Upload
tranngoc
View
215
Download
0
Embed Size (px)
Citation preview
The World Leader in Digital Investigations™
© 2012 Guidance Software, Inc. All Rights Reserved.
EnCase® y La Seguridad de Informacion
En OrganizacionesCuando la Seguridad y el Tiempo son Esenciales...
Tony GreyIngeniero de Ventas, LatinoamericaGuidance Software
Que Vamos A Charlar Hoy?
Cibercrimen
Cumplimiento y Auditoria
• PCI/SOX
• Leyes de Privacidad
• Interno
Metodos proactivos contra fraude
Cibersecuridad, malware y respuestas de incidentes
Hay Un Negocio Criminal en Crescimiento
Que Ya Esta Buscando Tus Datos
Noviembre 2007 Noviembre 2011
El Negocio de Cibercrimen: Esquemas
Desarolladores
De Herramientas
Herramientas
Gusanos
Troyanos
Spyware
Abusadores
- Primera Etapa
Hacker/Ataque
Directo
Máquinas
Cosechadas
Información
Cosechada
Robos Internos/Abuso de Privilegio
Resultados
Servidores
y Aplicaciones
Comprometidos
Creación de
Redes de Bots
Gestión de
Redes de Bots
Información
Privada
Bolsas de
Información
Propiedad
Intelectual
Abusadores
Segunda Etapa
DDOS
para alquilar
“Spam”
“Phishing”
Envenenamiento
DNS
El Robo
de Identidad
Valor
Final
Competencia
Criminal
Robos
Espionaje –Corporativo/
Gobierno
Pagos de
Extorsión
Ventas comerciales
Ventas fraudulentas
Ingresos de
los Clics
Fraude
Financial
Desarolladores
De Malware
Fuente: United Nations Interregional Crime and Justice Institute
Extorsion
PrivacidadMensajes Personales, Chats, Fotos, Llamadas,
Identificacion/ubicaciones de familia y amigos
FinancialCuentas Bancarias, Cambios de info clave de
cuentas, Sequestracion de cuenta de email
Uso Spam Email Comercial, facebook, twitter, phishing
Informacion
Cosechada
Contactos, MS drive, Dropbox,, Google docs,
cuentas de hosting, licencias de software
Informacion
De Trabajo
Documentos en Email, email de trabajo,
FEDEX/UPS, Info de VPN, SalesForce,
Items de Valor Solo En Una Cuenta de Email
Tarjetas de
Credito
iTunes US$8
US$25
FEDEX US$6
GroupOn US$5
GoDaddy US$4
Facebook/
TwitterUS$2.50
Email <US$0.25
Valor Comercial de Una Cuenta Hoy
Guidance Software
Líder reconocido en las investigaciones digitales
Empresa en la bolsa de valores NASDAQ
Extensa Base Global de Clientes
• Más de 50,000 organizaciones usan EnCase® a nivel Mundial
▫ Las mas grandes agencias/entidades de gobierno
• Miles de clientes de nivel Enterprise, incluyendo:▫ Más de cien de las empresas “Fortune 500” y más de 65% de las “Fortune 100” en los Estados
Unidos.
▫ Implementado en más de 50 millones de desktops, notebooks y servers
▫ Mas de 200 de las mayores agencias gubernamentales
Organizaciones financieras que valoran la seguridad usan EnCase
• Los 10 bancos mas grandes del mundo
• 9 de los 10 bancos mas grandes de México
• Bolsas de valores
▫ NASDAQ
▫ NYSE
▫ NY Mercantile Exchange (NYMEX)
▫ Chicago Mercantile Exchange
Muchas empresas conocidas en Latinoamérica
EnCase : Presencia dominante en el mercado
a través de las Industrias
Energía / ServiciosBásicos
SegurosBancos/
FinancierasTecnologia Telecomun. Retail/CPG
Fabricas/
Industrial
Farma/
Biotec.
Petrobras
Chevron
Koch
Halliburton
DTE
El Paso
Anadarko
PSEG
SoCal Edison
Dominion
Seg. Caracas
Liberty Mutual
AIG
Allstate
Nationwide
USAA
Amer. Family
CIGNA
Hartford
Kaiser
UnitedHealth
Bank of America
Citigroup
JPMorgan Chase
Wells Fargo
Scotiabank
HSBC
DeutscheBank
Barclays
PNC
Visa
MasterCard
Morgan Stanley
UBS
Amex
BANCOLOMBIA
Banesco
Bradesco
Intel
Motorola
McAfee
Sony
Microsoft
RIM
Symantec
Cisco
EMC
HP
NetApp
Intuit
Oracle
Yahoo!
Qualcomm
Broadcom
TIM Brasil
AT&T
Cox
Verizon
Sprint
Vodafone
BT
Bell Canada
CANTV
Qwest
Movistar
Vonage
Oi
Comcast
C&W Pma
ENTEL
TELESP
Lowe’s
Home Depot
Target
Best Buy
OfficeMax
Big Lots
P & G
McDonald’s
SuperValu
Disney
Safeway
Coca-Cola
Boeing
UTC
GE
Rolls-Royce
Toyota
Lockheed
Ford
Textron
Diebold
Honeywell
Eaton
Honda
Gen. Dynamics
Northrop
Hyundai
Volkswagen
Amgen
Genentech
Life Tech.
AstraZeneca
Roche
Novartis
Pfizer
Purdue Phar.
Watson
Wyeth
Biogen Idec
Gilead
Glaxo-
SmithKline
Sanofi-
Aventis
• Mas de 50,000 Clientes de EnCase• Mas del 65`% de los Fortune 100 y mas del 30% de los Fortune 500
Caso principios de la evaluación / revisión basada en la Web
EnCase
Command
Center
EnCase “Tech Stack”
EnCase Enterprise(Forense Remoto)
EnCase Forensic ("Dead-box" o forense "independiente")
EnCase
eDiscovery(Apoyo de Litigacion y
Cumplimiento)
EnCase
Cybersecurity(Securidad de Datos y
Repuestas para Incidentes)
EnCase® CybersecurityDatos de Auditoría y Seguridad
Endpoint Data Audit
Escenario # 1: Monitoreo Para Cumplimiento
y Verificación de Datos Confidenciales
Auditoría Escalable y Eficiente de la Información Sensible
Mitigar el riesgo de los datos
sensibles en lugares no
autorizados
Ejemplos de Topologías Flexibles Con EnCase Para
Cumplimiento y Auditoria de Datos
Examiner
Sede Central
Examiner
Target Node
Target Node
SAFE
Sucursal
Target Node Target Node Target Node
WANN
o
A
c
c
e
s
o
A
c
c
e
s
o
Examiner
Oficina Principal B
Target Node
Target Node
Target Node
Examiner
Auditoria completa de:
- Documentos, imagenes e emailscon información confidencial.
- Chats y rastreo de transferenciasde archivos.
- Información en Exchange
y Lotus Notes.
- Investigación en otras fuentes
de información como Sharepoint.
- Documentos e emails borrados.
-Configuraciones y versiones
de hardware y software.
-Borradores de documentos
y versiones antiguas.
Target Node
Target Node
Servidores
Oficina Principal A
Target Node
Target Node
Target Node
N
o
A
c
c
e
s
o
Target Node
A
c
c
e
s
oServidores
Taxonomía de Uso EnCase
Cumplimiento PCI/SOX
Propiedad Intelectual
Malware Desconocido
Lavado de Dinero
Recursos Humanos
Malware Conocido
Ejemplos de Casos de Uso Artefactos
Documentos Estratégicos
Detectar
Monitorizar
Analizar
Recolectar ParaAnálisisExterno
Responder
Informar
Resultado(s)
Au
dit
orí
as
Es
tru
ctu
rad
as
Inve
sti
ga
cio
ne
s
No
Es
tru
ctu
rad
as
Privacidad de los Datos
Personales
Robo Interno
Esquemas de Fraude
Archivos con
Posibles Rastros
De Evidencia
Coincidencias
Exactas
Datos Cercanos
Indicadores
EnCase® CybersecurityRespuesta a Incidentes
EnCase® Cybersecurity
Escenario #2: Respuesta Contra Fraude
Transformando Una Organización desde Reactiva a
Proactiva
Comparando Productos de EnCase en el Uso Contra
Fraude
Funcionalidad Enterprise Cybersecurity eDiscovery
Buscar numeros de cuentas, tarjetas de creditos X X X
Detectar cambios de extensiones de archivos X X X
Descubrir aplicaciones usables para fraude X X X
Buscar las comunicaciones entre redes de genteinvolucrada en fraude
X X X
Incluir archivos borrados en la busqueda X X X
Posesion de numeros de cuentas que son falsos o no son legitimos
manualmente X X
Establecer una linea base de archivos conocidos manualmente X
Detectar documentos similares X
Remediar documentos y archivos X
Escanear una coleccion mas de una vez X
Detectar capturas de pantalla u otras imagenes con informacion confidencial
X
Revision de detalles con los abogados o los gerentes X
EnCase
La Defensa en Capas es Importante:
La Realidad de Cibercrimen
Estudio: Las Actividades Cibernauticas Ilícitas Relacionadas con el Fraude en el Sector de Servicios Financieros de EE.UU.
Estudiaron 80 casos de fraude entre 2005 y 2012.
• 67 casos de fraude internos
• 13 casos externos
Publicado por:
• el Departamento de Seguridad Nacional (DHS)
• el Servicio Secreto de los EE.UU. (USSS)
• el Centro CERT, parte de Instituto Ingeniería de Software de Carnegie Mellon University.
La Defensa en Capas es Importante:
La Realidad de Cibercrimen
Algunas conclusiones del estudio:
• En sólo un 6% de los casos la actividad fraudulenta fue detectada con la prevención de pérdida de datos (DLP).
• En la mayoría (41%) el fraude fue descubierto a través de auditorías periodicas o improvisadas.
• En más de la mitad de los casos, los criminales utilizan alguna forma de acceso autorizado, ya sea actual o autorizado en una fecha anterior.
• Los criminales que ejecutaron una estrategia "baja y lenta" logrado más daño y escapado a la detección durante más tiempo.
("Insider Threat Study: Illicit Cyber Activity Involving Fraud in the U.S. Financial Services Sector“)
La Defensa en Capas es Importante:
La Realidad de Cibercrimen
Inicio del
TrabajoComienzo
de Fraude
Detección
Despedido
Notificación
a la Policía
Dictamen
Legal
Hasta el comienzo de fraude Hasta la detección Policía Convicción
61.6 31.8 0 4.8 16.3El Tiempo
en meses
entre fases
("Insider Threat Study: Illicit Cyber Activity Involving Fraud in the U.S. Financial Services Sector“)
Cómo EnCase Complementa DLP
Si su organización tiene un DLP o está pensando en comprar un DLP
• EnCase puede auditar datos proactivamente
EnCase protege la información en casos de uso que no están cubiertos por la mayoría de los sistemas DLP:
• Datos confidenciales en correo electrónico interno, correo electrónico web y mensajería instantánea
• Información detectable mediante OCR en imágenes
• Verificación de la configuraciones de hardware y software
• Las vulnerabilidades de seguridad de la información
• Información contenida en los diversos tipos de dispositivos móviles
• Información en otros idiomas
EnCase puede excluir carpetas personales en el contexto de leyes de “habeas data” sin reconfiguracion addicional
Cómo EnCase Complementa DLP
Tiempo
Escen
ari
os
DLP
EnCase
El Despliegue del DLP La Verificación del DLP
Escenarios No Cubiertos
por DLP
Verificación Con EnCase
Mas Opciones Para Casos Dificiles…
Por Ejemplo
• Coincidencias Parecidas
• Ejecutables diferentes con el mismo código
• Reenvio de correos electrónicos
• Volumenes cifrados
EnCase Cybersecurity puede ayudarte con
funcionalidad que mide la diferencia entre archivos,
usando una escala entre 0 y 8
Archivos que son similares se auto-agrupan con
otros valores similares
EnCase® CybersecurityRespuesta a Incidentes
EnCase® Cybersecurity
Escenario #3: Respuestas a Incidentes y Ataques Ciber
Clasificación Automática y Manual
El Sistema de Alertas Es Agnóstico – Mientras que una
integración de referencia se discute por Arcsight, cualquier alerta
o solución para gestión de eventos puede ser integrada para
lograr estos beneficios.
EnCase y Las Respuestas de Incidentes
Cybersecurity
Creacion de lineas de bases para definir el normal
• Monitoreo de sistemas
• Integracion con otras herramientas de seguridad
Documentacion de cambios en estados de maquinas
Identificacion de Malware Conocido
• Integracion con listas blancas/negras (NIST, Bit9, etc.)
• Respuestas a alertas de otras herramientas
Clasificacion de malware y archivos desconocidos
Remediacion de los amenazas
Verificacion que no tiene reinfeccion
Recreacion del incidente y causas
Pre-Incidente
Deteccion y
Analisis
Erradicaccion y
Restauracion
Post Incidente
Info
rmes
Respuestas Tradicionales a Incidentes
DLP
Anti Virus
Firewall
Intrusion
Deteccion
Monitoreo
Network
SEIM
DLP
Anti Virus
Firewall
Intrusion
Detection
Network
Monitoring
SEIM IR Platform
Integración con EnCase® CybersecurityGestión Automatizada de Incidentes
Cualquier
software
IR Platform
Testimonios de Clientes
“Con una oficina sobre uno, EnCase [Enterprise] es mi primera herramienta forenseEsta me provee el Factor Multiplicador de fuerza crítica que me permite continuar con mi carga pesada de casos forenses en adición a mis deberes normales de Oficial de Seguridad de Información.”
Johnie Sullivan, Information Security Officer & Forensic Investigator, UNLV.
“EnCase nos Ahorró más de 1 millón de Dólares en los 6 primeros meses de su uso. Ademasnos permitio completar una investigación crítica en el caso de una Adquisición de otraEmpresa, que habria sido imposible con cualquier otro software u opciones de servicios existentes en el mercado actual.”
Ted Barlow, CSO&VP, Risk Management, McAfee, Inc.
Oferta
Especial Solo Para Participantes del INFOSEC Argentina (limitado por 60 dias o hasta 5 de noviembre)
• EnCase Cybersecurity
• Hasta 2000 nodos
• Entremiento Incluido
▫ EnCase Enterprise
▫ EnCase Cybersecurity
Oferta: EnCase Cybersecurity con 2000 nodos y entremiento para un precio total menos que 50% del precio de solo la licencia de 500 nodos
Sitio Web
• http://www.encase.com
• http://www.encase.com/es
Cursos
• http://www.guidancesoftware.com/c
omputer-forensics-training-
courses.htm
Portal de suporte
• http://support.guidancesoftware.com
Siganos
• Facebook:
facebook.com/guidancesoftware
• Twitter:
▫ twitter.com/encase
▫ Twitter.com/LATAMTony
(espanol)
• v7 Twitter HashTag: #EF7
• Grupo En LinkedIn
▫ Usuarios de EnCase en Español
Más Recursos de EnCase En El Internet
Preguntas y Contactos
Guidance Software – America Latina
• Director de Ventas – Corey Johnson:
• Ingeniero de Ventas – Tony Grey
Guidance Software
Programa Consejero (GAP)
El Programa Consejero de Guidance Software (GAP) está diseñado para fortalecer su equipo de trabajo, aumentar los niveles de madurez del proceso y reducir el riesgo en las areas prácticascubiertas por el portafolio de productos EnCase®: E-discovery, Cyber Security e InvestigaciónDigital.
Consultores Expertos Proveyendo asistencia, instrucción, dirección o apoyo en caso directo a su equipo
Proceso de analisis alrededor de e-discovery, cyber security e investigaciones digitales, comparando suproceso con las mejores prácticas de la industria.
Infraestructura EnCase® Sintonizada para asegurar la exitosa adopción de EnCase® en sus procesoscomerciales y operaciones.
Un Plan de Programa Personalizado desarrollado desde un portafolio lleno de servicios profesionalesofrecido por Guidance Software, perfeccionando las recomendaciones para mover su negocio adelante, mejorando la eficacia y reduciendo el riesgo.
Un Consultor Consejero, sirviendo como un administrador del Programa, quien esta intimamente informadosobre su entorno y le provee un punto de contacto sencillo entre usted y todos los recursos de Guidance Software.
Acceso a expertos atraves de Guidance Software, incluyendo expertos legales y de la industria y Direcciónde recursos y Desarrollo de Productos Guidance Software
Evaluaciones en Curso para rastrear su progreso hacia objetivos de negocio con resultados insumables.
Ideas para Usar GAP en la Superintendencia
Recursos de entrevista, evaluación de niveles de madurez del proceso y líneamientos de base establecidos. Evaluar los nuevos procesos y comparar con los Lineamientos de Base.
Proveer instrucción sobre la administración o uso de EnCase®.
Sistemas de Alertas Integradas a EnCase® Cybersecurity.
Establecer Procedimientos de Operacion estandar para las tareas.
Proveer evaluación en curso, implementación y evaluación de los procesos.
Desarrollar políticas que cubran los procedimientos.
Cómo funciona
EnCase Software Componentes
Utiliza exactamente el mismo agente inteligente
pasivo que EnCase Cybersecurity y eDiscovery
De 128-bit AES de encriptación utilizados para la
comunicación segura entre los componentes
El servicio funciona en varias versiones de Windows, basado en
Unix (incluyendo OSX), y los sistemas operativos NetWare
Certificado por FIPS 140-2, Common Criteria EAL2 y DIACAP
EnCase Enterprise Componentes
SAFE (Autenticación segura para EnCase)
Autentica a los usuarios, administra los derechosde acceso, mantiene registros de las transaccionesde EnCase, las comunicaciones corredores y prevéla transmisión segura de datos.
El SAFE se comunica con los examinadores y los
nodos de destino utilizando los flujos de datos
encriptados, asegurando que no haya información
que puede ser interceptada e interpretada.
The Examinador
Software que permite a los investigadores para
llevar a cabo la respuesta a incidentes,
investigaciones y auditorías en los sistemas
reconocidos.
Clave de Seguridad (Dongle)
Dispositivo de licencias física que
controla la funcionalidad del producto
disponible para los clientes.
Snapshot
Instantánea rápida captura de
datos volátiles, proporciona
información detallada sobre lo que
estaba ocurriendo en un sistema
en un punto dado en el tiempo.
Servlet o Agente
Una forma no intrusa, la auto-
actualización, el agente de software
pasivo instalado en las estaciones
de trabajo y servidores para la
protección en cualquier momento.
Conexión Simultánea
Una conexión segura virtual
establecida entre el examinador
y los equipos de destino.
Topología Ejemplo de Despliegue
Oficina Principal A
Examiner
Aggregation Database
Sede Central Corporativa
Sucursal
Target Node
Target Node
Target Node
Oficina Principal B
SAFE
Target Node Target Node Target Node
Examiner
Target Node
Target Node
Target Node
SAFE
Target Node
Examiner
Target Node
Target Node
Target Node
WAN