1. O documento discute a evolução das ameaças cibernéticas ao longo do tempo, desde técnicas mais simples até ataques sofisticados realizados por atores estatais e não-estatais.
2. É destacada a crescente sofisticação dos ataques cibernéticos e a necessidade de equalizar a capacidade de detecção e resposta a incidentes.
3. A resposta a incidentes requer processos bem definidos, pessoal treinado e tecnologias adequadas de monitoramento, análise forense e
2. Alto
Baixo
1980 1985 1990 1995 2008+
adivinhação de senhas
código auto-replicante
quebra de senhas
exploração de vulnerabilidades conhecidas
desabilitar audit
back doors
sequestro
de sessões
sweepers
sniffers
packet spoofing
Interface grafica
varreduras automatizadas
negação de serviço
ataques WWW
Técnicas
Atacantes
Conhecimento
Atacante
Sofisticação
Ataque
técnicas avançadas
de scan stealth
Invasões av.
gerenciamento de redes
ferramentas de
ataques distribuidos
cross site scripting
ataques
em fases
bots
Fonte: CERT
Complexidade dos Ataques vs
Conhecimento Necessário
3. Cenário de Ameaças Global
Economia Underground – Grupos de Criminosos:
Organização: Alta
Capacidade: Alta
Intenção: Alta | ganho financeiro
ex: “Kneber” ZeuS BotNet – informações
vendidas para qualquer um
Atividades Patrocinadas por Nações: Deste coleta
de inteligência a CiberGuerra
Organização: Alta
Capacidade: Alta
Intenção: Atrelada a políticas nacionais
Operação Aurora, Titan Rain, Russia-
>Estônia/Georgia.
Agentes não-Estatais
Crescente Interesse de grupos radicais /
extremistas em “ciberterrorismo”
“Hacking as a service”
4. Economia Underground de Crimes Digitais
Drop Sites
Phishing Keyloggers
Botnet
Owners
Spammers
Botnet
Services
Malware
Distribution
Service
Data
Acquisition
Service
Data
Mining &
Enrichment
Data
Sales
Cashing $$$
Malware
Writers
Identity
Collectors
Credit
Card Users
Master
Criminals
Validation
Service
(Card Checkers)
Card
Forums
ICQ
eCommerce
Site
Retailers
Banks
eCurrency
Drop
Service
Wire
Transfer
Gambling
Payment
Gateways
Fonte: NetWitness
5. 1. EUA projeta um novo caça “Joint Strike Fighter,
5th Generation” para uso próprio e países aliados.
Custo do projeto: US$ 300.000.000.000,00
2. China rouba informações confidenciais sobre o
projeto através de ataques computacionais a
empreiteira militar fabricante do caça.
3. Comando Militar americano reavalia a efetividade
do caça devido à nova tecnologia nos sistemas
de defesa adversários (radares, mísseis terra-ar).
4. 2500 caças JSF deixam de ser produzidos
pelos EUA. A China os derruba sem ter dado
nenhum tiro.
Ameaças Avançadas e Persistentes
CiberEspionagem 2009/2010
Ref: http://is.gd/djIvz
10. Falha
Dinâmica de um Incidente Digital
Objetivos
INCIDENTE
Agente
Resultado
não
autorizado
ATAQUE
Ferramentas Falha Alvo
EVENTO
Ação
John D. Howard e Thomas A. Longstaff
A Common Language for Computer Security Incidents
http://www.cert.org/research/taxonomy_988667.pdf
11. Importância da Reação com Inteligência –
Resposta a Incidentes / Forense Computacional
Por mais que você invista em
prevenção/proteção, incidentes
continuarão ocorrendo
Por mais que você invista em
detecção, incidentes chegarão à
você por notificações
Você precisa estar preparado
para responder à Incidentes de
Segurança
Uma Reação adequada requer
priorização, treinamento,
processos bem definidos e
tecnologia adequada
12. TBS – Time Based Security: Pt ~ Dt + Rt
“Proteção requer detectar um ataque e reagir a tempo”
Proteção = Tempo Detecção + Tempo Reação cedo na Cadeia acima.
Exposição = Tempo Detecção + Tempo Reação inexistente ou tardio.
diagramas: Mike Cloppert – Sans Institute
Conceito TBS: Winn Schwartau
• Identificação das consequências do ataque pode ser mais fácil que detectar o ataque
• Cadeia de Destruição – sequência de eventos de efeito de uma ameaça em um alvo:
Foco de Atenção: Ênfase na *Ameaça*
13. Atribuição de Autoria – Muito além da
identificação de endereços IP
1)Timing
2) Vítimas/Alvos
3) Origem
4) Mecanismo de Entrada
5) Vulnerabilidade ou Exposição
6) Exploit ou Payload
7) Armamento (Weaponization)
8) Atividade pós-exploração
9) Método de Comando e Controle
10) Servidores de Comando e Controle
11) Ferramentas
12) Mecanismo de Persistência
13) Método de Propagação
14) Dados Alvo
15) Compactação de Dados
16) Modo de Extrafiltração
17) Atribuição Externa
18) Grau de Profissionalismo
19) Variedade de Técnicas utilizadas
20) Escopo
Identificação das
consequências do
ataque pode ser mais
fácil que detectar o
ataque
14. Diferentes Níveis de Importância Estratégica
Diferentes Categorias de Ameaças e Intrusão
diagrama: - David Ross – GFIRST/Mandiant
15. Cyber Segurança – uma crise de priorização
NCO/NITRD –National Coordination Office / Networking
and Information Technology Research and Development
16. NCO/NITRD - Priorizações Recomendadas
NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43
17. Reação: Processo e Tecnologias
Mídia Memória RedeLogs
Local Remota Online Offline
Escopos
Espaço-Tempo
• Rede - remontagem de sessões / index / buscas e alertas
• Hosts - Remoto / Memória / Multi-OS
• Eventos/Logs - nível transacional / multi-canal / IA
Tecnologia adequada provê maior visibilidade, triagem,
capacidade de identificação de autoria e modus operandi
20. Mobile Forensics
Laboratórios de Perícia Digital
Bloqueadores de Escrita
Duplicadores de MídiasSoftwares de
Análise PericialArmazenamento Portátil
Aquisição em campo
Computadores
Especializados
21. Laboratório de Perícia de Alta Performance:
Tendência mundial: Colaboração
Mídia Memória
Local Offline
Escopos
Espaço-Tempo
22. Resposta a Incidentes
Forense Remota de Mídias, Memória & CyberSecurity
Capacidade de Identificação e Remediação de Ameaças
Mídia Memória
Remota Online Offline
Escopos
Espaço-Tempo
23. 24
Forense de Rede e Consciência Situacional
Germany
Decoder
France
Decoder
Concentrator
European Operation
Investigator Informer
Branch Office
Decoder
Branch Office
Decoder
Branch Office
Decoder
Branch Office
Decoder
Concentrator Concentrator
Geographically Dispersed Locations
Corporate HQ
Concentrator
Decoders
Investigator Informer
Concentrator
Data Center / SOC
Internet POPDecoder
CIRT, Fraud, Cyber-Threat Teams
NetWitness NextGen
Sample Deployment
Scenarios
http://www.forensedigital.com.br
Rede
Remota Online Offline
Escopos
Espaço-Tempo
25. Correlação de Milhões de Eventos Diários
Anti
Virus
Anti
Virus
Bancos de
Dados
ApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsAplicaçõesAnti-Virus
SO de Servers e
Desktop
Equipamentos
De Rede
Vulnerability
Assessment
Intrusion
Detection
Systems
FirewallsFirewallsFirewallsFirewallsFirewallsFirewalls/
VPN
Sign-OnSign-OnGerenciamento
De Identidade
Serviços de
Diretório
Atributos de
Usuários
Infraestrutura
Física
Processos de
Negócio
Mainframes
Correlação de Eventos em Infraestruturas Críticas