1. O documento discute a evolução das ameaças cibernéticas ao longo do tempo, desde técnicas mais simples até ataques sofisticados realizados por atores estatais e não-estatais. 2. É destacada a crescente sofisticação dos ataques cibernéticos e a necessidade de equalizar a capacidade de detecção e resposta a incidentes. 3. A resposta a incidentes requer processos bem definidos, pessoal treinado e tecnologias adequadas de monitoramento, análise forense e

1. 1
Giovani Thibau
Diretor Executivo
Sócio Fundador

2. Alto
Baixo
1980 1985 1990 1995 2008+
adivinhação de senhas
código auto-replicante
quebra de senhas
exploração de vulnerabilidades conhecidas
desabilitar audit
back doors
sequestro
de sessões
sweepers
sniffers
packet spoofing
Interface grafica
varreduras automatizadas
negação de serviço
ataques WWW
Técnicas
Atacantes
Conhecimento
Atacante
Sofisticação
Ataque
técnicas avançadas
de scan stealth
Invasões av.
gerenciamento de redes
ferramentas de
ataques distribuidos
cross site scripting
ataques
em fases
bots
Fonte: CERT
Complexidade dos Ataques vs
Conhecimento Necessário

3. Cenário de Ameaças Global
 Economia Underground – Grupos de Criminosos:
 Organização: Alta
 Capacidade: Alta
 Intenção: Alta | ganho financeiro
 ex: “Kneber” ZeuS BotNet – informações
vendidas para qualquer um
 Atividades Patrocinadas por Nações: Deste coleta
de inteligência a CiberGuerra
 Organização: Alta
 Capacidade: Alta
 Intenção: Atrelada a políticas nacionais
 Operação Aurora, Titan Rain, Russia-
>Estônia/Georgia.
 Agentes não-Estatais
 Crescente Interesse de grupos radicais /
extremistas em “ciberterrorismo”
 “Hacking as a service”

4. Economia Underground de Crimes Digitais
Drop Sites
Phishing Keyloggers
Botnet
Owners
Spammers
Botnet
Services
Malware
Distribution
Service
Data
Acquisition
Service
Data
Mining &
Enrichment
Data
Sales
Cashing $$$
Malware
Writers
Identity
Collectors
Credit
Card Users
Master
Criminals
Validation
Service
(Card Checkers)
Card
Forums
ICQ
eCommerce
Site
Retailers
Banks
eCurrency
Drop
Service
Wire
Transfer
Gambling
Payment
Gateways
Fonte: NetWitness

5. 1. EUA projeta um novo caça “Joint Strike Fighter,
5th Generation” para uso próprio e países aliados.
Custo do projeto: US$ 300.000.000.000,00
2. China rouba informações confidenciais sobre o
projeto através de ataques computacionais a
empreiteira militar fabricante do caça.
3. Comando Militar americano reavalia a efetividade
do caça devido à nova tecnologia nos sistemas
de defesa adversários (radares, mísseis terra-ar).
4. 2500 caças JSF deixam de ser produzidos
pelos EUA. A China os derruba sem ter dado
nenhum tiro.
Ameaças Avançadas e Persistentes
CiberEspionagem 2009/2010
Ref: http://is.gd/djIvz

7. Cadeia de Destruição:
Evolução de um Ataque Temporalmente

8. TECHNICAL REPORT
CMU/SEI-2004-TR-015
Gerenciamento de Incidentes para CSIRTs

9. TECHNICAL REPORT
CMU/SEI-2004-TR-015
ESC-TR-2004-015
Gerenciamento de Incidentes para CSIRTs

10. Falha
Dinâmica de um Incidente Digital
Objetivos
INCIDENTE
Agente
Resultado
não
autorizado
ATAQUE
Ferramentas Falha Alvo
EVENTO
Ação
John D. Howard e Thomas A. Longstaff
A Common Language for Computer Security Incidents
http://www.cert.org/research/taxonomy_988667.pdf

11. Importância da Reação com Inteligência –
Resposta a Incidentes / Forense Computacional
 Por mais que você invista em
prevenção/proteção, incidentes
continuarão ocorrendo
 Por mais que você invista em
detecção, incidentes chegarão à
você por notificações
 Você precisa estar preparado
para responder à Incidentes de
Segurança
 Uma Reação adequada requer
priorização, treinamento,
processos bem definidos e
tecnologia adequada

12. TBS – Time Based Security: Pt ~ Dt + Rt
“Proteção requer detectar um ataque e reagir a tempo”
Proteção = Tempo Detecção + Tempo Reação cedo na Cadeia acima.
Exposição = Tempo Detecção + Tempo Reação inexistente ou tardio.
diagramas: Mike Cloppert – Sans Institute
Conceito TBS: Winn Schwartau
• Identificação das consequências do ataque pode ser mais fácil que detectar o ataque
• Cadeia de Destruição – sequência de eventos de efeito de uma ameaça em um alvo:
Foco de Atenção: Ênfase na *Ameaça*

13. Atribuição de Autoria – Muito além da
identificação de endereços IP
1)Timing
2) Vítimas/Alvos
3) Origem
4) Mecanismo de Entrada
5) Vulnerabilidade ou Exposição
6) Exploit ou Payload
7) Armamento (Weaponization)
8) Atividade pós-exploração
9) Método de Comando e Controle
10) Servidores de Comando e Controle
11) Ferramentas
12) Mecanismo de Persistência
13) Método de Propagação
14) Dados Alvo
15) Compactação de Dados
16) Modo de Extrafiltração
17) Atribuição Externa
18) Grau de Profissionalismo
19) Variedade de Técnicas utilizadas
20) Escopo
Identificação das
consequências do
ataque pode ser mais
fácil que detectar o
ataque

14. Diferentes Níveis de Importância Estratégica
Diferentes Categorias de Ameaças e Intrusão
diagrama: - David Ross – GFIRST/Mandiant

15. Cyber Segurança – uma crise de priorização
NCO/NITRD –National Coordination Office / Networking
and Information Technology Research and Development

16. NCO/NITRD - Priorizações Recomendadas
NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43

17. Reação: Processo e Tecnologias
Mídia Memória RedeLogs
Local Remota Online Offline
Escopos
Espaço-Tempo
• Rede - remontagem de sessões / index / buscas e alertas
• Hosts - Remoto / Memória / Multi-OS
• Eventos/Logs - nível transacional / multi-canal / IA
Tecnologia adequada provê maior visibilidade, triagem,
capacidade de identificação de autoria e modus operandi

18. Referência Abordagem Híbrida “Computer Forensics: Results
of Live Response Inquiry vs Memory Image Analysis”

19. Mídia Memória
Local Offline
Escopos
Espaço-Tempo
Laboratórios de Perícia Digital

20. Mobile Forensics
Laboratórios de Perícia Digital
Bloqueadores de Escrita
Duplicadores de MídiasSoftwares de
Análise PericialArmazenamento Portátil
Aquisição em campo
Computadores
Especializados

21. Laboratório de Perícia de Alta Performance:
Tendência mundial: Colaboração
Mídia Memória
Local Offline
Escopos
Espaço-Tempo

22. Resposta a Incidentes
Forense Remota de Mídias, Memória & CyberSecurity
Capacidade de Identificação e Remediação de Ameaças
Mídia Memória
Remota Online Offline
Escopos
Espaço-Tempo

23. 24
Forense de Rede e Consciência Situacional
Germany
Decoder
France
Decoder
Concentrator
European Operation
Investigator Informer
Branch Office
Decoder
Branch Office
Decoder
Branch Office
Decoder
Branch Office
Decoder
Concentrator Concentrator
Geographically Dispersed Locations
Corporate HQ
Concentrator
Decoders
Investigator Informer
Concentrator
Data Center / SOC
Internet POPDecoder
CIRT, Fraud, Cyber-Threat Teams
NetWitness NextGen
Sample Deployment
Scenarios
http://www.forensedigital.com.br
Rede
Remota Online Offline
Escopos
Espaço-Tempo

24. Forense de Rede e Consciência Situacional

25. Correlação de Milhões de Eventos Diários
Anti
Virus
Anti
Virus
Bancos de
Dados
ApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsAplicaçõesAnti-Virus
SO de Servers e
Desktop
Equipamentos
De Rede
Vulnerability
Assessment
Intrusion
Detection
Systems
FirewallsFirewallsFirewallsFirewallsFirewallsFirewalls/
VPN
Sign-OnSign-OnGerenciamento
De Identidade
Serviços de
Diretório
Atributos de
Usuários
Infraestrutura
Física
Processos de
Negócio
Mainframes
Correlação de Eventos em Infraestruturas Críticas

26. 27
Monitoração de Infra-Estruturas Críticas

27. Construção da Eficiência em CiberSegurança

28. Integração de Tecnologia de Reação em Segurança

29. 31
Giovani Thibau
Obrigado!