Forensics in information security

kennis verschaft inzicht, geïllustreerd aan de

hand van ervaringen uit cybercrime onderzoeken

Wie ben ik?

Christian Prickaerts GCFA CISSP

Manager Forensic Services

Docent voor o.a.

– Digitaal Forensisch Onderzoek

– Verdieping Cybercrime

– Docent SANS institute

Werkzaam als deskundige in de rechtbank

prickaerts@fox-it.com

Beschermen van klanten tegen cyberdreigingen

Crypto: Ensure secrets remain secret

•Risk education & mitigation

•SkyTale, DataDiode, RedFox, SecuVOICE

Cybercrime: Secure information & systems from fraud, theft & malware

•Monitoring & prevention, audits & training.

•Security Operations Center. DetACT for Online Banking

Forensics: Investigate & solve crimes

•Digital investigations, incident response & forensics lab

•Fox Tracks Inspector

•Official analysis of Comodo/DigiNotar

400

3 weken tot maanden

2 dagen

<10 procent zelf gedetecteerd

Detectie….

Known suspects

Pagina 9

Black tulip?

…of black Swan?

• Hoge impact

• Moeilijk te voorspellen

• Psychologische blinde vlek

– “Onmogelijk” scenario

https://zoek.officielebekendmakingen.nl/blg-191225.pdf https://zoek.officielebekendmakingen.nl/blg-191225.pdf

Incident Response

• NIST's Computer Security Incident Handling Guide

Gemiddeld # dagen tussen inbraak en detectie: 60

Security Intelligence

Intelligence = Informatie over de tegenstander

Succes factor voor security intelligence is vaststellen intentie

2 oktober2012

Pagina 15

2 oktober2012

Op zoek naar informatie...

Pagina 17

Veiligstellen – een voorbeeld

• Veiligstellen van 265 systemen, 400 schijven

• Extra kopieën voor opsporing (versleuteld)

• Gebruik van:

– Normale acquisitie & Encase Enterprise

– 3 man permanent op locatie

Wachten.....

• Doorlooptijd ongeveer drie weken…….

– Netwerk infrastructuur uit jaar 0 (100 mbps)

– Beperkte toegang tot locatie

Dat kan ongetwijfeld beter..

Use the force

• Altijd en alles imagen is niet zaligmakend

• Oplossing: live forensics

– Combineren van:

• Geheugen

• Bestandssysteem informatie

• Besturingssysteem informatie

• Applicatie informatie

• Informatievoorziening IR proces

Malware paradox

Pagina 22

Memory Forensics

Pagina 23

Advanced Filesystem Forensics

Pagina 24

Volume Shadow Copy Examination

Pagina 25

C:

Volume shadow copy 6

Volume Shadow Copy

Volume shadow copy 5

Volume shadow copy 4

Volume shadow copy 3

Volume shadow copy 2

Volume shadow copy 1

Tijdlijn

Pagina 27

Security Intelligence: “Kill Chain”

Analyse van succesvolle inbraak

Analyse en synthese van niet succesvolle inbraak

Modus Operandi

Know thy enemy

Pagina 31

Know thy system

Pagina 32

GRR – Google Rapid Response

• Agent based systeem (Windows, OSX, Linux)

– Communicatie over Internet via HTTP

– Ajax UI met schaalbare backend

• Open source

– Apache

– Mongo NoSQL backend

Ondersteunt IR/Forensics taken

Vragen

Pagina 34

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/