ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de...
DESCRIPTION
TRANSCRIPT
![Page 1: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/1.jpg)
1
Giovani ThibauDiretor Executivo
Sócio Fundador
![Page 2: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/2.jpg)
Alto
Baixo1980 1985 1990 1995 2008+
adivinhação de senhas
código auto-replicante
quebra de senhas
exploração de vulnerabilidades conhecidas
desabilitar audit
back doors
sequestro
de sessões
sweepers
sniffers
packet spoofing
Interface grafica
varreduras automatizadas
negação de serviço
ataques WWW
Técnicas
Atacantes
Conhecimento
Atacante
Sofisticação
Ataque
técnicas avançadas
de scan stealth
Invasões av.
gerenciamento de redes
ferramentas de
ataques distribuidos
cross site scripting
ataques
em fases
bots
Fonte: CERT
Complexidade dos Ataques vs
Conhecimento Necessário
![Page 3: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/3.jpg)
Cenário de Ameaças Global
Economia Underground – Grupos de Criminosos:
Organização: Alta
Capacidade: Alta
Intenção: Alta | ganho financeiro
ex: “Kneber” ZeuS BotNet – informações
vendidas para qualquer um
Atividades Patrocinadas por Nações: Deste coleta
de inteligência a CiberGuerra
Organização: Alta
Capacidade: Alta
Intenção: Atrelada a políticas nacionais
Operação Aurora, Titan Rain, Russia-
>Estônia/Georgia.
Agentes não-Estatais
Crescente Interesse de grupos radicais /
extremistas em “ciberterrorismo”
“Hacking as a service”
![Page 4: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/4.jpg)
Economia Underground de Crimes Digitais
Drop Sites
Phishing Keyloggers
Botnet
OwnersSpammers
Botnet
Services
Malware
Distribution
Service
Data
Acquisition
Service
Data
Mining &
Enrichment
Data
SalesCashing $$$
Malware
Writers
Identity
Collectors
Credit
Card Users
Master
Criminals
Validation
Service(Card Checkers)
Card
Forums
ICQ
eCommerce
Site
Retailers
Banks
eCurrency
Drop
Service
Wire
Transfer
GamblingPayment
Gateways
Fonte: NetWitness
![Page 5: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/5.jpg)
1. EUA projeta um novo caça “Joint Strike Fighter,
5th Generation” para uso próprio e países aliados.
Custo do projeto: US$ 300.000.000.000,00
2. China rouba informações confidenciais sobre o
projeto através de ataques computacionais a
empreiteira militar fabricante do caça.
3. Comando Militar americano reavalia a efetividade
do caça devido à nova tecnologia nos sistemas
de defesa adversários (radares, mísseis terra-ar).
4. 2500 caças JSF deixam de ser produzidos
pelos EUA. A China os derruba sem ter dado
nenhum tiro.
Ameaças Avançadas e Persistentes
CiberEspionagem 2009/2010
Ref: http://is.gd/djIvz
![Page 6: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/6.jpg)
![Page 7: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/7.jpg)
Cadeia de Destruição:
Evolução de um Ataque Temporalmente
![Page 8: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/8.jpg)
TECHNICAL REPORT
CMU/SEI-2004-TR-015
Gerenciamento de Incidentes para CSIRTs
![Page 9: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/9.jpg)
TECHNICAL REPORT
CMU/SEI-2004-TR-015
ESC-TR-2004-015
Gerenciamento de Incidentes para CSIRTs
![Page 10: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/10.jpg)
Falha
Dinâmica de um Incidente Digital
Objetivos
INCIDENTE
Agente
Resultado
não
autorizado
ATAQUE
Ferramentas Falha Alvo
EVENTO
Ação
John D. Howard e Thomas A. Longstaff
A Common Language for Computer Security Incidents
http://www.cert.org/research/taxonomy_988667.pdf
![Page 11: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/11.jpg)
Importância da Reação com Inteligência –
Resposta a Incidentes / Forense Computacional
Por mais que você invista em
prevenção/proteção, incidentes
continuarão ocorrendo
Por mais que você invista em
detecção, incidentes chegarão à
você por notificações
Você precisa estar preparado
para responder à Incidentes de
Segurança
Uma Reação adequada requer
priorização, treinamento,
processos bem definidos e
tecnologia adequada
![Page 12: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/12.jpg)
TBS – Time Based Security: Pt ~ Dt + Rt
“Proteção requer detectar um ataque e reagir a tempo”
Proteção = Tempo Detecção + Tempo Reação cedo na Cadeia acima.
Exposição = Tempo Detecção + Tempo Reação inexistente ou tardio.
diagramas: Mike Cloppert – Sans Institute
Conceito TBS: Winn Schwartau
• Identificação das consequências do ataque pode ser mais fácil que detectar o ataque
• Cadeia de Destruição – sequência de eventos de efeito de uma ameaça em um alvo:
Foco de Atenção: Ênfase na *Ameaça*
![Page 13: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/13.jpg)
Atribuição de Autoria – Muito além da
identificação de endereços IP
1)Timing
2) Vítimas/Alvos
3) Origem
4) Mecanismo de Entrada
5) Vulnerabilidade ou Exposição
6) Exploit ou Payload
7) Armamento (Weaponization)
8) Atividade pós-exploração
9) Método de Comando e Controle
10) Servidores de Comando e Controle
11) Ferramentas
12) Mecanismo de Persistência
13) Método de Propagação
14) Dados Alvo
15) Compactação de Dados
16) Modo de Extrafiltração
17) Atribuição Externa
18) Grau de Profissionalismo
19) Variedade de Técnicas utilizadas
20) Escopo
Identificação das
consequências do
ataque pode ser mais
fácil que detectar o
ataque
![Page 14: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/14.jpg)
Diferentes Níveis de Importância Estratégica
Diferentes Categorias de Ameaças e Intrusão
diagrama: - David Ross – GFIRST/Mandiant
![Page 15: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/15.jpg)
Cyber Segurança – uma crise de priorização
NCO/NITRD –National Coordination Office / Networking
and Information Technology Research and Development
![Page 16: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/16.jpg)
NCO/NITRD - Priorizações Recomendadas
NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43
![Page 17: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/17.jpg)
Reação: Processo e Tecnologias
Mídia Memória RedeLogs
Local Remota Online Offline
Escopos
Espaço-Tempo
• Rede - remontagem de sessões / index / buscas e alertas
• Hosts - Remoto / Memória / Multi-OS
• Eventos/Logs - nível transacional / multi-canal / IA
Tecnologia adequada provê maior visibilidade, triagem,
capacidade de identificação de autoria e modus operandi
![Page 18: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/18.jpg)
Referência Abordagem Híbrida “Computer Forensics: Results
of Live Response Inquiry vs Memory Image Analysis”
![Page 19: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/19.jpg)
Mídia Memória
Local Offline
Escopos
Espaço-Tempo
Laboratórios de Perícia Digital
![Page 20: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/20.jpg)
Mobile Forensics
Laboratórios de Perícia Digital
Bloqueadores de Escrita
Duplicadores de MídiasSoftwares de
Análise PericialArmazenamento Portátil
Aquisição em campo
Computadores
Especializados
![Page 21: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/21.jpg)
Laboratório de Perícia de Alta Performance:
Tendência mundial: Colaboração
Mídia Memória
Local Offline
Escopos
Espaço-Tempo
![Page 22: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/22.jpg)
Resposta a Incidentes
Forense Remota de Mídias, Memória & CyberSecurity
Capacidade de Identificação e Remediação de Ameaças
Mídia Memória
Remota Online Offline
Escopos
Espaço-Tempo
![Page 23: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/23.jpg)
24
Forense de Rede e Consciência Situacional
Germany
Decoder
France
Decoder
Concentrator
European Operation
Investigator Informer
Branch Office
Decoder
Branch Office
Decoder
Branch Office
Decoder
Branch Office
Decoder
Concentrator Concentrator
Geographically Dispersed Locations
Corporate HQ
Concentrator
Decoders
Investigator Informer
Concentrator
Data Center / SOC
Internet POPDecoder
CIRT, Fraud, Cyber-Threat Teams
NetWitness NextGen
Sample Deployment
Scenarios
http://www.forensedigital.com.br
Rede
Remota Online Offline
Escopos
Espaço-Tempo
![Page 24: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/24.jpg)
Forense de Rede e Consciência Situacional
![Page 25: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/25.jpg)
Correlação de Milhões de Eventos Diários
AntiVirus
AntiVirus
Bancos de Dados
ApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsAplicaçõesAnti-VirusSO de Servers e
DesktopEquipamentos
De RedeVulnerabilityAssessment
IntrusionDetectionSystems
FirewallsFirewallsFirewallsFirewallsFirewallsFirewalls/VPN
Sign-OnSign-OnGerenciamentoDe Identidade
Serviços de Diretório
Atributos de Usuários
InfraestruturaFísica
Processos de Negócio
Mainframes
Correlação de Eventos em Infraestruturas Críticas
![Page 26: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/26.jpg)
27
Monitoração de Infra-Estruturas Críticas
![Page 27: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/27.jpg)
Construção da Eficiência em CiberSegurança
![Page 29: Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – apresentação de giovani thibau](https://reader034.vdocuments.mx/reader034/viewer/2022051816/546c4292af795985298b4f43/html5/thumbnails/29.jpg)
31
Giovani Thibau
Obrigado!