na Internet ou criar um 2. Enviar e-mail para o alvo, anexando o artefato ou link para ele (web) 3. Esperar o alvo abrir o artefato e comprometer a mquina (explorar browsers, Java,

Acrobat Reader, etc.) 4. Receber os resultados

Ataques de DDoS 1. Alugar uma botnet, ou ter uma (at mesmo a do exemplo anterior) 2. Especicar um alvo e disparar o ataque

Quo sofisticado?

Malware e mecanismos de Comando e Controle (C&C)

V%ma Criminosos

Envio de comandos e atualizaes

Data Exfiltration

Im here, infec.on successful Wai.ng for instruc.ons

Stay quiet, be pa.ent. Send applica.on creden.als. Use user account, transfer funds. Install new malware, new orders. Look for high prole assets. Send plans, formulas, secrets

Command-and-Control

(C&C)

Transaes Fraudulentas

Propriedade Intelectual

Credenciais de Aplicaes / Clientes

Teorias e Prticas Convencionais de SegInfo

Definies e conceitos

Obje.vo da Segurana da Informao Proteger a%vos de informao contra ameaas que possam afetar a sua:

Condencialidade: apenas usurios autorizados podem ter acesso informao

Integridade: informao deve ser man.da no estado deixado pela l.ma operao vlida e autorizada

Disponibilidade: informao deve estar acessvel aos usurios autorizadas no momento em que for necessria

Anlise de riscos

Modelo matem.co R = V x A / C

Permetro / DMZ

Rede Interna Acesso Remoto

Internet

Rede Wireless

Segurana em profundidade

Analisando a SegInfo Convencional

SegInfo convencional

Evitar que algo acontea

Detectar o que pode estar acontecendo

Reagir a um incidente, realizando conteno

Recuperar o ambiente e corrigir

problemas

Obje%vos das etapas (processo) e camadas (tecnologia)

SegInfo convencional (cont.)

Vou sempre prevenir, detectando apenas as possveis excees, reagindo e remediando conforme necessrio.

Presume-se que a preveno, via de regra, sempre

funciona

Deteco age como backup da preveno

Reao somente quando a

preveno e deteco falharem

Remediao aps a reao

SegInfo convencional (cont.)

Ou ainda: Vou remediar como forma de reagir a algo que detectei, quando eventualmente no conseguir prevenir.

A segurana do ambiente est toda baseada na preveno...

...e na deteco

A reao acaba sendo...

...a prpria remediao

SegInfo, as we know it

Estou constantemente reagindo e/ou remediando, j que no pude detectar a tempo e minha preveno no foi ecaz.

Preveno falhou Deteco tardia, ou noZcia

Reao constante e no

susto

Remediao constante

SegInfo, as we know it (cont.)

Na pr%ca acaba se tornando:

Auditando as falhas

Listando as falhas em geral

Falhas da abordagem convencional de SegInfo:

Preveno no 100% efe.va, logo no funciona como deveria.

Basta uma possvel exceo ter sucesso para toda abordagem falhar.

Reao muitas vezes desfavorecida, pois a organizao prioriza a preveno.

Remediao constante, tambm muitas vezes inecaz.

Cria-se a falsa sensao de segurana ao conar nessa abordagem.

Listando as falhas em geral (cont.)

Em outras palavras:

Sempre haver mais ameaas do que se pode enfrentar.

Preveno inglria

Enxerga-se menos do que realmente acontece.

Deteco mope Impossvel reagir de

forma completa sem saber exatamente quando, o que e como algo aconteceu.

Reao tardia e limitada

Impossvel remediar em deni.vo sem conhecer a extenso dos danos.

Remediao palia.va

Falhas especficas: firewall

Solues convencionais de ltragem de protocolos de rede

Funcionamento: Normalmente libera o trfego que explicitamente permi.do na organizao,

bloqueando todo o resto.

Falhas: Muitas vezes possui congurao excessivamente permissiva. Trfego web e e-mail, obviamente liberado, concentra pra.camente a

totalidade dos vetores de ataque. Talvez no possa ser considerada uma soluo de segurana at all, apesar de

muitos discordarem.

Falhas especficas: antivrus

Solues de an%vrus, an.-malware, etc.

Funcionamento: Verica se um arquivo possui padro malicioso j conhecido. necessrio que a base de assinaturas seja constantemente atualizada. Para cada novo malware e suas variantes, o fabricante precisa lanar

atualizaes.

Falhas: Padres devem ser previamente conhecidos (modelo de segurana nega.vo

blacklist). Proteo suscervel a anulao mesmo em pequenas modicaes de

malware. Alto ndice de falsos nega.vos. Nenhuma proteo em casos de zero day.

Falhas especficas: antivrus (cont.)

Estudo mostra: se o AV no detectar um malware novo em 6 dias, ele nunca ir (hsp://www.theregister.co.uk/2012/08/23/an._virus_detec.on_study/)

O estudo tambm mostrou que aps 30 dias, as solues de AV detectaram menos do que no primeiro dia de testes.

Falhas especficas: antivrus (cont.)

Demonstrao

1. Cdigo-fonte de um malware simples

2. Vdeo do funcionamento do malware

3. Vdeo da vericao u.lizando VirusTotal (www.virustotal.com)

4. Relatrio da vericao do malware u.lizando GFI Sandbox (www.threasrack.com)

Falhas especficas: IDS/IPS

Solues de deteco de intruso em rede

Funcionamento: Capturam o trfego e vericam a equivalncia com conjunto de assinaturas

pr-denido.

Falhas: Padres devem ser previamente conhecidos. Deteco suscervel a anulao mesmo em pequenas modicaes. Nenhuma deteco em casos de zero day. Deteco suscervel a falsos nega.vos. Alto ndice de falsos posi.vos, dicultando sua monitorao.

E as tecnologias levam a culpa?

No se esqueam que SegInfo mais que um produto... ProPeTec!

Pessoas

Tecnologia

Processos

ProPeTec e as falhas

De forma detalhada, o impacto de cada domnio e suas relaes

Processos Pessoas Tecnologia

Preveno Congurao, atualizao e manuteno irregular

No existe equipe Head count

insuciente No exclusivas

para SegInfo Ausncia de

preparao e treinamento

Inecaz, no funcionando como deveria

Muitos falsos nega.vos

Deteco Procedimentos de monitorao no so denidos / seguidos

Ineciente, no funcionando como deveria

Muitos falsos posi.vos e falsos nega.vos

Reao Procedimentos raramente existem

Muitas vezes ausente

Remediao

ProPeTec e as falhas (cont.)

Resumindo

Processos

No existem Quando existem, no so bem denidos e divulgados

Procedimentos e ro.nas de incompletas

Pessoas

No existe equipe Quando existe, pouco preparada / treinada

Head count insuciente

No exclusivas para SegInfo

Tecnologia

Sistemas de preveno inecazes

Sistemas de deteco tradicional inecientes

Muitos falsos posi.vos e falsos nega.vos

Ausncia de soluo de reao e/ou remediao

Parte II

Encontrando solues

Premissas para uma abordagem diferenciada de SegInfo

Outra tica: Time Based Security

Seguindo o conceito de TBS: Um sistema de proteo/preveno (p) pode ser considerado seguro se

funcionar por mais tempo que o tempo de deteco (d) somado ao tempo de reao (r) a um incidente:

Como vimos, a preveno falha. Logo, o tempo de proteo passa a ser na verdade tempo de exposio (e), que ir durar at a concluso da reao

Referncia: Time Based Security (Winn Schwartau)

Te = Td + Tr

Tp > Td + Tr

Se no houver deteco e/ou reao (logo, ambos tendendo ao innito), ento o sistema estar sempre exposto:

Concluso: deteco e reao so importantes e teis, porm somente se forem rpidas (ecientes) e produzirem resultados (ecazes).

Te

Time Based Security a chave

SegInfo, as it should be

Outras premissas

Foco em tecnologias de preveno j se mostrou equivocado. No vale pena concentrar esforos e depender apenas disso.

As solues de deteco convencionais no so sucientes. Porm ainda precisamos monitorar o que acontece no ambiente.

E quando algum incidente acontece? Precisamos reagir. Para isso necessrio iden%car a ocorrncia, inves%gar

causas e resolver os issues, de modo que a resposta seja completa.

Ento o foco passa a ser somente em responder aos incidentes? O foco deve ser num conjunto de capacidades que permi.ro mi.gar riscos e impactos ao negcio.

SegInfo baseada em Resposta a Incidentes

Abordagem baseada em RI

Conjunto de capacidades integradas para maior efe%vidade de SegInfo

Resposta a

Incidentes

Monitorao

Iden.cao

Inves.gao

Resoluo

Abordagem baseada em RI (cont.)

Monitorao, Iden%cao, Inves%gao e Resoluo, usando ProPeTec

Monitorao

Iden.cao

Inves.gao

Resoluo

Abordagem baseada em RI (cont.)

Benedcios

Visibilidade

Conscincia Situacional

Resposta Asser%va

Parte III

Viabilizando Resposta a Incidentes efe.va

Viso Geral de Resposta a Incidentes e Forense Digital

Conceitos

Incidente de segurana Qualquer ao ilegal, inaceitvel ou no autorizada que envolva um

sistema ou rede de computadores

Resposta a incidente (RI) Processo que visa a iden.cao, inves.gao e resoluo de um

incidente

Forense Digital Disciplina focada na descoberta, extrao e inves.gao de evidncias

a par.r de meios digitais (computadores, celures,)

DFIR Digital Forensics and Incident Response, sigla muito u.lizada

Conceitos (cont.)

44

Evento / Ataque / Incidente / Crime

l Um evento caracterizado por uma ao executada num alvo. Representar um ataque ou violao quando ferramentas forem u.lizadas para explorarem falhas, produzindo resultados no autorizados.

l Quando houver sucesso nos obje.vos de um agente qualquer ao executar um ataque, estar ento caracterizado um incidente. Dependendo do alvo, obje.vos, resultado e agente, poder este incidente ser caracterizado como crime.

A Common Language for Computer Security Incidents (hsp://www.cert.org/research/taxonomy_988667.pdf)

Conceitos (cont.)

45

A Common Language for Computer Security Incidents (hsp://www.cert.org/research/taxonomy_988667.pdf)

Normas e Regulamentaes

ISO 27002, seo 13

PCI DSS, requisito 12.9 Implement an incident response plan, be prepared to respond immediately to a system breach

SOx Resposta a Incidentes pode ajudar a fornecer accountability.

Times de Resposta a Incidentes

47

Siglas u%lizadas: l CSIRT - Computer Security Incident Response Team l FIRST - Forum of Incident Response and Security Teams l CIRC - Computer Incident Response Capability l CIRT - Computer Incident Response Team l IRC - Incident Response Center l IRT - Incident Response Team l SERT - Security Emergency Response Team l SIRT - Security Incident Response Team

Times de Resposta a Incidentes (cont.)

48

CSIRTs no Brasil

Times de Resposta a Incidentes (cont.)

49

Desdobramentos recentes: Defesa cibern%ca

Demanda por Forense Digital

50

l Todos incidentes iden.cados demandam alguma ao em resposta.

l Essa ao pode ter como obje.vos: l Determinar as consequncias

l Como prosseguir aps essa ocorrncia? Quais sero os prximos passos?

l Quan.car prejuzos l Qual o impacto, seja ele nanceiro, de imagem, moral, etc.?

l Denir a.vidades de recuperao, correo, etc. l O que precisa ser feito para reestabelecer a normalidade?

l Denir sanes, multas, penas, etc. l Quem precisa ser punido? O que exatamente jus.caria a punio?

Demanda por Forense Digital (cont.)

51

l Para a.ngir estes obje.vos, certamente ser necessrio descobrir e comprovar: l A ocorrncia do incidente e sua extenso

l As causas (fatores que levaram ou permi.ram sua ocorrncia)

l Os causadores (acidentais ou propositais)

l Sempre que se deseja descobrir e comprovar algo sobre um incidente, uma inves.gao se faz necessria.

l Estas inves.gaes so suportadas por a.vidades, ferramentas e prossionais de Forense Digital.

Demanda por Forense Digital (cont.)

52

l Diversas reas organizacionais e situaes podem demandar Forense Digital. Alguns exemplos:

Percia Criminal

Crimes envolvendo uso de computadores (pirataria, pedolia, etc.)

Segurana da Informao

Defacement de sites

Vazamento de informaes

Ataques de DoS

Auditoria

M conduta de funcionrio

Sonegao tributria

Fraudes

Inteligncia

Inves.gao de a.vidade suspeita

Espionagem

Defesa Cibern.ca

Sabotagem de sistemas cr.cos

Ataques contra infraestrutura da nao

Processos

Importncia dos processos para RI

54

l Metodologia com processos formais prov benezcios: l Previne respostas precipitadas, incorretas ou incoerentes.

l Conrma ou nega a ocorrncia de um incidente e sua extenso.

l Estabelece controles para a correta manipulao de provas.

l Promove resoluo e reparao mais rpidas.

l Minimiza a exposio e o comprome.mento de informaes.

l Favorece a resposta a futuros incidentes com lies aprendidas.

Fonte: Dening Incident Management Processes for CSIRTs: A Work in Progress. (hOp://www.cert.org/archive/pdf/04tr015.pdf)

Metodologia CERT CC

Fonte: NIST Special Publica.on 800-61 Revision 2 (pdf)

Metodologia NIST

Preparao pr-

incidente Deteco Resposta Inicial

Formulao da

estratgia

Coleta de dados

Anlise de dados Relatrio

Forense Digital

Conteno Recuperao

Implementao de medidas

Detalhando uma metodologia

Metodologia detalhada (base para referncia)

Monitorao Iden%cao Inves%gao

Resoluo

Metodologia base

Preparao pr-incidente Chave para o sucesso Deve-se preparar a organizao para que RI possa acontecer

Pol.cas (AUP, etc), procedimentos, etc. Modelos de documentao e formulrios Equipe (CSIRT) e treinamentos So{ware e hardware para deteco, inves.gao e resposta

Ningum quer se preparar aps o pior acontecer...

Metodologia base (cont.)

Deteco Sem deteco eciente e ecaz, no existe resposta Parte crucial do TBS Pode acontecer de vrias formas (vrios canais) O mximo de informaes deve ser registrado. Ex.: data/hora, o qu foi

reportado, natureza, a.vos envolvidos, pontos de contato.

Metodologia base (cont.)

Resposta inicial Obter / centralizar todas informaes possveis Determinar .po do incidente e seu impacto Listar possveis passos a seguir No envolve coleta direta no equipamento, e sim:

Entrevistas com usurios e administradores Vericao de relatrios das ferramentas de monitorao Reviso de logs de equipamentos de rede

O mnimo aqui determinar se houve mesmo um incidente

Metodologia base (cont.)

Formulao da estratgia de resposta Determinar como ser a resposta, dadas as circunstncias:

Pol.cas Tcnicas Legais Negcio

Estratgia nal denida pelo(s) lder(es) da equipe Certamente o vazamento de um projeto condencial ter resposta

diferente de usurio recebendo e-mail de phishing

Metodologia base (cont.)

Formulao da estratgia de resposta (cont.) Algumas questes importantes:

Qual a cri.cidade do sistema afetado? Quo sensvel a informao comprome.da? Quem so os perpetradores potenciais? O incidente foi a pblico? Qual o nvel de acesso ob.do pelo atacante? Qual a habilidade tcnica aparente do atacante? Quanto tempo de indisponibilidade est envolvido? Quanto de perda nanceira?

Metodologia base (cont.)

Formulao da estratgia de resposta (cont). Exemplos de estratgias:

Fonte: Incident Response & Computer Forensics (Kevin Mandia)

Metodologia base (cont.)

Forense Digital Obje.vo: descobrir quem, o qu, quando, onde, como e por qu Conduzida com base nas evidncias encontradas nos sistemas, entre

outras Duas etapas bsicas:

Coleta de dados: Anlise de dados

Metodologia base (cont.)

Forense Digital Coleta de dados

Acumular fatos e provas sobre o incidente Quanto mais completa a coleta, maior a possibilidade de sucesso Outros desaos nicos desta etapa:

Os dados devem ser coletados de forma forense Normalmente so coletados mais dados do que se pode analisar Os dados devem ser manipulados de modo que a integridade seja man.da

Metodologia base (cont.)

Forense Digital Coleta de dados (cont.)

Exemplos de evidncias digitais: Arquivos (imagens, vdeos, documentos, executveis, etc.) Histrico de conversas em IM (MSN, Skype, etc.) Histrico de navegao na web (browsers), cookies e bookmarks E-mails Trfego de rede capturado Logs de servidores

Metodologia base (cont.)

Forense Digital Anlise de dados

Novos Alvos Identificados?

[No]

[Sim]

Iniciar Anlise

Dados Suficientes?

Reiniciar Tratamento [No]

[Sim]

Processos de Anlise

Responder:Quem/O que?, Quando?, Onde?, Como?, Por que?

Utilizar os processos de anlise para obter as respostas

Anlise de Emails

Anlise de Documentos

Anlise de Artefatos Web

Anlise de Artefatos de SO

Recuperao de Arquivos Apagados

Anlise de Hash

Comparao de Baseline

Existe Informao Incriminante fora do

escopo inicial?[Sim]Abrir uma Nova Investigao

[No]

Requisitar Informaes

[Sim]

Se obtidas, analisar relevncia dos dados

levantados e relacionamento com

dados atuais

Preparar Relatrio

Informaes Suficientes para Concluir?

[Sim]

[No][No]

Outras Anlises Especficas

NecessrioInformaes fora das permisses diretas do

investigador?

Metodologia base (cont.)

Forense Digital Anlise de dados (cont.) As a.vidades de anlise devem ter como obje.vo responder s

seguintes questes (Heptmetro de Quin%liano): QUIS? Quem? QUID? O qu? UBI? Onde? QUIBUS AUXILIIS? Com que auxlio? CUR? Por qu? QUODOMO? De que modo? QUANDO? Quando?

Metodologia base (cont.)

Relatrio Obje.vo: criar documentao que descreva precisamente os detalhes do

incidente Recomendaes:

Documente imediatamente Escreva de forma concisa e clara Siga um padro e um modelo

Metodologia base (cont.)

70

19/11/12

Relatrio (cont.)

Metodologia base (cont.)

71

19/11/12

Relatrio (cont.) Recurso visual: Vmeline

Pessoas

Dez aptides essenciais

73 19/11/12

1. COMUNICAO ORAL E ESCRITA

4. DIPLOMACIA

6. INTEGRIDADE PESSOAL

7. CONHECER SEUS LIMITES

5. TRABALHO EM EQUIPE

9. SOLUO DE PROBLEMAS

10. GERENCIAMENTO DO TEMPO

2. APRESENTAO

3. POLTICAS E PROCEDIMENTOS

8. ADMINISTRAR O ESTRESSE

Dez aptides essenciais (cont.)

1. Ter comunicao oral e escrita correta.

2. Ter boa apresentao pessoal (aparncia e ves.mentas).

3. Saber a importncia de seguir risca pol.cas e procedimentos.

4. Munir-se de diplomacia.

5. Saber trabalhar em equipe.

6. Ser ntegro.

7. Conhecer seus limites.

8. Saber administrar o estresse e lidar com presso.

9. Ter faro para a soluo de problemas.

10. Saber gerenciar o tempo.

Seis domnios tcnicos

1. TCNICAS DE ANLISE

6. SISTEMAS OPERACIONAIS

5. PROGRAMAO 2. FERRAMENTAS DE RESPOSTA A INCIDENTES

4. REDES 3. SEGURANA DA INFORMAO

Entidades e associaes

Certificaes

l GCIH GIAC Cer.ed Incident Handler hsp://www.giac.org/cer.ca.on/cer.ed-incident-handler-gcih

l GCIA GIAC Cer.ed Intrusion Analyst

hsp://www.giac.org/cer.ca.on/cer.ed-intrusion-analyst-gcia

l GCFA GIAC Cer.ed Forensic Analyst hsp://www.giac.org/cer.ca.on/cer.ed-forensic-analyst-gcfa

Tecnologia

Diversas reas de atuao

79

Domnios da Forense Digital

Computadores

Servidores e estaes Discos e mdias removveis

Memria

Disposi%vos mveis

Rede

Trfego de rede

Sistemas

Logs de sistemas

Diversas formas de atuar

80

Tcnicas u%lizadas pelas solues l Normalmente so u.lizadas tcnicas especcas para cada caso,

mas tambm podem variar conforme a demanda.

Coleta Post-Mortem

Discos e mdias

removveis

Disposi.vos mveis

Coleta Live

Trfego de rede

Servidores e estaes (ligados)

Coleta Remota

Logs de sistemas

Servidores e estaes (ligados)

Forense de disco

81

Computadores

Servidores e Estaes Discos e mdias removveis

Denio: o .po de forense tradicional, onde as evidncias

so os dados gravados em mdias e disposi.vos de armazenamento eletrnico em geral.

Insumos para evidncias: l Discos rgidos (internos) e mdias removveis,

usualmente com coleta post mortem (podendo ser tambm live e remota, atravs de agentes).

Forense de memria

82

Computadores

Servidores e Estaes Memria

Denio: o .po de forense onde as evidncias so ob.das a

par.r de dumping e anlise dos dados armazenados em memria RAM (vol.l).

Insumos para evidncias: l Memria RAM, com coleta live (normalmente remota,

atravs de agentes).

Forense de dispositivos mveis

83

Computadores

Disposi%vos Mveis

Denio: o .po de forense realizada em telefones celulares,

smartphones, tablets, GPSs, etc. Os dados gravados nestes disposi.vos, tais como fotos, mensagens SMS, registros de ligaes, entre outros podem ser usados como evidncias.

Insumos para evidncias: l Imagem lgica (arquivos, registros) ou zsica (bit-a-bit),

coletados geralmente post mortem, com acesso zsico ao disposi.vo.

Forense de rede

84

Rede

Trfego de rede

Denio: a captura, armazenamento e anlise de dados

trafegados numa rede de computadores para detectar a origem de algum problema de segurana ou algum outro incidente.

Insumos para evidncias: l Trfego de rede, usualmente com coleta live (podendo

ser tambm post mortem).

Anlise de Logs

85

Sistemas

Logs

Denio: a captura, armazenamento e anlise de eventos

gerados pelos sistemas (SO, bancos de dados, aplicaes, etc.) que podem ser usados como evidncias.

Insumos para evidncias: l Logs (registros em trilhas de auditoria), com coleta local

ou remota (ferramentas de SIEM e log management), live ou post mortem.

Integrao entre solues de RI

86

Obje.vando visibilidade, conscincia situacional e resposta asser%va

Forense e Remediao de Hosts

Forense de

Rede

Gesto de

Eventos

Parte IV

Concluindo

Benefcios

O modelo baseado em RI vs Preveno/Deteco convencional: Monitorao feita de maneira integrada traz visibilidade sobre os

domnios (Rede, Hosts, Sistemas) e contextualizao sobre os incidentes.

Iden%cao focada em ameaas e impactos reais, conforme o contexto da organizao (ambiente e negcio).

Inves%gao elucida.va que suporte aes (operacionais e legais) posteriores, visando melhorias.

Resoluo que viabilize reao asser.va.

Bibliografia recomendada

Incident Response & Computer Forensics (Kevin Mandia, Chris Prosise, Ma; Pepe)

Real Digital Forensics: Computer Security and Incident Response (Keith Jones, Richar Bejtlich, Cur.s Rose) Cyber Crime Inves%ga%ons (Anthony Reyes)

Servidos prestados pela TBFD

ANLISE FORENSE

IMPLANTAO DE PROCESSOS

DIAGNSTICOS DE COMPROMETIMENTO

INCIDENT RESPONSE TEAM

IMPLANTAO DE CSIRT

Marcelo de Souza Consultor Snior [email protected] www.marcelosouza.com @marcelo_sz

Fim