Forensics in information security
kennis verschaft inzicht, geïllustreerd aan de
hand van ervaringen uit cybercrime onderzoeken
Wie ben ik?
Christian Prickaerts GCFA CISSP
Manager Forensic Services
Docent voor o.a.
– Digitaal Forensisch Onderzoek
– Verdieping Cybercrime
– Docent SANS institute
Werkzaam als deskundige in de rechtbank
Beschermen van klanten tegen cyberdreigingen
Crypto: Ensure secrets remain secret
•Risk education & mitigation
•SkyTale, DataDiode, RedFox, SecuVOICE
Cybercrime: Secure information & systems from fraud, theft & malware
•Monitoring & prevention, audits & training.
•Security Operations Center. DetACT for Online Banking
Forensics: Investigate & solve crimes
•Digital investigations, incident response & forensics lab
•Fox Tracks Inspector
•Official analysis of Comodo/DigiNotar
…of black Swan?
• Hoge impact
• Moeilijk te voorspellen
• Psychologische blinde vlek
– “Onmogelijk” scenario
https://zoek.officielebekendmakingen.nl/blg-191225.pdf https://zoek.officielebekendmakingen.nl/blg-191225.pdf
Incident Response
• NIST's Computer Security Incident Handling Guide
Gemiddeld # dagen tussen inbraak en detectie: 60
Security Intelligence
Intelligence = Informatie over de tegenstander
Succes factor voor security intelligence is vaststellen intentie
Veiligstellen – een voorbeeld
• Veiligstellen van 265 systemen, 400 schijven
• Extra kopieën voor opsporing (versleuteld)
• Gebruik van:
– Normale acquisitie & Encase Enterprise
– 3 man permanent op locatie
Wachten.....
• Doorlooptijd ongeveer drie weken…….
– Netwerk infrastructuur uit jaar 0 (100 mbps)
– Beperkte toegang tot locatie
Use the force
• Altijd en alles imagen is niet zaligmakend
• Oplossing: live forensics
– Combineren van:
• Geheugen
• Bestandssysteem informatie
• Besturingssysteem informatie
• Applicatie informatie
• Informatievoorziening IR proces
C:
Volume shadow copy 6
Volume Shadow Copy
Volume shadow copy 5
Volume shadow copy 4
Volume shadow copy 3
Volume shadow copy 2
Volume shadow copy 1
Security Intelligence: “Kill Chain”
Analyse van succesvolle inbraak
Analyse en synthese van niet succesvolle inbraak
GRR – Google Rapid Response
• Agent based systeem (Windows, OSX, Linux)
– Communicatie over Internet via HTTP
– Ajax UI met schaalbare backend
• Open source
– Apache
– Mongo NoSQL backend
Ondersteunt IR/Forensics taken
Top Related