1. Como foi que ele achou
estas falhas?
Aplicação do Guia de Auditoria e Investigação
Fundamentais em Computadores Windows e
outros sistemas.
Mauro Risonho de Paula Assumpção
Proprietário da Nsec Security Systems
Lider, Fundador e Pentester Backtrack Brasil
Certificado pela Intel em Segurança da Informação, ROI/Business Value,
Certificação Digital
2. Agenda
A Empresa:
Apresentação da Nsec Security Systems – Consultoria Independente
Perfil:
O Profissional do Consultor desta Apresentação
O Problema:
Rastreamento e Varredura por Vulnerabilidades, Servidores, Desktops e Redes
Lentas e Baixa Performance, Auditorias,Treinamento e Cursos
A Solução:
5 Passos para um Processo de Auditoria de Segurança Digital
Demonstrações
Conclusão
3. Um Problema Crescente e Invisível
A conectividade via Internet e os avanços
tecnológicos, já fazem parte da paisagem das
empresas.
Recursos em Computação (Servidores, Desktops,
Redes) podem ser expostos a atividades impróprias,
ou mesmo criminal, sem nenhum conhecimento
prévio pela empresas.
4. Um Problema Crescente e Invisível
A necessidade de melhores práticas e ferramentas
para a investigação de atividades ilegais por
terceiros (intrusos ou invasores alheios)
Situações onde acontecem coisas após horário
comercial, como por exemplo, a Infraestrutura de
Computação está "dormindo".
5. Um Problema Crescente e Invisível
Realização de Inventário dos Ativos de Computação,
como por exemplo, quais Softwares estão Instalados
por padrão, quem instalou, qual era autorizado pela
Diretoria e Equipe de TI, algum hardware
apresentou defeito ou foi atualizado.
Evitar a exposição da empreas aos riscos legais e
financeiros
6. Um Problema Crescente e Invisível
Melhores práticas e ferramentas para conduzir
investigações computador de atividade suspeita
Orientações e Testes sobre a coleta,
preservação, análise e elaboração de relatórios
sobre os dados-chave na Auditoria e Investigação
7. Segurança da Informação
Quais as Políticas de Segurança que um CSO
(Chief Security Officer) desenvolve e adota para
se prevenir contra o bombardeio desses e outros
fatores que atacam todos os dias?
As respostas estão em nossas Consultorias e
Cursos de Segurança, com o qual você fica por
dentro dos cuidados com as Redes com ou sem
fio, Camadas de segurança, Servidores, Desktop,
Redes e muito mais.
10. Consultorias, Cursos e Palestras
Univap – São José dos Campos-SP
CTA – São José dos Campos-SP
Senac – São José dos Campos-SP
OnSet – São José dos Campos-SP
EsPEx – Campinas-SP
Tempo Real Eventos – São Paulo-SP
CIESA – Manaus-AM
UNIP – Manaus-AM
Unifesp – São José dos Campos-SP
ETEC – Jacareí-SP
Fatec – Americana-SP
Ceprocamp - Campinas-SP
11. Consultorias, Cursos e Palestras
Senac – Campinas-SP
Clube do Hacker – Manaus-AM
Tranning Treinamentos – Brasilia-DF
VivaOLinux – Rio de Janeiro-RJ
Microsoft Inovation Center – São José dos Campos-SP
Microsoft S2B – São José dos Campos-SP
Microsoft SOL – São José dos Campos-SP
RoadShow TI Senac 2008 – São José dos Campos-SP
RoadShow TI Senac 2007 – São José dos Campos-SP
12. Melhores Práticas para Prevensão,
Auditoria e Investigação
Avaliar a situação
Obter Dados Chave
Analisar Dados
Reportar Relatórios
13. Passo 1: Avaliar a situação
Avaliar a situação
Decidir ou não aspectos sobre Investigação Interna.
• Conclusão Investigação interna
Achado Sim • Entrar em Contato com
algum
Autoridades (ou não)
problema?
• Providenciar Consultoria
Não
Continuar com
Investigação
Interna.
14. Passo 1: Avaliar a situação (cont.)
Avaliar a situação
Reunir com a Diretoria, Gerência e Responsáveis
Legais
Coletar Revisões de Políticas e Leis
Identificar Possíveis Membros Envolvidos.
Avaliar a Situação, para Prever o Impacto nos
Negócios
Preparar Evidências
15. Passo 2: Obter Informações-Chave
Obter Informações-Chave
Construir um toolkit (Kit de Ferramentas Digitais),
incluindo Sysinternals e ferramentas Windows, ou
para outros SO como UNIX, Linux e outros.
Coletar Evidências sobre Acessos de Arquivos no
Computador(es) Servidor(es).
Coletar Evidências do Computador Cliente
Coletar Evidências Sobre Acessos de Arquivos
no(s) Computador(es) Cliente(s)
Considerar os Backups como Protegidos e
Arquivados.
16. Passo 3: Analisar os dados
Analisar os dados
Analisar Dados obtidos dos Computador(es)
Servidor(es).
Analisar Dados obtidos dos Computador(es)
Servidor(es) dedicado(s).
17. Passo 4: Reportar Relatórios
Reportar Relatórios
Obter Toda(s) Informações, Documentação e Notas
Identificar Dados Relevantes para Auditoria,
Investigação.
Identificar Fatos que podem ser Suportados depois
da Conclusão
Listar Evidências para ser Submetidas ao
Relatório(s)
Lista de Conclusões
Criar e Entregar Relatório(s)
19. Log de Eventos
Obter Informações-Chave
Uso de arquivos e
pastas, por pessoas
não-autorizadas.
20. AccessChk*
Obter Informações-Chave
Mostra permissões da Pasta de cada Usuário.
Gera Evidências sobre Intrusos e Invasores.
21. PsLoggedOn*
Obter Informações-Chave
Mostra se um usuário, instrusos ou invasores se
conecta a algum recurso computacional
22. Rootkit Revealer
Obter Informações-Chave
Revela rootkits, que são softwares maliciosos que
obtem o controle completo de computadore(s)
e muitas vezes não são identificados por outros
softwares de diagnósticos padrões.
23. PsExec
Obter Informações-Chave
Audita por Softwares que “liberam' sem
autorização prévia o Acesso Remoto para obter
informações sobre o computador(es) do(s)
usuário(s) – sem registrar, logar ou instalar
softwares no computador(es) do(s) usuários.
24. SystemInternals: DU*
Obter Informações-Chave
Audita se algum intruso ou invasor, acesso
remotamente, sem autorização prévia, o conteúdo
das Pastas Meus Documentos, do(s) usuário(s) e
suas subpastas.
25. Pentest (Teste de Intrusão)
Pentest é o processo de identifica e explorar
vulnerabilidades, tentando utilizar dos mais diversificados
métodos que um atacante pode utilizar, tais como ataques
lógicos, físicos e engenharia social.
Parte Fundamental da Segurança da Informação, que
permite de forma rápida Identificar vulnerabilidade e o seu
devido risco para empresa.
Fique Alerta! Fique Atento!
Teste antes que “Invasores e Intrusos” o façam.
26. Backtrack 4 – Open Source Pentest
Uso para Pentest (Teste de Intrusão) Um toolkit (caixa
de ferramentas) com mais de 300 ferramentas, para
wireless, voip, obter informações, impressoras, redes,
servidores, câmeras de segurança e outros, que através
de “Prova de Conceito” testa, demonstra as falhas e
vulnerabilidades, simulando os níveis e tamanhos dos
” Estragos na Segurança da Informação”, “Perda de
Produtividade e Tempo”, podem ser causados, se um
“Intruso ou Invasor” adentrar os recurso computacionais.
Prevê contra “A Caixa de Pandora” na sua empresa,
perante Recursos Computacionais.
Fique Alerta! Fique Atento!
Teste antes que “Invasores e Intrusos” o façam.