Forense Digital: dando o
quarto passo da
segurança em TI
Celso Hummel
Gerente Regional
E-mail:
[email protected]
1
Quem Somos?
 1ª Empresa Brasileira a se dedicar
totalmente à Forense Digital.
 Fornecedores das principais forças
de lei, organismos de inteligência e
mercado financeiro do Brasil.
 Representante dos maiores
fabricantes mundiais de tecnologia
forense digital.
2
Agenda
• Conceitos e tendências.
• Forense digital, como
ferramenta de:
–Resposta a incidentes,
–Gestão de Conteúdo,
–Anti-Fraude,
–Compliance
3
Tendências e Desafios do
Mundo Atual
• As organizações continuam a se
defender contra o crescente número
de ataques de rede
• A cada dia os ataques estão mais
sofisticados e contando com
adversários mais estruturados como:
–
–
–
–
Crime Organizado
Agências de Inteligência extrangeiras
Grupos Terroristas
Espionagem empresarial
4
Tendências e Desafios do
Mundo Atual
• Desafios Internos também impactam:
–
–
–
–
–
Problemas com Insiders
Proteção de dados do Cliente
Proteção da propriedade intelectual
Compliance e Regulamentação
Fluidez Tecnológica
5
Caso Real
Atualmente 45% das quebras de
segurança corporativas são geradas
internamente
Caso Real
Perfil do Fraudador*:
• 68% estão na Média e Alta Gerências
• 80% tem curso superior completo
• Predominantemente do Sexo Masculino
• Idade média entre 31 e 40 anos
*Pesquisa sobre crimes econômicos - PWC 05
Caso Real
Polícia prende cabeça que organizava
roubo de Notebooks em Taxis em São
Paulo.
Os HDs eram vendidos pela quadrilha
Caso Real
Forense Digital & Segurança
Defesa de
Perímetro
Avaliação de
vulnerabilidades
Detecção
de Intrusos
 Firewalls
 IDS
 VPNs
 Scanners de
vulnerabilidade
 Controle de
Acesso
 Levantamento
de ameaças
 Sniffers
Resposta a
Incidentes.
e Forense
 Pessoas e
processos
 Autenticação
Defesa de Redes
 Investimentos
consolidados
 Pouca estimativa de novos
investimentos
Detecção
 Em investimento
 Dinheiro perdido
sem a resposta à
incidentes
Resposta
 Sem investimentos
ganhos e riscos
Roubo
Dinheiro, informações
confidenciais ou de clientes
Produtividade
Dados destruídos, tempo para
recuperação
Decorrentes
Redução de custos
Fidelização de clientes
Aumento de receitas
Expansão de mercados
Novos modelos de
negócio
Vantagem competitiva
perda de vendas potenciais,
vantagem competitiva,
impacto na marca
Exposição legal
falha em fechar contratos,
falha em atingir
regulamentação de
privacidade
Caso Real
O quarto passo:
• “Investigação forense”
Termo utilizado para definir qualquer
tipo de investigação na qual seja
necessário conhecimento técnico.
04/11/20
15
Forense Digital
• Faz parte da Resposta/Reação
• Conjunto de técnicas
– Coleta e armazenagem (cadeia de custódia)
– Análise
– Apresentação/Relatórios
• Ser juridicamente aceito
15
Uma Nova Profissão:
Perito digital
Profissional que segue
metodologias e procedimentos
técnicos bem definidos e
aceitos
04/11/20
15
Porque Forense Digital?
•Conflito entre funcionários
•Vazamento de informação
•Uso indevido de aplicações legítimas
•Vírus e outros malwares
•Uso de aplicações não autorizadas
•Disseminação de conteúdo impróprio
•Quem apagou esse documento?
•Fraude
17
04/11/20
15
Porque Forense Digital?
• Atendimento a normalizações de
melhores práticas para resposta a
incidentes: SOX, 3380, ISO 27001, etc...
(Auto-proteção)
• Resposta adequada
• Deixar claro na corporação que as
análises são feitas profundamente. A rede
é sua... E está em suas mãos. (não há
prevenção melhor que a certeza de punição)
• Tornar a atividade de análise de
conformidade uma rotina automatizada.
18
04/11/20
15
Como Começar?
• Planejamento administrativo
– Criar estrutura na política de segurança
– Consolidar a metodologia
– Designar os papéis da “legislação
interna”
• Planejamento Tecnológico
– Treinamento conceitual
– Orçamento ferramental
– Estabelecimento de Métricas
19
04/11/20
15
Quais os seus requisitos?
• É necessário duplicar discos?
• Existem missões externas?
• É necessário forense on-line em
disco?
• Processos em execução em RAM?
• Armazenar tráfego de rede? (Cabo
e WiFi)
• Há riscos de uso de técnicas antiforense avançadas?
20 à
• Os processos podem ser levados
O Essencial
•
•
•
•
•
Preservar original (duplicação)
Recuperar arquivos
Busca por palavras-chave
Análise de assinatura
Análise de hash
Salvaguarda dos Dados
• Bloqueio de escrita durante o processo de
análise
• Software e Hardware para prevenção à
contaminação de dados
Complexidade
•
•
•
•
Diversidade tecnológica
Volume de dados
No de incidentes
No de “vítimas” e
“suspeitos”
A Solução Completa
Investigação
&
Auditoria Corporativa
Detecção e Resolução
de Fraudes
Resposta a Incidentes
Software, Serviços e Best Practices
Auditoria
Alguns Casos
Caso
No.
#1
• Assédio Moral
–Recuperação de emails
apagados
–Procura por palavras-chave
–Identificação de navegação
com a internet
Caso No. #2
• Identificação de Vazamento
de Informação
–USB
–Celular
Caso No.#3
• Coleta de informações para
utilização na justiça
–Busca de padrões
–Recuperação de
informações
“apagadas”
Infraestrutura de Investigações
– Investiguar qualquer máquina, em qualquer lugar a qualquer
momento
– Eliminar a necessidade de trazer um disco físico para
investigações
– Identifique discretamente os envolvidos em fraudes
– Encontre documentos,emails apagados, artefatos de internet
(Webmail, MSN, etc)
– Procure por padrões de aplicativos em execução
– Rastreabilidade de tempos de acesso á aplicações
Compliance / Auditoria
– Adequação às demandas executivas para demonstrar
capacidade de diminuir perdas
– Valide e imponha a aplicação das políticas internas
– Rastreamento de mídias removíveis (USB, CD/DVD, etc)