Forensics in information security

of 34 /34
Forensics in information security kennis verschaft inzicht, geïllustreerd aan de hand van ervaringen uit cybercrime onderzoeken

Embed Size (px)

Transcript of Forensics in information security

  • Forensics in information security

    kennis verschaft inzicht, gellustreerd aan de

    hand van ervaringen uit cybercrime onderzoeken

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Wie ben ik?

    Christian Prickaerts GCFA CISSP

    Manager Forensic Services

    Docent voor o.a.

    Digitaal Forensisch Onderzoek

    Verdieping Cybercrime

    Docent SANS institute

    Werkzaam als deskundige in de rechtbank

    [email protected]

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Beschermen van klanten tegen cyberdreigingen

    Crypto: Ensure secrets remain secret

    Risk education & mitigation

    SkyTale, DataDiode, RedFox, SecuVOICE

    Cybercrime: Secure information & systems from fraud, theft & malware

    Monitoring & prevention, audits & training.

    Security Operations Center. DetACT for Online Banking

    Forensics: Investigate & solve crimes

    Digital investigations, incident response & forensics lab

    Fox Tracks Inspector

    Official analysis of Comodo/DigiNotar

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • 400

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • 3 weken tot maanden

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • 2 dagen

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Detectie.

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Known suspects

    Pagina 9

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Black tulip?

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • of black Swan?

    Hoge impact

    Moeilijk te voorspellen

    Psychologische blinde vlek

    Onmogelijk scenario

    https://zoek.officielebekendmakingen.nl/blg-191225.pdf https://zoek.officielebekendmakingen.nl/blg-191225.pdf

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Incident Response

    NIST's Computer Security Incident Handling Guide

    Gemiddeld # dagen tussen inbraak en detectie: 60

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Security Intelligence

    Intelligence = Informatie over de tegenstander

    Succes factor voor security intelligence is vaststellen intentie

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • 2 oktober2012

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Pagina 15

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • 2 oktober2012

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Op zoek naar informatie...

    Pagina 17

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Veiligstellen een voorbeeld

    Veiligstellen van 265 systemen, 400 schijven

    Extra kopien voor opsporing (versleuteld)

    Gebruik van:

    Normale acquisitie & Encase Enterprise

    3 man permanent op locatie

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Wachten.....

    Doorlooptijd ongeveer drie weken.

    Netwerk infrastructuur uit jaar 0 (100 mbps)

    Beperkte toegang tot locatie

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Dat kan ongetwijfeld beter..

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Use the force

    Altijd en alles imagen is niet zaligmakend

    Oplossing: live forensics

    Combineren van:

    Geheugen

    Bestandssysteem informatie

    Besturingssysteem informatie

    Applicatie informatie

    Informatievoorziening IR proces

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Malware paradox

    Pagina 22

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Memory Forensics

    Pagina 23

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Advanced Filesystem Forensics

    Pagina 24

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Volume Shadow Copy Examination

    Pagina 25

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • C:

    Volume shadow copy 6

    Volume Shadow Copy

    Volume shadow copy 5

    Volume shadow copy 4

    Volume shadow copy 3

    Volume shadow copy 2

    Volume shadow copy 1

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Tijdlijn

    Pagina 27

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Security Intelligence: Kill Chain

    Analyse van succesvolle inbraak

    Analyse en synthese van niet succesvolle inbraak

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Modus Operandi

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Know thy enemy

    Pagina 31

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Know thy system

    Pagina 32

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • GRR Google Rapid Response

    Agent based systeem (Windows, OSX, Linux)

    Communicatie over Internet via HTTP

    Ajax UI met schaalbare backend

    Open source

    Apache

    Mongo NoSQL backend

    Ondersteunt IR/Forensics taken

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • Vragen

    Pagina 34

    http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

  • http://creativecommons.org/licenses/by-nc-sa/3.0/nl/