Forensics in information security

kennis verschaft inzicht, gellustreerd aan de

hand van ervaringen uit cybercrime onderzoeken

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Wie ben ik?

Christian Prickaerts GCFA CISSP

Manager Forensic Services

Docent voor o.a.

Digitaal Forensisch Onderzoek

Verdieping Cybercrime

Docent SANS institute

Werkzaam als deskundige in de rechtbank

prickaerts@fox-it.com

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Beschermen van klanten tegen cyberdreigingen

Crypto: Ensure secrets remain secret

Risk education & mitigation

SkyTale, DataDiode, RedFox, SecuVOICE

Cybercrime: Secure information & systems from fraud, theft & malware

Monitoring & prevention, audits & training.

Security Operations Center. DetACT for Online Banking

Forensics: Investigate & solve crimes

Digital investigations, incident response & forensics lab

Fox Tracks Inspector

Official analysis of Comodo/DigiNotar

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

400

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

3 weken tot maanden

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

2 dagen

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Detectie.

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Known suspects

Pagina 9

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Black tulip?

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

of black Swan?

Hoge impact

Moeilijk te voorspellen

Psychologische blinde vlek

Onmogelijk scenario

https://zoek.officielebekendmakingen.nl/blg-191225.pdf https://zoek.officielebekendmakingen.nl/blg-191225.pdf

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Incident Response

NIST's Computer Security Incident Handling Guide

Gemiddeld # dagen tussen inbraak en detectie: 60

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Security Intelligence

Intelligence = Informatie over de tegenstander

Succes factor voor security intelligence is vaststellen intentie

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

2 oktober2012

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Pagina 15

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

2 oktober2012

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Op zoek naar informatie...

Pagina 17

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Veiligstellen een voorbeeld

Veiligstellen van 265 systemen, 400 schijven

Extra kopien voor opsporing (versleuteld)

Gebruik van:

Normale acquisitie & Encase Enterprise

3 man permanent op locatie

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Wachten.....

Doorlooptijd ongeveer drie weken.

Netwerk infrastructuur uit jaar 0 (100 mbps)

Beperkte toegang tot locatie

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Dat kan ongetwijfeld beter..

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Use the force

Altijd en alles imagen is niet zaligmakend

Oplossing: live forensics

Combineren van:

Geheugen

Bestandssysteem informatie

Besturingssysteem informatie

Applicatie informatie

Informatievoorziening IR proces

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Malware paradox

Pagina 22

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Memory Forensics

Pagina 23

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Advanced Filesystem Forensics

Pagina 24

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Volume Shadow Copy Examination

Pagina 25

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

C:

Volume shadow copy 6

Volume Shadow Copy

Volume shadow copy 5

Volume shadow copy 4

Volume shadow copy 3

Volume shadow copy 2

Volume shadow copy 1

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Tijdlijn

Pagina 27

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Security Intelligence: Kill Chain

Analyse van succesvolle inbraak

Analyse en synthese van niet succesvolle inbraak

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Modus Operandi

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Know thy enemy

Pagina 31

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Know thy system

Pagina 32

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

GRR Google Rapid Response

Agent based systeem (Windows, OSX, Linux)

Communicatie over Internet via HTTP

Ajax UI met schaalbare backend

Open source

Apache

Mongo NoSQL backend

Ondersteunt IR/Forensics taken

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

Vragen

Pagina 34

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/

http://creativecommons.org/licenses/by-nc-sa/3.0/nl/