Cnasi sp apresentação marcelo souza
-
date post
19-Oct-2014 -
Category
Technology
-
view
617 -
download
1
Embed Size (px)
description
Transcript of Cnasi sp apresentação marcelo souza

© 2012 TechBiz Forense Digital LTDA. Todos os direitos reservados.
Auditando as falhas das camadas de proteção/detecção
Marcelo de Souza Consultor Forense Sênior
CNASI-‐SP, 22 de Outubro de 2012

Sobre o tutorial
Obje%vo • Apresentar e discu.r falhas encontradas na abordagem comumente
empregada para SegInfo. • Auditar, ou seja, realizar análise crí.ca sobre a eficiência e eficácia das
tecnologias e processos de SegInfo convencionais. • Compar.lhar conhecimento e experiência sobre como melhorar o
processo de SegInfo como um todo, e não somente apontar os problemas.
Metodologia • Explanações teóricas. • Demonstrações prá.cas (cenários e ferramentas).

Tópicos
3
l Parte I – Entendendo a problemá%ca l Mo.vação
l Teorias e prá.cas convencionais de SegInfo
l Analisando a SegInfo convencional
l Auditando as falhas
l Parte II – Encontrando soluções
l Premissas para uma abordagem diferenciada de SegInfo
l SegInfo baseada em Resposta a Incidentes

Tópicos (cont.)
4
l Parte III – Viabilizando “Resposta a Incidentes” efe%va l Visão Geral de Resposta a Incidentes e Forense Digital
l Processos
l Pessoas
l Tecnologia
l Parte IV – Concluindo

Parte I
Entendendo a problemá.ca

Motivação

Incidentes... sempre!
Incidentes de segurança con%nuam acontecendo, apesar dos esforços
• Disseminação do malware STUXNET para sabotar usinas nucleares do Irã
• Invasões e DoS a websites do Governo

Estamos mesmo nos esforçando?
Conhecimento dos Atacantes vs. Sofis%cação dos Ataques • Ao passar dos anos o conhecimento necessário “para o mal” diminui, mas a
sofis.cação dos ataques aumentou. • Se ficou mais fácil atacar, não há algo errado com os esforços em SegInfo?

Quão fácil é atacar hoje em dia?
Dois exemplos:
• Invasão para roubo de dados (bancários, etc.), criação de botnets, etc. 1. Copiar artefato malicioso já disponível na Internet ou criar um 2. Enviar e-‐mail para o alvo, anexando o artefato ou link para ele (web) 3. Esperar o alvo abrir o artefato e comprometer a máquina (explorar browsers, Java,
Acrobat Reader, etc.) 4. Receber os resultados
• Ataques de DDoS 1. Alugar uma botnet, ou ter uma (até mesmo a do exemplo anterior) 2. Especificar um alvo e disparar o ataque

Quão sofisticado?
Malware e mecanismos de Comando e Controle (C&C)
Ví%ma Criminosos
Envio de comandos e atualizações
“Data Exfiltration”
“I’m here, infec.on successful” “Wai.ng for instruc.ons”
“Stay quiet, be pa.ent.” “Send applica.on creden.als.” “Use user account, transfer funds.” “Install new malware, new orders.” “Look for high profile assets.” “Send plans, formulas, secrets…”
Command-‐and-‐Control
(C&C)
Transações Fraudulentas
Propriedade Intelectual
Credenciais de Aplicações / Clientes

Teorias e Práticas Convencionais de SegInfo

Definições e conceitos
Obje.vo da Segurança da Informação • Proteger a%vos de informação contra ameaças que possam afetar a sua:
• Confidencialidade: apenas usuários autorizados podem ter acesso à informação
• Integridade: informação deve ser man.da no estado deixado pela úl.ma operação válida e autorizada
• Disponibilidade: informação deve estar acessível aos usuários autorizadas no momento em que for necessária

Análise de riscos
Modelo matemá.co R = V x A / C

Perímetro / DMZ
Rede Interna Acesso Remoto
Internet
Rede Wireless
Segurança em profundidade

Analisando a SegInfo Convencional

SegInfo convencional
Evitar que algo aconteça
Detectar o que pode estar acontecendo
Reagir a um incidente, realizando contenção
Recuperar o ambiente e corrigir
problemas
Obje%vos das etapas (processo) e camadas (tecnologia)

SegInfo convencional (cont.)
“Vou sempre prevenir, detectando apenas as possíveis exceções, reagindo e remediando conforme necessário.”
Presume-‐se que a prevenção, via de regra, sempre
funciona
Detecção age como “backup” da prevenção
Reação somente quando a
prevenção e detecção falharem
Remediação após a reação

SegInfo convencional (cont.)
Ou ainda: “Vou remediar como forma de reagir a algo que detectei, quando eventualmente não conseguir prevenir.”
A segurança do ambiente está toda baseada na prevenção...
...e na detecção
A reação acaba sendo...
...a própria remediação

SegInfo, “as we know it”
“Estou constantemente reagindo e/ou remediando, já que não pude detectar a tempo e minha prevenção não foi eficaz.”
Prevenção falhou Detecção tardia, ou “noZcia”
Reação constante e “no
susto”
Remediação constante

SegInfo, “as we know it” (cont.)
Na prá%ca acaba se tornando:

Auditando as falhas

Listando as falhas em geral
Falhas da abordagem convencional de SegInfo:
• Prevenção não é 100% efe.va, logo não funciona como deveria.
• Basta uma “possível exceção” ter sucesso para toda abordagem falhar.
• Reação muitas vezes desfavorecida, pois a organização prioriza a prevenção.
• Remediação constante, também muitas vezes ineficaz.
• Cria-‐se a “falsa sensação de segurança” ao confiar nessa abordagem.

Listando as falhas em geral (cont.)
Em outras palavras:
• Sempre haverá mais ameaças do que se pode enfrentar.
Prevenção inglória
• Enxerga-‐se menos do que realmente acontece.
Detecção míope • Impossível reagir de
forma completa sem saber exatamente quando, o que e como algo aconteceu.
Reação tardia e limitada
• Impossível remediar em defini.vo sem conhecer a extensão dos danos.
Remediação palia.va

Falhas específicas: firewall
Soluções convencionais de filtragem de protocolos de rede
• Funcionamento: • Normalmente libera o tráfego que é explicitamente permi.do na organização, bloqueando todo o resto.
• Falhas: • Muitas vezes possui configuração excessivamente permissiva. • Tráfego web e e-‐mail, obviamente liberado, concentra pra.camente a totalidade dos vetores de ataque.
• Talvez não possa ser considerada uma solução de segurança “at all”, apesar de muitos discordarem.

Falhas específicas: antivírus
Soluções de an%vírus, an.-‐malware, etc.
• Funcionamento: • Verifica se um arquivo possui padrão malicioso já conhecido. • É necessário que a base de assinaturas seja constantemente atualizada. • Para cada novo malware e suas variantes, o fabricante precisa lançar atualizações.
• Falhas: • Padrões devem ser previamente conhecidos (modelo de segurança nega.vo – “blacklist”).
• Proteção suscervel a anulação mesmo em pequenas modificações de malware.
• Alto índice de falsos nega.vos. • Nenhuma proteção em casos de “zero day”.

Falhas específicas: antivírus (cont.)
• Estudo mostra: se o AV não detectar um malware novo em 6 dias, ele nunca irá (hsp://www.theregister.co.uk/2012/08/23/an._virus_detec.on_study/)
• O estudo também mostrou que após 30 dias, as soluções de AV detectaram menos do que no primeiro dia de testes.

Falhas específicas: antivírus (cont.)
Demonstração
1. Código-‐fonte de um malware simples
2. Vídeo do funcionamento do malware
3. Vídeo da verificação u.lizando VirusTotal (www.virustotal.com)
4. Relatório da verificação do malware u.lizando GFI Sandbox (www.threasrack.com)

Falhas específicas: IDS/IPS
Soluções de detecção de intrusão em rede
• Funcionamento: • Capturam o tráfego e verificam a equivalência com conjunto de assinaturas pré-‐definido.
• Falhas: • Padrões devem ser previamente conhecidos. • Detecção suscervel a anulação mesmo em pequenas modificações. • Nenhuma detecção em casos de “zero day”. • Detecção suscervel a falsos nega.vos. • Alto índice de falsos posi.vos, dificultando sua monitoração.

E as tecnologias levam a culpa?
Não se esqueçam que SegInfo é mais que um produto... é ProPeTec!
Pessoas
Tecnologia
Processos

ProPeTec e as falhas
De forma detalhada, o impacto de cada “domínio” e suas relações
Processos Pessoas Tecnologia
Prevenção • Configuração, atualização e manutenção irregular
• Não existe equipe • Head count
insuficiente • Não exclusivas
para SegInfo • Ausência de
preparação e treinamento
• Ineficaz, não funcionando como deveria
• Muitos falsos nega.vos
Detecção • Procedimentos de monitoração não são definidos / seguidos
• Ineficiente, não funcionando como deveria
• Muitos falsos posi.vos e falsos nega.vos
Reação • Procedimentos raramente existem
• Muitas vezes ausente
Remediação

ProPeTec e as falhas (cont.)
Resumindo
Processos
• Não existem • Quando existem, não são bem definidos e divulgados
• Procedimentos e ro.nas de incompletas
Pessoas
• Não existe equipe • Quando existe, é pouco preparada / treinada
• Head count insuficiente
• Não exclusivas para SegInfo
Tecnologia
• Sistemas de prevenção ineficazes
• Sistemas de detecção tradicional ineficientes
• Muitos falsos posi.vos e falsos nega.vos
• Ausência de solução de reação e/ou remediação

Parte II
Encontrando soluções

Premissas para uma abordagem diferenciada de SegInfo

Outra ótica: Time Based Security
Seguindo o conceito de TBS: • Um sistema de proteção/prevenção (p) pode ser considerado seguro se
funcionar por mais tempo que o tempo de detecção (d) somado ao tempo de reação (r) a um incidente:
• Como vimos, a prevenção é falha. Logo, o tempo de proteção passa a ser na verdade tempo de exposição (e), que irá durar até a conclusão da reação
Referência: Time Based Security (Winn Schwartau)
Te = Td + Tr
Tp > Td + Tr

• Se não houver detecção e/ou reação (logo, ambos tendendo ao infinito), então o sistema estará sempre exposto:
• Conclusão: detecção e reação são importantes e úteis, porém somente se forem rápidas (eficientes) e produzirem resultados (eficazes).
Te à ∞
Time Based Security é a chave

SegInfo, “as it should be”
Outras premissas
• Foco em tecnologias de prevenção já se mostrou equivocado. à Não vale à pena concentrar esforços e depender apenas disso.
• As soluções de detecção convencionais não são suficientes. à Porém ainda precisamos monitorar o que acontece no ambiente.
• E quando algum incidente acontece? à Precisamos reagir. Para isso é necessário iden%ficar a ocorrência, inves%gar
causas e resolver os issues, de modo que a resposta seja completa.
• Então o foco passa a ser somente em responder aos incidentes? à O foco deve ser num conjunto de capacidades que permi.rão mi.gar riscos e impactos ao negócio.

SegInfo baseada em Resposta a Incidentes

Abordagem baseada em RI
Conjunto de capacidades integradas para maior efe%vidade de SegInfo
Resposta a
Incidentes
Monitoração
Iden.ficação
Inves.gação
Resolução

Abordagem baseada em RI (cont.)
Monitoração, Iden%ficação, Inves%gação e Resolução, usando ProPeTec
Monitoração
Iden.ficação
Inves.gação
Resolução

Abordagem baseada em RI (cont.)
Benedcios
à Visibilidade
à Consciência Situacional
à Resposta Asser%va

Parte III
Viabilizando “Resposta a Incidentes” efe.va

Visão Geral de Resposta a Incidentes e Forense Digital

Conceitos
Incidente de segurança • Qualquer ação ilegal, inaceitável ou não autorizada que envolva um
sistema ou rede de computadores
Resposta a incidente (RI) • Processo que visa a iden.ficação, inves.gação e resolução de um
incidente
Forense Digital • Disciplina focada na descoberta, extração e inves.gação de evidências
a par.r de meios digitais (computadores, celures,…)
DFIR • Digital Forensics and Incident Response, sigla muito u.lizada

Conceitos (cont.)
44
Evento / Ataque / Incidente / Crime
l Um evento é caracterizado por uma ação executada num alvo. Representará um ataque ou violação quando ferramentas forem u.lizadas para explorarem falhas, produzindo resultados não autorizados.
l Quando houver sucesso nos obje.vos de um agente qualquer ao executar um ataque, estará então caracterizado um incidente. Dependendo do alvo, obje.vos, resultado e agente, poderá este incidente ser caracterizado como crime.
A Common Language for Computer Security Incidents (hsp://www.cert.org/research/taxonomy_988667.pdf)

Conceitos (cont.)
45
A Common Language for Computer Security Incidents (hsp://www.cert.org/research/taxonomy_988667.pdf)

Normas e Regulamentações
• ISO 27002, seção 13
• PCI DSS, requisito 12.9 “Implement an incident response plan, be prepared to respond immediately to a system breach”
• SOx Resposta a Incidentes pode ajudar a fornecer accountability.

Times de Resposta a Incidentes
47
Siglas u%lizadas: l CSIRT -‐ Computer Security Incident Response Team l FIRST -‐ Forum of Incident Response and Security Teams l CIRC -‐ Computer Incident Response Capability l CIRT -‐ Computer Incident Response Team l IRC -‐ Incident Response Center l IRT -‐ Incident Response Team l SERT -‐ Security Emergency Response Team l SIRT -‐ Security Incident Response Team

Times de Resposta a Incidentes (cont.)
48
CSIRTs no Brasil

Times de Resposta a Incidentes (cont.)
49
Desdobramentos recentes: “Defesa ciberné%ca”

Demanda por Forense Digital
50
l Todos incidentes iden.ficados demandam alguma ação em resposta.
l Essa ação pode ter como obje.vos: l Determinar as consequências
l Como prosseguir após essa ocorrência? Quais serão os próximos passos?
l Quan.ficar prejuízos l Qual o impacto, seja ele financeiro, de imagem, moral, etc.?
l Definir a.vidades de recuperação, correção, etc. l O que precisa ser feito para reestabelecer a normalidade?
l Definir sanções, multas, penas, etc. l Quem precisa ser punido? O que exatamente jus.ficaria a punição?

Demanda por Forense Digital (cont.)
51
l Para a.ngir estes obje.vos, certamente será necessário descobrir e comprovar: l A ocorrência do incidente e sua extensão
l As causas (fatores que levaram ou permi.ram sua ocorrência)
l Os causadores (acidentais ou propositais)
l Sempre que se deseja descobrir e comprovar algo sobre um incidente, uma inves.gação se faz necessária.
l Estas inves.gações são suportadas por a.vidades, ferramentas e profissionais de Forense Digital.

Demanda por Forense Digital (cont.)
52
l Diversas áreas organizacionais e situações podem demandar Forense Digital. Alguns exemplos:
Perícia Criminal
• Crimes envolvendo uso de computadores (pirataria, pedofilia, etc.)
Segurança da Informação
• Defacement de sites
• Vazamento de informações
• Ataques de DoS
Auditoria
• Má conduta de funcionário
• Sonegação tributária
• Fraudes
Inteligência
• Inves.gação de a.vidade suspeita
• Espionagem
Defesa Ciberné.ca
• Sabotagem de sistemas crí.cos
• Ataques contra infraestrutura da nação

Processos

Importância dos processos para RI
54
l Metodologia com processos formais provê benezcios: l Previne respostas precipitadas, incorretas ou incoerentes.
l Confirma ou nega a ocorrência de um incidente e sua extensão.
l Estabelece controles para a correta manipulação de provas.
l Promove resolução e reparação mais rápidas.
l Minimiza a exposição e o comprome.mento de informações.
l Favorece a resposta a futuros incidentes com lições aprendidas.

Fonte: Defining Incident Management Processes for CSIRTs: A Work in Progress. (hOp://www.cert.org/archive/pdf/04tr015.pdf)
Metodologia CERT CC

Fonte: NIST Special Publica.on 800-‐61 – Revision 2 (pdf)
Metodologia NIST

Preparação pré-
incidente Detecção
Resposta Inicial
Formulação da
estratégia
Coleta de dados
Análise de dados Relatório
Forense Digital
Contenção Recuperação
Implementação de medidas
Detalhando uma metodologia
Metodologia detalhada (base para referência)
Monitoração Iden%ficação Inves%gação
Resolução

Metodologia base
Preparação pré-‐incidente • Chave para o sucesso • Deve-‐se preparar a organização para que RI possa acontecer
• Polí.cas (AUP, etc), procedimentos, etc. • Modelos de documentação e formulários • Equipe (CSIRT) e treinamentos • So{ware e hardware para detecção, inves.gação e resposta
• Ninguém quer se preparar após o pior acontecer...

Metodologia base (cont.)
Detecção • Sem detecção eficiente e eficaz, não existe resposta • Parte crucial do TBS • Pode acontecer de várias formas (vários canais) • O máximo de informações deve ser registrado. Ex.: data/hora, o quê foi
reportado, natureza, a.vos envolvidos, pontos de contato.

Metodologia base (cont.)
Resposta inicial • Obter / centralizar todas informações possíveis • Determinar .po do incidente e seu impacto • Listar possíveis passos a seguir • Não envolve coleta direta no equipamento, e sim:
• Entrevistas com usuários e administradores • Verificação de relatórios das ferramentas de monitoração • Revisão de logs de equipamentos de rede
• O mínimo aqui é determinar se houve mesmo um incidente

Metodologia base (cont.)
Formulação da estratégia de resposta • Determinar como será a resposta, dadas as circunstâncias:
• Polí.cas • Técnicas • Legais • Negócio
• Estratégia final é definida pelo(s) líder(es) da equipe • Certamente o “vazamento de um projeto confidencial” terá resposta
diferente de “usuário recebendo e-‐mail de phishing”

Metodologia base (cont.)
Formulação da estratégia de resposta (cont.) • Algumas questões importantes:
• Qual a cri.cidade do sistema afetado? • Quão sensível é a informação comprome.da? • Quem são os perpetradores potenciais? • O incidente foi a público? • Qual é o nível de acesso ob.do pelo atacante? • Qual é a habilidade técnica aparente do atacante? • Quanto tempo de indisponibilidade está envolvido? • Quanto de perda financeira?

Metodologia base (cont.)
Formulação da estratégia de resposta (cont). • Exemplos de estratégias:
Fonte: Incident Response & Computer Forensics (Kevin Mandia)

Metodologia base (cont.)
Forense Digital § Obje.vo: descobrir quem, o quê, quando, onde, como e por quê § Conduzida com base nas evidências encontradas nos sistemas, entre
outras § Duas etapas básicas:
• Coleta de dados: • Análise de dados

Metodologia base (cont.)
Forense Digital – Coleta de dados
• Acumular fatos e provas sobre o incidente • Quanto mais completa a coleta, maior a possibilidade de sucesso • Outros desafios únicos desta etapa:
• Os dados devem ser coletados de forma forense • Normalmente são coletados mais dados do que se pode analisar • Os dados devem ser manipulados de modo que a integridade seja man.da

Metodologia base (cont.)
Forense Digital – Coleta de dados (cont.)
• Exemplos de evidências digitais: • Arquivos (imagens, vídeos, documentos, executáveis, etc.) • Histórico de conversas em IM (MSN, Skype, etc.) • Histórico de navegação na web (browsers), cookies e bookmarks • E-‐mails • Tráfego de rede capturado • Logs de servidores

Metodologia base (cont.)
Forense Digital – Análise de dados
Novos Alvos Identificados?
[Não]
[Sim]
Iniciar Análise
Dados Suficientes?
Reiniciar Tratamento [Não]
[Sim]
Processos de Análise
Responder:Quem/O que?, Quando?, Onde?, Como?, Por que?
Utilizar os processos de análise para obter as respostas
Análise de Emails
Análise de Documentos
Análise de Artefatos Web
Análise de Artefatos de SO
Recuperação de Arquivos Apagados
Análise de Hash
Comparação de Baseline
Existe Informação Incriminante fora do
escopo inicial?[Sim]Abrir uma Nova
Investigação
[Não]
Requisitar Informações
[Sim]
Se obtidas, analisar relevância dos dados
levantados e relacionamento com
dados atuais
Preparar Relatório
Informações Suficientes para Concluir?
[Sim]
[Não][Não]
Outras Análises Específicas
NecessárioInformações fora das permissões diretas do
investigador?

Metodologia base (cont.)
Forense Digital – Análise de dados (cont.) • As a.vidades de análise devem ter como obje.vo responder às
seguintes questões (Heptâmetro de Quin%liano): • QUIS? Quem? • QUID? O quê? • UBI? Onde? • QUIBUS AUXILIIS? Com que auxílio? • CUR? Por quê? • QUODOMO? De que modo? • QUANDO? Quando?

Metodologia base (cont.)
Relatório • Obje.vo: criar documentação que descreva precisamente os detalhes do
incidente • Recomendações:
• Documente imediatamente • Escreva de forma concisa e clara • Siga um padrão e um modelo

Metodologia base (cont.)
70
19/11/12
Relatório (cont.)

Metodologia base (cont.)
71
19/11/12
Relatório (cont.) • Recurso visual: Vmeline

Pessoas

Dez aptidões essenciais
73 19/11/12
1. COMUNICAÇÃO ORAL E ESCRITA
4. DIPLOMACIA
6. INTEGRIDADE PESSOAL
7. CONHECER SEUS LIMITES
5. TRABALHO EM EQUIPE
9. SOLUÇÃO DE PROBLEMAS
10. GERENCIAMENTO DO TEMPO
2. APRESENTAÇÃO
3. POLÍTICAS E PROCEDIMENTOS
8. ADMINISTRAR O ESTRESSE

Dez aptidões essenciais (cont.)
1. Ter comunicação oral e escrita correta.
2. Ter boa apresentação pessoal (aparência e ves.mentas).
3. Saber a importância de seguir à risca polí.cas e procedimentos.
4. Munir-‐se de diplomacia.
5. Saber trabalhar em equipe.
6. Ser íntegro.
7. Conhecer seus limites.
8. Saber administrar o estresse e lidar com pressão.
9. Ter faro para a solução de problemas.
10. Saber gerenciar o tempo.

Seis domínios técnicos
1. TÉCNICAS DE ANÁLISE
6. SISTEMAS OPERACIONAIS
5. PROGRAMAÇÃO 2. FERRAMENTAS DE RESPOSTA A INCIDENTES
4. REDES 3. SEGURANÇA DA INFORMAÇÃO

Entidades e associações

Certificações
l GCIH – GIAC Cer.fied Incident Handler hsp://www.giac.org/cer.fica.on/cer.fied-‐incident-‐handler-‐gcih
l GCIA – GIAC Cer.fied Intrusion Analyst
hsp://www.giac.org/cer.fica.on/cer.fied-‐intrusion-‐analyst-‐gcia
l GCFA – GIAC Cer.fied Forensic Analyst hsp://www.giac.org/cer.fica.on/cer.fied-‐forensic-‐analyst-‐gcfa

Tecnologia

Diversas áreas de atuação
79
Domínios da Forense Digital
Computadores
Servidores e estações • Discos e mídias removíveis
• Memória
Disposi%vos móveis
Rede
Tráfego de rede
Sistemas
Logs de sistemas

Diversas formas de atuar
80
Técnicas u%lizadas pelas soluções l Normalmente são u.lizadas técnicas específicas para cada caso,
mas também podem variar conforme a demanda.
Coleta Post-‐Mortem
Discos e mídias
removíveis
Disposi.vos móveis
Coleta Live
Tráfego de rede
Servidores e estações (ligados)
Coleta Remota
Logs de sistemas
Servidores e estações (ligados)

Forense de disco
81
Computadores
Servidores e Estações • Discos e mídias removíveis
Definição: É o .po de forense “tradicional”, onde as evidências
são os dados gravados em mídias e disposi.vos de armazenamento eletrônico em geral.
Insumos para evidências: l Discos rígidos (internos) e mídias removíveis,
usualmente com coleta post mortem (podendo ser também live e remota, através de agentes).

Forense de memória
82
Computadores
Servidores e Estações • Memória
Definição: É o .po de forense onde as evidências são ob.das a
par.r de dumping e análise dos dados armazenados em memória RAM (volá.l).
Insumos para evidências: l Memória RAM, com coleta live (normalmente remota,
através de agentes).

Forense de dispositivos móveis
83
Computadores
Disposi%vos Móveis
Definição: É o .po de forense realizada em telefones celulares,
smartphones, tablets, GPSs, etc. Os dados gravados nestes disposi.vos, tais como fotos, mensagens SMS, registros de ligações, entre outros podem ser usados como evidências.
Insumos para evidências: l Imagem lógica (arquivos, registros) ou zsica (bit-‐a-‐bit),
coletados geralmente post mortem, com acesso zsico ao disposi.vo.

Forense de rede
84
Rede
Tráfego de rede
Definição: É a captura, armazenamento e análise de dados
trafegados numa rede de computadores para detectar a origem de algum problema de segurança ou algum outro incidente.
Insumos para evidências: l Tráfego de rede, usualmente com coleta live (podendo
ser também post mortem).

Análise de Logs
85
Sistemas
Logs
Definição: É a captura, armazenamento e análise de eventos
gerados pelos sistemas (SO, bancos de dados, aplicações, etc.) que podem ser usados como evidências.
Insumos para evidências: l Logs (registros em trilhas de auditoria), com coleta local
ou remota (ferramentas de SIEM e log management), live ou post mortem.

Integração entre soluções de RI
86
Obje.vando visibilidade, consciência situacional e resposta asser%va
Forense e Remediação de Hosts
Forense de
Rede
Gestão de
Eventos

Parte IV
Concluindo

Benefícios
O modelo baseado em RI vs Prevenção/Detecção convencional: • Monitoração feita de maneira integrada traz visibilidade sobre os
domínios (Rede, Hosts, Sistemas) e contextualização sobre os incidentes.
• Iden%ficação focada em ameaças e impactos reais, conforme o contexto da organização (ambiente e negócio).
• Inves%gação elucida.va que suporte ações (operacionais e legais) posteriores, visando melhorias.
• Resolução que viabilize reação asser.va.

Bibliografia recomendada
Incident Response & Computer Forensics (Kevin Mandia, Chris Prosise, Ma; Pepe)
Real Digital Forensics: Computer Security and Incident Response (Keith Jones, Richar Bejtlich, Cur.s Rose) Cyber Crime Inves%ga%ons (Anthony Reyes)

Servidos prestados pela TBFD
ANÁLISE FORENSE
IMPLANTAÇÃO DE PROCESSOS
DIAGNÓSTICOS DE COMPROMETIMENTO
INCIDENT RESPONSE TEAM
IMPLANTAÇÃO DE CSIRT