sexta-feira, 15 de julho de 2016

Cinco coisas que você precisa saber sobre o EnCase Forensic 8



O tão esperado lançamento da Guidance está chegando. A partir de um trabalho em parceria com a comunidade forense, a Guidance desenvolveu o EnCase Forensic 8 tendo os usuários em mente. O time de gerenciamento de produtos da fabricante passou um bom tempo entendendo as necessidades dos clientes, analisando as suas requisições por melhorias e pesquisando como o cenário da investigação digital deve evoluir nos próximos anos. Com essas informações em mãos, começaram a trabalhar no roadmap que endereçará os desafios encontrados pelos examinadores forenses. No próximo dia 26 de julho, terça-feira, Steve Salinas, gerente de marketing de produtos da Guidance, e Rob Batzloff, gerente de produtos da Guidance, conduzem o webinar "Melhores Práticas em Investigação Digital com o EnCase v8" (inscreva-se aqui). Neste post, traduzimos o artigo publicado nesta quarta, no blog da Guidance Software. Boa leitura!

Hoje, eu gostaria de falar sobre cinco coisas importantes que é preciso saber sobre o EnCase Forensic 8 e dar um gostinho do que vem pela frente. Vamos lá:


  1.  EnCase Forensic 8 não é uma nova plataforma: você deve ter ouvido falar que a Guidance planejava introduzir uma nova plataforma forense com o lançamento da versão 8. Sob certo ponto de vista, sim, este era o plano, mas depois de conversar com todos os nossos clientes, mudamos a direção. Ouvimos dos clientes que os que eles realmente queriam era que o EnCase Forensic permitisse completar investigações de forma mais eficiente, sem atrasá-los. Em resumo, assim será. Ficou claro, vocês não precisam ou querem uma nova plataforma de investigação. Portanto, temos o prazer de anunciar que o EnCase Forensic 8 inclui mais de cinco anos de aperfeiçoamos desenvolvidos no EnCase Forensic 7, mas não é uma nova plataforma. 
  2.  EnCase Forensic 8 e EnCase Forensic 7 são simpáticos: um dos principais objetivos para o lançamento do EnCase Forensic 8 era tornar simples a transição entre as versões. Pelo fato de a infraestrutura para este lançamento permanecer a mesma, conseguimos cumprir o nosso objetivo. Todos os EnScripts da versão 7, templates de relatórios, condições, filtros e casos funcionarão na versão 8. É verdade, nenhuma conversão se faz necessária. Você pode iniciar um caso na versão 7, trabalhar parte dele na versão 8 e voltar à versão 7 sem problemas. O EnCase Forensic 8 é 100% compatível com a versão 7. 
  3.  EnCase Forensic 8 vem carregado com melhorias de usabilidade, e isso é só o começo: estamos comprometidos a um processo de contínua inovação que é direcionado às necessidades dos clientes. Neste lançamento inicial do EnCase Forensic 8, estamos entregando soluções para as requisições de usabilidade mais pedidas e continuaremos a atualizar o nosso software com as mudanças solicitadas pelos usuários.  
    • Por exemplo, na versão 8, quando você seleciona um arquivo (marca com o blue check), ele ficará selecionado. Você pode salvar o caso, reabri-lo e, boom, o arquivo selecionado continuará selecionado. 
    • Outra melhoria de usabilidade é a adição de um botão de refresh. Este botão permite atualizar o que você está vendo na visualização de entrada depois de realizar alguma ação, como rodar uma análise de hash/sig. Isso é um grande poupador de tempo em relação às versão anteriores. 
    • Estes são apenas dois exemplos sobre como estamos comprometidos em tornar o trabalho com EnCase Forensic apropriado ao seu dia a dia. Em cada lançamento você verá mais e mais melhorias requisitadas aparecendo no produto e não se surpreenda se receber uma ligação do gerente de produtos querendo falar sobre a sua solicitação.     
  4. Gerenciar os seus EnScripts, Conditions e Filtros está bem mais fácil com o EnCase Forensic 8: outra grande melhoria é a habilidade de gerenciar EnScripts, conditions e Filtros a partir da interface do usuário principal do EnCase Forensic. Estou feliz em anunciar que trouxemos de volta essa capacidade. Como em versões anteriores do EnCase Forensic, agora você pode gerenciar EnScripts, Conditions e Filtros a partir de um painel da interface do usuário principal, chamado de “quarto painel”, pelos antigos usuários do EnCase. Você também perceberá que estamos oferecendo condições default e filtros, o que facilita o processo de achar os arquivos que você necessita.
  5. Mais lançamento, mais foco: finalmente, a Guidance Software está comprometida em oferecer lançamentos de versões do EnCase Forensic 8 mais frequentemente. Com o intuito de ajudá-lo a ser mais eficiente em seu backlog de casos. Neste lançamento inicial adicionamos três grandes funcionalidade (mostradas abaixo) e você pode esperar mais do mesmo em bases regulares: 
    • Integração ao Project VIC que o ajudará a identificar vítimas conhecidas de crimes de exploração infantil. 
    •  Fluxos de trabalho investigativo para reduzir o tempo de rampa aos novos investigadores forenses 
    • Relatórios de triagem para suas necessidade de relatórios ad-hoc durante as investigações 
Pois bem, essas são as cinco coisas que você precisa saber sobre o EnCase Forensic 8. Sendo você um usuário atual da versão 7 ou da versão 6, eu acho que você vai gostar de usar a nova versão. Na Guidance estamos comprometidos a trabalhar com você, da comunidade forense, para entender como podemos continuar a fazer do EnCase Forensic uma ferramenta ainda melhor.

quarta-feira, 13 de julho de 2016

Blog dá dicas úteis sobre ferramentas e práticas de forense digital



O consultor  da TechBiz Forense Digital, Robert Ferreira, começou a escrever o blog Consultor Forense, com dicas sobre ferramentas e práticas de investigação digital. Compilamos aqui algumas delas, mas, quem quiser mais do que a degustação, sinta-se bem-vindo para visitar a página do Robert.


Como obter a chave de criptografia do Whatsapp Crypt8 e sua base de dados 

Usuários que possuem dúvidas para realizar extração da base de dados do WhatsApp e da chave de descriptografia, podem utilizar o software "WhatsApp Key DB Extractor V3", que é uma ferramenta open source e bem simples de se utilizar. Basta realizar o download do software, descompactar a pasta e executar o arquivo WhatsAppKeyExtract.bat, porém é preciso estar atento aos seguintes detalhes:
  1. O aparelho deve ser conectado ao computador desbloqueado, e com o modo de depuração USB habilitado;
  2. O aparelho deve-se ter o Java instalado;
  3. O computador deve estar conectado à internet, pois a aplicação irá baixar um complemento para possibilitar a extração da chave. 

Como utilizar o Live View no EnCase (PDE Emulator) 

O Live View é uma ferramenta forense baseada em Java que cria uma máquina virtual VMware a partir de uma imagem (exemplo: DD/E01) ou disco físico. Isso permite que o examinador forense inicialize um disco e tenha uma visão interativa de usuário, tudo sem modificar a imagem subjacente ou disco. Pelo fato de que todas as alterações feitas para o disco são gravadas em um arquivo separado, o examinador pode imediatamente reverter todas as suas mudanças ao estado original do disco.

Pacote de Revisão do EnCase para otimizar resultados 

O EnCase Review Package é uma maneira fácil de os examinadores forenses compartilharem suas descobertas com agentes de campo ou qualquer outra pessoa interessada no caso, proporcionando visibilidade sobre as provas para uma ampla gama de pessoas, o que garante a conclusão mais rápida das investigações e de forma "colaborativa". Você pode consolidar os resultados de pesquisas em um pacote de revisão que pode ser analisado por entidades externas. Pacotes de revisão podem ser uma combinação de e-mal ou arquivo com resultados de pesquisas feitas a partir de palavras-chaves indexadas.

segunda-feira, 25 de abril de 2016

UFED 5.0 diminui drasticamente o tempo para se chegar à evidência


A Cellebrite acaba de lançar a versão 5 do UFED Physical Analyzer que tem como principal diferencial a redução drástica do tempo de investigação e o foco nos dados que são de fato cruciais. Hana Gazoli nos contou no blog do fabricante quais são esses importantes "poupadores de tempo" que farão diferença no dia a dia de um perito, e nós, da TechBiz Forense Digital, fizemos a livre tradução do artigo original, que se encontra aqui. Boa leitura!

Peneirar dados é um processo que consome muito tempo – um usuário americano médio ocupa 10,8 GB da capacidade de armazenamento de seu dispositivo*, e levando-se em conta diferentes opções de recuperação de dados no UFED Physical Analyzer, esse processo pode levar várias horas para se completar. O UFED 5.0 foi lançado com grandes “poupadores de tempo”, recursos que drasticamente reduzem o tempo de investigação e permite ao investigador focar nos dados que são cruciais ao seu caso. A versão 5.0 traz cinco funcionalidades exclusivas e suporte a 19.203 perfis de dispositivos e 1.528 versões de app.


Mescle várias extrações em um relatório único e evite deduplicações 

Os clientes pediram, nós desenvolvemos. Com o UFED Physical Analyzer 5.0, é possível agora mesclar múltiplas extrações oriundas de múltiplos dispositivos em um projeto unificado, e incluir extrações lógica, física e de sistema de arquivo. Os dados extraídos são apresentados a partir de uma árvore de projeto que oferece um resumo unificado da extração com informações do dispositivo por extração, a habilidade de acessar cada extração separadamente e a indicação da fonte original da extração. Se requerido, você também pode combinar extrações de diferentes dispositivos.




 Essa poderosa funcionalidade poupa o seu tempo não apenas por combinar as extrações, mas também por remover as deduplicações (informações duplicadas e redundantes), e e agrupar registros similares e duplicados para análise rápida e eficiente. Os seguintes tipos de extração podem ser agrupados: lógica, sistema de arquivo lógico avançado, física, SIM card, JTAG, SD Card e UFED Camera Evidence.

“Ser capaz de instantaneamente navegar para onde está localizada cada parte do dado no dump de memória é extraordinário. Isso poupa horas em cada investigação complexa”, diz um investigador. 

Valide os seus dados da forma correta 

O processo de validação final poupa tempo e recursos ao oferecer a mais efetiva e eficiente forma de realizar um processo real e preciso ao validar os dados decodificados com o arquivo-fonte original; portanto, reduzindo a sua necessidade de usar outras ferramentas de forense móvel para extrações adicionais para comparar e validar os resultados.

Cada artefato recuperado possui uma fonte que é originalmente derivada e pode ser usada mais tarde para validar os dados. Se anteriormente você gastava seu tempo pesquisando manualmente a fonte original, o UFED Physical Analyzer 5.0 agora rastreia de volta o conteúdo automaticamente decodificado à sua fonte. Cada registro extraído agora inclui informações sobre a fonte de arquivo em uma visualização de tabela ou no painel à direita com a informação do dispositivo.

Cada link aponta aos dados de correção e incluem o nome do arquivo fonte, que pode ser incluído no relatório do UFED quando for necessário testemunhar em um processo jurídico. Por exemplo, utilizando o UFED Physical Analyzer 5.0, um investigador pode facilmente ver a partir do arquivo fonte original que um SMS recuperado era um artefato deletado, uma vez que ele foi recuperado da memória do dispositivo. O SMS também é visível e destacado em visualização hex, quando se clica na informação sobre a fonte do arquivo (o arquivo db de onde o SMS veio também é mostrado no painel da direita).



 Foque nos arquivos de mídia relevantes com filtros comuns de imagem 

 Outro poupador de tempo adicionado à versão 5.0 é a nova funcionalidade de filtro que economiza um enorme tempo nas investigações. O UFED Physical Analyzer 5.0 automaticamente filtra imagens comuns ou conhecidas, permitindo que você foque nas imagens que precisa para ter rápido acesso à evidência, em vez de perder tempo analisando milhares de imagens que são ícones padronizados dos dispositivos ou que venham como parte de uma instalação de aplicativos.

 O valor de hash MD5 está agora disponível para cada dado de arquivo extraído, e é visível na interface de usuário e no relatório de saída como parte do processo de decodificação. Os valores de hash também podem ser exportados em um Excel para facilmente comparar valores de hash suspeitos ou não identificados com as suas bases de dados.

 Como você pode usar essa útil funcionalidade? Digamos que você tenha 200 valores de hash de imagens indecentes em sua própria base de dados. Você pode facilmente criar uma “watch list” para todos os valores de hash da sua base de dados, e rodar a “watchlist” para encontrar uma pesquisa páreo para as mesmas imagens no dispositivo. Em caso de uma combinação, uma foto de nu, por exemplo, será detectada na dispositivo. Outra possibilidade é exportar os valores de hash do dispositivo ao excel e rodar uma combinação com a sua base de dados, bem como expandir sua lista com novos valores de hash que pertencem a fotos suspeitas contendo nudez.

 Como mostrado na imagem abaixo, se fosse anteriormente você tinha que analisar 24.998 imagens, agora você tem menos de 900 imagens para analisar.  Para visualizar todas as imagens, clique em filter reset ou remova a opção de auto-filtro nas Configurações.



 Acesse dados de aplicativos bloqueados com a extração de sistema de arquivo 

 A versão 5.0 introduz outra capacidade exclusiva ao oferecer acesso a dados de aplicativos bloqueados quando a extração física não está disponível para um dispositivo específico. A introdução de novas versões de aplicativos também trazem novos desafios, como o fato de eles não estarem mais disponíveis para backup usando o método Android de backup, uma vez que estão bloqueados para serviços de backup. O UFED supera essa limitação com a nova opção chamada método de downgrade APK, também disponível via extração de sistema de arquivo. Este método temporariamente faz o downgrade do app (ou arquivo .apk) para uma versão anterior que é compatível ao backup Android. O UFED apresentará a lista de apps instalada no dispositivo e aquelas disponíveis para downgrade. Abra a extração no UFED Physical Analyzer para decodificar os dados decodificados e intactos de aplicativos. O suporte a Apps populares inclui WhatsApp, Facebook, Facebook Messenger, Line, Telegram, Gmail, KIK e mais.

 Extraia dados usando Temporary root (ADB) e reforce o método bootloader 

 A solução Temporary root (ADB) foi aprimorada para suporta dispositivos Android 110 rodando OS 4.3-5.1.1 para sistemas de arquivo e métodos extrações físicas (quando o ADB está ativado). Extrações físicas é a solução mais abrangente. Extração lógica de dados de apps também está disponível para dispositivos listados usando a solução de root temporário. Como parte de sua investigação, você precisa ter acesso a todos os dados armazenados em um dispositivo móvel.

A solução de root temporário (ADB) permite uma extração física para dispositivos 110 Android, e elimina a necessidade de se fazer o root no dispositivo manualmente usando uma ferramenta externa. Ferramentas de terceiros oferecem um root permanente, enquanto a solução temporária de root da Cellebrite é removida após ser reiniciada e garante a extração forense. Com um comprometimento constante aos consumidores, a Cellebrite continua a superar os desafios de extração e evitar as limitações dos dispositivos ao oferecer as últimas capacidades para se extrair dados. O método bootloader foi melhorado na versão 5. Esta solução de bloqueio de bypass única está agora disponível para 27 dispositivos adicionais (chipset APQ8084), incluindo Galaxy Note 4, Note Edge e Note 4 Duos.

 A versão 5.0 também introduz extração física e suporte a decodificação para uma nova família de dispositivos TomTom; bem como sistemas de arquivo e extração lógica e a decodificação também foi adicionada aos dispositivos recentemente lançados, incluindo iPhone SE, Samsung Galaxy S7 e LG G5. Assista ao vídeo abaixo para saber mais sobre os destaques do novo UFED 5.0.


https://www.youtube.com/watch?v=zu444PZzC6Y

quinta-feira, 7 de abril de 2016

Monitoramento: o que podemos aprender com a NASA

*Por Wellington Morais



Como construir um monitoramento de segurança que agregue valor estratégico, detectando e respondendo aos ataques cibernéticos que podem comprometer a imagem da sua companhia? A monitoração é o coração da resposta a incidente e a NASA pode nos ajudar a entender esta questão. Através de um processo contínuo e automatizado baseado na detecção pela observação, a NASA disponibiliza um site com informações sucintas sobre os objetos que podem causar um potencial impacto em nosso planeta no futuro.

Sentry é o nome do sistema de monitoramento de colisão que realiza um estudo contínuo. Este estudo ocorre em um período de 100 anos partindo do ano vigente. Com o passar do tempo alguns objetos saem do escopo da monitoração, pois estudos atuais mostram que determinados asteroides já não representam tanto risco, isso denota que a classificação do risco não é estática e pode sofrer alterações ao longo do tempo, isso precisa estar claro para que o monitoramento reflita a gravidade do cenário e não se submeta a obsolescência. Dentre outras informações, a planilha contém o nome do objeto, um intervalo de anos do possível impacto e a velocidade em Km/s do objeto (Fonte: http://neo.jpl.nasa.gov/risk/ - 29-03-2016).

Certamente a NASA estuda o Universo pelos mais variados motivos, mas o texto acima permite-nos raciocinar na direção de que parte dos esforços consiste na manutenção da espécie humana no planeta. Mas como? Primeiro destaco a missão, pois há um grande interesse em estudar o Universo, bem como descobrir os perigos que podem acarretar a extinção da raça humana. Uma equipe orientada por uma ferramenta não será tão eficaz como uma equipe orientada por uma missão. Em segundo lugar, observo a relevância dos eventos produzidos: os registros de eventos estabelecem o fundamento para os sistemas de monitoramento automatizados, os quais são capazes de gerar relatórios consolidados e alertas na segurança do sistema. Por ultimo, mas não menos importante, pontuo a escolha da ferramenta adequada, ao passo que ela precisa ser capaz de receber, interpretar e correlacionar dados oriundos dos diversos objetos. É o que faz o Sentry, ajuda a gerir a segurança do planeta em face aos perigos contidos no espaço.

Para a NASA, o esforço da monitoração é consequência do risco atribuído ao impacto da colisão. Via de regra, todo árduo trabalho ligado à segurança gira em torno da gestão de risco, que é o objetivo maior da disciplina de segurança. Voltamos à pergunta inicial. Como construir um monitoramento de segurança que agregue valor estratégico, detectando e respondendo aos ataques cibernéticos que podem comprometer a imagem da sua companhia? A quantidade de objetos flutuando no espaço é incontável, todavia, atualmente a NASA monitora cerca de 27 asteroides. Contudo, o que isso significa no contexto do monitoramento de segurança que estamos discutindo?

"Um programa de monitoramento contínuo de segurança da informação é de difícil implementação, mas quando bem estruturado tira a sua empresa da obscuridade, trazendo às claras as ameaças e vulnerabilidades que até então estavam encobertas"


Nossa primeira lição está em entender que o monitoramento de segurança é um processo em que o seus resultado não pode ser fruto do acaso, ele deveria entrar em cena para entregar informações que reflitam o cenário da ameaça, provendo os insumos necessários para a tomada de decisão da alta gestão (27 asteroides que oferecem risco ao planeta). Caso contrário, o que deveria ser um progresso tem tudo para virar uma armadilha, criando uma percepção de que o monitoramento não agrega valor, que não é estratégico.

A segunda lição é entender que não se pode monitorar tudo, o foco deve restringir-se ao que realmente interessa (o que oferece risco ao planeta) tirando o foco do que é importante (quantidade de objetos que flutuam no espaço) e colocando a atenção naquilo que é essencial (27 asteroides que oferecem riscos ao planeta). Muito ataques são automatizados e precisam ser contidos por controles também automatizados. Em grandes companhias, principalmente em ambientes heterogêneos e distribuídos, a variedade de sistemas torna-se um agravante para a disciplina da segurança, frente à quantidade de diferentes controles e aplicações instaladas nestes ambientes para conter ataques. 

Então, nossa terceira lição, é análoga à experiência da NASA, pois concentra-se em identificar uma solução que traga informações dos ativos distribuídos para uma ferramenta centralizada (Sentry monitora a colisão). Mas essa aplicação deve ser capaz de receber, interpretar, correlacionar e escalonar os eventos de segurança dos diversos dispositivos para uma avaliação mais especializada. Embora seja um conceito e não uma ferramenta, estou me referindo ao SIEM.

Nossa quarta lição é a escolha da ferramenta adequada. Minha experiência em muitos projetos me permite descrever o HP ArcSight como um poderoso instrumento capaz de fazer a gestão dos eventos de segurança, observando comportamentos suspeitos que visam comprometer sistemas. O ArcSight detém recursos que vão muito além dos SIEM's convencionais e nos permite gerir a segurança em todas as camadas organizacionais. Possui recursos que avaliam a eficácia dos controles, geram indicadores dos status dos controles, acompanham e alertam as alterações realizadas em ambientes críticos, fornecem uma visibilidade situacional, ou seja, traz a consciência das ameaças e das vulnerabilidades que circundam os ambientes ao tempo presente.

O ArcSight consegue identificar tendências que nos tornam aptos a antever, em tempo hábil, cenários de ameaças que nos moldes tradicionais levariam meses para a construção de um diagnóstico. A aplicação detecta ataques em curso, fornecendo medidas de contenção automatizada quando estruturado para tal. Possui conectores que interpretam eventos de muitos ativos de mercado e outros conectores que podem ser desenvolvidos para atender sua necessidade, em particular no que se refere à monitoração de eventos de segurança. O Arcsight é uma poderosa ferramenta.

Conclusão 


Em qualquer projeto, é fundamental compreender as razões para o sucesso, assim como os fatores que possam eventualmente provocar o fracasso. O objetivo desse artigo não é descrever um método, mas fornecer alguns critérios que o ajudem a entender a importância que a monitoração tem na estratégia da sua organização. Um programa de monitoramento contínuo de segurança da informação é de difícil implementação, mas quando bem estruturado tira a sua empresa da obscuridade, trazendo às claras as ameaças e vulnerabilidades que até então estavam encobertas.

O ArcSight tem recursos suficientes que lhe permite observar, supervisionar, detectar incidentes de segurança de diversas naturezas em todas as camadas organizacionais, desde que o ambiente proposto esteja em condições de receber o monitoramento. Monitoramento é a ultima etapa de um ciclo, que entra em cena quando todas as questões já foram claramente entendidas, para que a atividade não se submeta à obsolescência e o foco esteja sempre pautado no risco ao negócio.

Maior do que a intensidade do estímulo é a magnitude da resposta, por isso reitero que o monitoramento de segurança é o coração da resposta a incidente, afinal, não se responde ao estímulo que não foi detectado.


Referências:

  • ISO 27002 - Códigos de práticas para gestão da segurança da informação;
  • NIST SP 800-137 - Information Security Continuous Monitoring;
  • NASA - National Aeronautics and Space Administration - http://neo.jpl.nasa.gov/risk/



*Wellington Morais é analista forense da TechBiz Forense Digital. 

sexta-feira, 11 de março de 2016

O mercado milionário das milhas: saiba como o ArcSight pode auxiliar as companhias aéreas na detecção de fraudes

*Luiz Henrique Borges


O mercado negro do furto de milhas fez hoje mais uma vítima: eu mesmo. Uma simples busca no Google nos dá dimensão sobre o tamanho do problema. São aproximadamente 290.000 resultados retornados para a simples sentença: furto de milhas.

Não há dados oficiais do setor aéreo sobre o montante perdido anualmente com esse e outros tipos de movimentações fraudulentas. Apostaria, sem medo de errar, que o prejuízo gira em torno dos milhões de reais.

“Quem está se especializando na fina arte de acumular milhas aéreas já descobriu que elas constituem uma espécie de ativo financeiro, na medida em que tem valor econômico.” 





Mas, como utilizar o ArcSight como um aliado no combate a esse tipo de fraude? O ArcSight é amplamente conhecido pela sua capacidade de monitorar e rastrear incidentes de segurança. O que você provavelmente não sabe é que o ArcSight também é muito útil na identificação de fraudes, que podem ser causadas de diversas formas.

Fraude é na verdade um problema de detecção de anomalias. O ArcSight pode ser configurado para monitorar atividades em tempo real de um determinado cliente, inserido em um contexto específico, para identificar um padrão normal de comportamento. Qualquer desvio comportamental do cliente caracterizará uma anomalia. Alguns exemplos de situações que correlacionadas podem ser uma violação:

• Bilhetes emitidos para terceiros
• Bilhetes emitidos para trechos não habituais
• Bilhetes com datas de embarque próximas da emissão (apenas dias de diferença)
• Bilhetes emitidos por funcionários da companhia
• Emissão de múltiplos bilhetes de uma mesma conta
• Múltiplas contas que são acessadas por um mesmo endereço IP
• Acessos para uma mesma conta utilizando informações distintas de: browser, endereço IP, sistema operacional ou provedor
• Compras/vendas de bilhetes na internet em sites “indevidos”






Através de seus mais de 30 recursos, o ArcSight permite que as companhias enderecem as mais diversas necessidades, provendo consciência situacional em tempo real e consequentemente diminuindo o tempo de resposta, evitando ou minimizando assim as perdas financeiras.

Além disso, o ArcSight melhora o ROI (retorno sobre investimento) e entrega maior flexibilidade na manipulação de regras que um sistema convencional para detecção de fraudes. Sendo assim, fica fácil justificar aos altos executivos da companhia sobre a necessidade de aquisição de uma solução que irá atender diversos clientes/setores internos.

No entanto, seja cauteloso! Nem tudo parece ser o que realmente é... Poucas são as soluções de SIEM atualmente existentes no mercado que possuem recursos que permitem esse tipo de adaptação.




* Luiz Henrique Borges é consultor forense na TechBiz Forense Digital. Especialista nas soluções RSA Security Analytics, HP ArcSight e EnCase Cybersecurity. Possui as seguintes certificações: HP Accredited Technical Professional ArcSight ESM 6.5 Administrator V1, RSA Certified SE Professional in Security Analytics, CompTIA Security+, RHCE, RHCSA, LPIC-1, NCLA e NDTS.

quinta-feira, 18 de fevereiro de 2016

Certificação e treinamento Cellebrite Certified Mobile Examiner




Está na dúvida se vale ou não fazer o treinamento da Cellebrite e obter as certificações CCLO e CCPA? O especialista forense Clark Walton passou por essa experiência e deu a sua opinião no artigo da revista digital Forensics Focus. E, claro, nós, da TechBiz Forense Digital, parceiros da Cellebrite, traduzimos aqui as impressões de Walton. 


 Em Janeiro de 2014, participei dos treinamentos Cellebrite Certified Logical Operator (CCLO) e Cellebrite Certified Physical Analyst (CCPA), em um curso de uma semana realizado em Washington, DC e ministrado pelo instrutor certificado da Cellebrite, Joe Duke. Os treinamentos CCLO e CCPA são predicados necessários para para a certificação Cellebrite Certified Mobile Examiner (CCME), a principal certificação forense da Cellebrite. O curso capacita os investigadores e analistas a realizar extrações de sistemas de arquivo, extrações físicas, bypasses de senhas e análise avançada de itens de evidência utilizando o software UFED Physical Analyzer.

 Em junho de 2015 eu fiz a revisão de meio dia da Cellebrite para o exame CCME, e tirei a certificação CCME no mesmo dia. O objetivo dessas três certificações, cada uma desenvolvida a partir da outra, é determinar a proficiência e domínio em forense e análise de dispositivos móveis com a solução de primeira linha da Cellebrite.

 Background 

 Mesmo tendo treinamento anterior na área, do começo ao fim, achei o treinamento da Cellebrite inestimável, tanto para entendimento sobre os fundamentos de funcionamento de um dispositivo móvel, quanto para entender os princípios da captura, exame e testemunho sobre evidências digitais, bem como para entender os aspectos práticos sobre a operação do software UFED (Cellebrite Universal Forensic Extraction Device) Touch e UFED 4PC. Apesar de os cursos CCLO e CCPA sejam agora oferecidos online, participei da edição presencial e vivenciei o hands-on, e tive a oportunidade de ter o instrutor ao meu lado para responder questões complexas e resolver problemas.  
O material escrito e os manuais fornecidos em cada curso também foram bastante úteis e impressionantes. Em cada curso recebi pastas impressas com guias e apêndices que cobrem todos os slides e cada passo de todos os processos nos cursos CLO e CCPA. Mesmo após dois anos, eu ainda busco referências neste material quando me deparo com questões específicas ao examinar um dispositivo móvel com o Cellebrite.


 Cellebrite Certified Logical Operator (CCLO) 

 O curso CCLO representa os dois primeiros dias do treinamento (meu programa de treinamento incluiu o CCPA imediatamente após o CCLO). Joe Duke, nosso instrutor, passou cuidadosamente por cada módulo do programa (oito ao todo), em cada caso buscando exemplos do mundo real e oferecendo ponteiros práticos que não teriam tanto impacto se fossem apenas oferecidos por escrito. As principais áreas cobertas no curso foram as seguintes:

 1. Introdução (administração geral do curso, materiais e similares).
 2. Visão geral sobre a tecnologia dos dispositivos móveis e tendências (visão geral sobre a tecnologia dos dispositivos móveis, fatores diferentes dos formatos de dispositivos móveis, as bases dos celulares e a tecnologia wireless e como os dados são armazenados nesses dispositivos. Discussões sobre os fatores que modelam as mudanças nas tecnologias, volume de dados móveis e tendências em aplicativos, desenvolvimento e impacto em forense).
 3. Ciência forense e os dispositivos móveis (visão geral sobre a importância de, procedimentos para, melhores práticas, técnicas e documentação relacionadas à forense e dispositivos móveis. Ênfase na preservação da evidência e manutenção da integridade da evidência.)
 4. UFED Touch Overview (Tour geral sobre o dispositivo UFED Touch e suas funcionalidades. À parte: eu inicialmente usei o UFED 4PC na minha prática e ainda acho útil e aplicável. Mesmo que sua organização use o UFED 4PC, entender o dispositivo touch ainda é de grande valor).
 5. Logical Analyzer (Como utilizar o software Cellebrite Logical Analyzer para abrir e trabalhar com extração lógica de evidência. Usuários experientes da tecnologia Cellebrite notarão que o Logical Analyzer é uma versão limitada do Physical Analyzer, abordado no curso CCPA).
 6. Geração de relatórios com as ferramentas Cellebrite e uso do UFED Reader.

 Cada módulo envolve ações hands-on e o suporte de apostilas para os exercícios práticos. A prática inclui resolução de casos encontrados no mundo real tais como o uso do software Cellebrite Phone Detective para identificar certos dispositivos, obtendo extrações lógicas de dispositivos móveis, clone de SIM cards, extração de SIM cards e senhas e pesquisa avançada no Logical Analyzer. 

Competências da matéria foram testadas ao final dos dois dias de curso a partir de um exame com questões por escrito e exercícios hands-on que valiam a certificação Cellebrite CCLO.

 Cellebrite Certified Physical Analyzer (CCPA) 

 O curso CCPA representa a segunda parte da semana, com aproximadamente três dias de treinamento. O curso CCPA, como deveria ser, é muito mais profundo, e fornece uma visão intensa dos dados brutos capturados em dispositivos móveis – a extração física de dispositivos requerendo uma compreensão dos códigos binários, representação hexadecimal e, em última análise, outros tipos de codificação comumente encontradas em telefones tais como Short Messaging Service (SMS) Packet Digital Unit (PDU).

 O layout do curso CCPA é similar em formato ao curso CCLO, mas, outra vez, trata-se um mergulho mais profundo nas camadas de dados armazenados em dispositivos móveis e em como analisar esses dados - não apenas “os frutos mais fáceis de serem colhidos”, mas outras camadas que podem ser menos óbvias. O curso inclui as seguintes seções, em extensão ao que não é coberto no treinamento CCLO:

 1) Media system files e codificação (explorando vários sistemas de arquivo de celular, memória flash e tipos de codificação de dados).
 2) Visão geral sobre o UFED Touch e sobre o software Cellebrite Physical Analyzer.
 3) Técnicas avançadas de pesquisa.
 4) Verificação e validação de achados técnicos (particularmente valiosos, eu acho, para aqueles que vão testemunhar sobre o que foi encontrado).
 5) Relatando os achados técnicos.

 Em cada caso, como no CCLO, o instrutor fornece exemplos do mundo real para referir-se aos muitos pontos endereçados nos módulos de treinamento. As tabelas de ações passo-a-passo para o CCPA também enfatizam exercícios tangíveis para permitir que estudantes realizem muitos dos conceitos fornecidos no curso, incluindo, mas não limitados a, data carving, verificação de malware, análise de vários tipos de imagens em dispositivos físicos e outras funções de pesquisa mais complexas.

 O teste para obter a certificação CCPA consiste em uma combinação de exames em papel e exames hands-on de extrações físicas de vários tipos de dispositivos. Achei o teste para a certificação CCPA adequado para a minha preparação e para os os conceitos demonstrados no curso.


Conclusão 

 Eu, pessoalmente, achei a principal certificação da Cellebrite, os cursos CCLO e CCPA, inestimáveis para se tirar o maior proveito da suíte de software da Cellebrite (além de serem pré-requisitos para a certificação CCME). A série UFED da Cellebrite é amigável e permite que os usuários sigam intuitivamente as instruções e analisem desde as informações mais fáceis de coletar até o ambiente mais selvagem de um grande volume de dispositivos móveis. No entanto, para realizar verdadeiramente uma análise forense digital rigorosa e testemunhar em corte as evidências encontradas a partir de uma investigação baseada, eu, pessoalmente não me imaginaria realizando tais tarefas sem ter o treinamento em sala de aula e as práticas do hands-on oferecidas pelo programa de treinamento das certificações CCLO e CCPA. Nossa empresa continua utilizando os principais pontos de análise de dispositivos móveis aprendidos nesses cursos diariamente. Eu realmente aconselho o programa de treinamentos e certificações da Cellebrite para todos os níveis de usuários, de iniciantes a avançados examinadores de forense móvel.

 Clark Walton, EnCE, CCME, é especialista forense e em cibersegurança da Reliance Forensics, e advogado licenciado. Walton é ex-procurador federal especial e ex-analista de ameaça cibernética e gerente de projeto técnico da Comunidade de Inteligência dos EUA. Neste papel, Walton informava à Casa Branca e fornecia análises de inteligência a consumidores de alto nível, incluindo o diretor do FBI, o advogado geral dos Estados Unidos e ao Escritório da Secretaria de Defesa. Twitter @clarkwalton.

sexta-feira, 12 de fevereiro de 2016

HP ArcSight ESM atua no combate a fraudes em importante banco da Turquia




A implementação da solução HP ArcSight Enterprise Security Manager (ESM) reduziu o volume de trabalho e o tempo de resolução de problemas no Finansbank. Transações suspeitas caíram 90% e as operações marcadas como sensíveis passaram a ser resolvidas em alguns minutos.  Acesse aqui o documento original. 

Resumo


  • Organização: Finansbank 
  • Desafio operacional: encontrar uma nova maneira de detectar fraudes, que pudesse ser rapidamente implementada e que oferecesse capacidade de análise flexível de acordo com os crescentes requerimentos envolvendo transações bancárias. 
  • Solução: HP ArcSight Enterprise Security Manager (ESM). 
  • Duração do projeto: Do conceito à produção, a solução levou aproximadamente 6 meses para ser implementada. 
  • Benefícios: reduzir o tempo de carga de trabalho e a resolução de problemas. Transações suspeitas caíram 90% e transações sinalizadas foram solucionadas em apenas alguns minutos. 


Case: HP ArcSight Enterprise Security Manager (ESM) no Finansbank 

 Com o crescimento da quantidade de transações eletrônicas e pagamentos em cartão, o Finansbank, um dos cinco maiores grupos bancários na Turquia, com aproximadamente 13 mil funcionários e quase 600 filiais, deparou-se com a necessidade de aprimorar o seu sistema de gerenciamento de fraudes. Com tanto valor em jogo, tentativas de comprometimento do sistema, uso de cartões ou credenciais roubadas, inevitavelmente, cresceram e as fraudes tornaram-se um desafio real.

 Alguns produtos foram testados e o HP ArcSight ESM foi selecionado devido ao poder e à flexibilidade de suas regras, à grande escalabilidade e à sua habilidade em processar vastas quantidades de informações e de logs de quase todas as fontes de dados para análise e correlação.
Além disso, a qualidade do suporte, tanto da HP quanto do parceiro de integração, foi muito bem avaliada.

Contexto 

As aplicações do Finansbank não possuíam capacidade antifraude. Apesar de alguns monitoramentos de transações estarem em uso, eles apenas cobriam os serviços mais críticos. Análise rotineiras básicas e inflexíveis significavam inundar desnecessariamente a equipe de gerenciamento de risco e fraude. Alguns milhares de transações por dia eram marcados como suspeitos, sendo que alguns levavam horas para serem processados, o que era um enorme dreno de tempo e dos recursos disponíveis. Além disso, se qualquer nova rotina de detecção de fraudes fosse necessária, o time de gerenciamento de fraudes do banco necessitaria submeter o requerimento à IBTech, subsidiária do grupo, que possui cerca de 700 funcionários envolvidos em operações de TI, análise, arquitetura e desenvolvimento. O pedido poderia levar dias ou mesmo semanas para ser concluído.

 O gerenciamento de fraudes objetiva identificar poucas transações suspeitas entre milhões das transações normais. Em muitos casos, esse procedimento é feito enquanto um cliente espera a conclusão de sua transação. Para que a experiência não seja prejudicial ao cliente, falsos positivos – em que transações legítimas são erroneamente marcadas como suspeitas e demandam outras análises e autorizações – precisam ser reduzidos ao máximo para evitar ansiedades e atrasos para o consumidor.

 Uma vez que uma transação é marcada como suspeita, uma decisão precisa ser tomada em segundos para que uma transferência de dinheiro ou pagamento sejam interrompidos antes que o dinheiro chegue ao destino.

Solução 

Para aumentar tanto o crescimento de receitas e a satisfação do consumidor, o Finansbank solicitou uma nova perspectiva para o gerenciamento de fraudes. Inicialmente, o Finansbank procurou implementar uma plataforma dedicada ao gerenciamento de fraudes, mas tornou-se rapidamente claro que o trabalho necessário para tal implementação demoraria cerca de 18 meses. Isso era muito mais do que o banco poderia esperar, então outras opções potenciais foram avaliadas. Dessas, a solução baseada no HP ArcSight Enterprise Security Manager (ESM) foi proposta pelo IBTech.

 Uma análise preliminar indicou que uma solução customizada de gerenciamento de fraudes poderia ser desenvolvida e implementada nesta plataforma dentro de seis meses. Em 2008, o Finansbank se deu conta de que havia um gap na visibilidade das atividades da infraestrutura de TI e embarcou na implementação do SIEM para incidentes de segurança e gerenciamento de eventos.

 A implementação inicial nas operações de segurança correu sem transtornos, levando o tempo estimado para instalar o sistema, criar as regras necessárias e configurar a ferramenta de correlação. Isso gerou a confiança do Finansbank de que o prazo de seis meses para a implementação do gerenciamento de fraudes poderia ser cumprido.

Implementação 

 Como planejado, o projeto de gerenciamento de fraudes levou seis meses da fase inicial à produção, e o orçamento também veio ligeiramente abaixo do previsto. Depois de ser implementada nos canais mais críticos, a nova plataforma de gerenciamento de fraudes provou que poderia responder rapidamente às transações autorizadas ou sinalizadas. Os resultados retornaram dentro de um limite máximo de 15 segundos, sendo que muitos foram processados bem abaixo desse prazo.

 Com essa performance, a plataforma de gerenciamento de fraudes tornou-se perfeita para autorização de transações financeiras a quase tempo real com o aplicativo principal do banco. A partir de outros testes, a plataforma de gerenciamento de fraudes da HP ArcSight ESM foi efetivamente escalada e rapidamente passou a proteger todos os canais de transação do banco que a gestão de fraude havia, anteriormente, apresentado falhas de capacidade.


Benefícios e desafios

Uma vez operando, a nova plataforma de gestão de fraudes começou a ter um impacto imediato. Através da criação flexível de regras e das avançadas capacidades de correlação da CORR-Engine construída no HP ArcSight ESM, o número de transações suspeitas caiu 90%, de alguns milhares por dia para centenas. Também houve uma queda significativa no tempo necessário para solucionar transações marcadas, com 80% de queda, de mais de uma hora para apenas alguns minutos com o novo sistema. Isso reduziu bastante o excesso de trabalho das atividades de gerenciamento de fraudes exercidas pelo time de risco.

 A engine de regras flexíveis também teve um grande impacto na habilidade do departamento de risco para responder a novas ameaças, liberando ao mesmo tempo a equipe de suporte da IBTech. O time de fraude possui acesso ao portal de gerenciamento de regras com capacidades self-service que permitem – com treinamento apropriado – criar regras próprias e White/ black lists em minutos, em vez de requerer isso à equipe da IBTech, o que demandaria dias ou semanas para fazer.

 Uma grande solicitação para o sucesso era adaptar a aplicação central do banco. Isso requeria aprovação do conselho e a modificação permitiu que a aplicação central alimentasse novos logs de transações na plataforma HP ArcSight e esperar por alguns segundos para que as rotinas de correlação rodassem e retornassem uma decisão antes de completar a transação. Essa modificação foi desenvolvida em paralelo e moveu-se para produção com a implementação do gerenciamento de fraudes HP ArcSight ESM.

 Para o especialista Erdem Alasehir havia uma preocupação de que o sistema teria problemas para lidar com uma grande e ativa lista. O default do sistema estava configurado para lidar com meio milhão de entradas, sendo que o Finansbank precisaria suportar mais de quatro milhões de entradas. O sistema foi testado para garantir que poderia lidar com o carregamento necessário, e não houve  impacto em escalabilidade ou performance na plataforma com o grande número de entradas. 

Conclusão 

A performance, escalabilidade e flexibilidade do HP ArcSight ESM permitiu ao Finansbank desenvolver uma plataforma customizada para o gerenciamento de fraudes mais rapidamente do que integrar plataformas comerciais de gerenciamento de fraudes. Isso aumentou rapidamente a visibilidade nas atividades de transação entre uma ampla gama de canais e ao mesmo tempo reduziu dramaticamente a inconveniência de falsos positivos. A implementação do ArcSight reduziu significativamente a exposição do banco a atividade ilegais enquanto, ao mesmo tempo liberou valiosos recursos internos e ajudou a aumentar a satisfação e a retenção de clientes.

 Metodologia 

 O projeto e s informações contidas neste documento foram obtidas de múltiplas fontes, incluindo informações fornecidas pela HP e questões feitas pelo IDC diretamente ao Finansbank e funcionários da IBTech.

 Sobre essa publicação 

 Essa publicação foi produzida pelo IDC Go-to-Market Services. Os resultados de opinião, análise e pesquisa apresentados aqui foram desenhados a partir de uma pesquisa mais detalhada e uma análise independente conduzida e publicada pelo IDC, a menos que um patrocínio específico do fabricante seja notado. O texto aqui reproduzido foi livremente traduzido e adaptado pela equipe de comunicação da TechBiz Forense Digital. 

quarta-feira, 27 de janeiro de 2016

Defesa de dados

Um panorama da cibersegurança sob a perspectiva de líderes corporativos e da remodelagem das práticas de proteção da informação. Leia abaixo a livre tradução do relatório da Nuix com informações coletadas em 2015. 


Descobertas importantes 


A segurança da informação deixou de ser um tópico obscuro em conversas entre profissionais de tecnologia e passou a ser uma um preocupação central entre os principais executivos (os chamados C-suite) de diferentes companhias do mundo. A influência da segurança da informação está crescendo em todos os aspectos do negócio. As verbas refletem o grande peso da cibersegurança nos negócios; equipes focadas na questão e treinamentos sobre o tema mostram a importância adquirida; a batalha contra brechas potenciais é agora um esforço coletivo e colaborativo; e a nuvem continua gerando discussões e conversas. A Nuix, parceira da TechBiz Forense Digital, recrutou a Ari Kaplan Advisors para entrevistar 28 profissionais de segurança corporativa para capturar as tendências-chaves do setor e resumimos aqui as suas descobertas.

 » Maior conhecimento do orçamento 
Mais profissionais de segurança estão familiarizados com a grandeza da verba de segurança que suas organizações dedicam para gerenciar e proteger seu perímetro versus a verba destinada à resposta e remediação dos incidentes. Em 2015, 61% sabiam como era feita a divisão dos recursos gastos em segurança comparados aos 54% de 2014.

 » O impacto regulatório nos gastos 
 O deslocamento do cenário regulatório está levando as organizações modificarem o destino de suas verbas. Metade dos participantes da pesquisa disse que as leis e regulamentações impactaram os gastos com segurança, sendo que em 2014 este número representou menos de um quarto.

 » A maioria dos entrevistados possui programas contra ameaças 
 Este é um grande foco: ameaças internas. Mais de dois terços (71%) dos respondentes possuíam um programa ou uma política para lidar com as ameaças internas; 21% atribuíram o aumento dos gastos do seu time de segurança à proteção adicional contra ameaças internas e 14% reportaram alocar 40% ou mais de sua verba para lidar com ameaças internas.

» Rastrear atividade dos invasores é um desafio para alguns 
 Apesar de quase todos os pesquisados (93%) relatarem ser capazes de identificar seus dados de valor crítico, apenas 69% disseram saber o que as pessoas fizeram com esses dados após acessá-los.

» Estar preparado para a resposta a incidentes é o foco 
Quase todos os entrevistados (96%) disseram possuir uma política de resposta imediata aos incidentes de segurança e 68% reivindicaram testar sua capacidade de resposta para garantir a conformidade com as políticas atuais e as colocam em prática várias vezes por ano - 21% disseram testar duas vezes ao ano e 32% realizam testes trimestralmente. Mais de um terço (36%) engajou-se em testes de bancada e 46% obtiveram respostas reais para os simulados sobre ameaças.

» Crescimento do BYOD (Bring Your Own Device) 
A grande maioria (82%) dos entrevistados disse que suas organizações possuem política de “bring-your-own-device” (BYOD) – um crescimento substancial em relação aos 69% dos respondentes em 2014. O número de organizações que permite acesso remoto é alto, mas tem caído: 86% em 2015 contra 96% em 2014.

» Comportamento humano ainda é um obstáculo para a segurança 
Um número crescente de entrevistados disse que o comportamento humano é a maior ameaça à segurança de sua empresa - 93% em 2015, contra 88% em 2014. Consequentemente, 39% escolhem o medo, em vez de melhores práticas, como a mais efetiva mensagem estratégica de segurança para evitar riscos, um crescimento em relação aos 31% que escolheram essa opção em 2014.

» Existe alguma consistência no uso da nuvem 
O número de organizações que estão migrando dados para a nuvem em 2015 caiu um pouco em relação a 2014, de 73% para 71%. Mas o número das que estão migrando sistemas para a nuvem caiu de 58% para 43%. Esta queda pode ser devido ao fato de muitas organizações já moverem seus dados e aplicações aos serviços da nuvem. Mais uma vez, a grande maioria dos entrevistados concorda que o uso da nuvem cria uma preocupação sem igual com a cibersegurança (86% em 2015 vs. 84% em 2014).

» Executivos estão redefinindo o conceito de vazamento de dados 
Um quarto dos líderes pesquisados não estão preocupados se suas organizações foram invadidas, enquanto 32% se descrevem como “muito preocupados” se foram vítimas de invasões. Para endereçar questões de segurança, 96% dos executivos dizem que colaboraram e compartilharam informações e conhecimento com outros executivos de segurança da informação, um crescimento de 4% em relação a 2014. Um quarto dos entrevistados disse que interage diariamente com colegas sobre eDiscovery, leis, gerenciamento de registros e governança da informação; todos eles dizem interagir pelo menos mensalmente.

Cybersecurity: apenas parte de um trabalho diário? 


 Cybersecurity deixou de ser um inimigo assustador e arbitrário dos negócios modernos. Agora que a maioria das organizações aceitou o axioma de que algum nível de vulnerabilidade é universal, muitas estão se graduando a uma era de compreensão, preparação e reatividade.

Como elas estão lidando com isso é o que distingue as que estão prontas para o inevitável e aquelas que estão destinadas a aparecer nas primeiras páginas dos jornais. Organizações podem adotar uma ampla variedade de passos – que abranjam políticas, educação, liderança e tecnologia – para combater uma ameaça que fascina comunidades profissionais e comerciais.

Em 2014, o primeiro relatório Defending destacou tendências interessantes associadas ao gerenciamento e à proteção a um crescente e efêmero perímetro; uma mudança nas políticas de segurança e em procedimentos; e a expansão do papel dos profissionais de segurança. Em 2015 houve um maior reconhecimento dos danos das ameaças internas; a falta de familiaridade com todo o cenário de dados de uma organização; e uma crescente apreciação pela segurança entre os executivos das empresas.

 Background da pesquisa 

Para rastrear isso e o desenvolvimento das influências de outras estratégias de segurança corporativa, a Nuix convocou os conselheiros da Ari Kaplan pelo segundo ano consecutivo para entrevistar 28 profissionais da segurança com graus variados de responsabilidade. As conversas foram feitas por telefone, sob a condição de manterem-se anônimos, e ocorreram entre agosto e outubro de 2015. 

Entre os entrevistados, 21% atuam como chefe de segurança da organização, enquanto 61% são diretores ou vice-presidentes com responsabilidades primárias sobre informação ou cybersecurity. Os 18% restantes gerenciam possíveis descuidos destas áreas.

Três quartos dos entrevistados são de organizações com mais de US$ 1 bilhão em receitas anuais e a receita de 57% excede US$ 5 bilhões. A maioria (71%) pertence a organizações com mais de 5 mil colaboradores. São originários de indústrias diversas, incluindo:

 • Serviços financeiros (32%)
• Ciências humanas (18%)
• Energia (11%)
• Bancos (7%)
• Seguros (7%)
• Indústria (7%)
• Tecnologia da Informação (7%)
• Consultoria (4%)
• Hotelaria (4%)
• Entretenimento (4%).

 Os entrevistados foram distribuídos de forma equilibrada entre setores altamente regulamentados e setores mais tradicionais, o que proporcionou um equilibrado conjunto de perspectivas sobre o estado de segurança de dados. A Ari Kaplan Advisors também entrevistou Keith Lowry, vice-presidente senior para inteligência contra as ameaças aos negócios da Nuix e o Dr. Jim Kent, o líder global de segurança da Nuix e CEO da América do Norte.


31% não sabem o que as pessoas que possuem acesso a dados críticos fazem de fato com essas informações




Mais clareza nas verbas 


 Em 2014, 46% dos entrevistados não sabiam a proporção da verba de segurança que suas companhias dedicavam a gerenciar e proteger o perímetro em comparação com os seus gastos em resposta a incidentes e remediação. Em 2015 este número caiu para 39% refletindo uma crescente familiaridade com as despesas de capital.

 Enquanto em 2014 havia uma falta de consenso, 43% dos que eram capazes de estimar as despesas, informaram gastar 50% ou mais em proteção de perímetro; 32% alocaram 60% ou mais. Cerca de um quinto dos entrevistados destinou 80% ou mais para a proteção do perímetro.

 Em 2014, 72% informaram que os gastos nesta área mudaram em relação ao ano anterior e 65% esperavam aumentar essa verba no futuro. Em 2015, 89% alegaram terem percebido uma mudança e 64% esperam crescimento ainda maior.

As regras e leis continuam a conduzir os gastos 


 Em 2014, 23% dos entrevistados destacaram que as regulamentações impactam em seus gastos; este número saltou para 50% em 2015.

 “O cenário regulatório está constantemente em mudança e é um grande fator de motivação de investimento”, afirmou um executivo do serviço financeiro.

 Há também um componente do medo, de acordo com um outro executivo da mesma área: “Para instituições financeiras, existem obrigações regulatórias, você tem o dever de cuidar pois, além do risco de reputação, ninguém quer estar em frente a um CISO (Chief Information Security Officer) quando tudo der muito errado.”

Outros direcionadores dos gastos em segurança de TI dependem da natureza dos dados que possuem segundo 18% dos entrevistados, e às experiências já vivenciadas para 11% deles. Outros 11% notaram que oficiais da lei, os dados e o histórico de transações todos possuem virtualmente impacto equivalente.

Mudança e aumento em gastos de segurança relacionados ao crescimento de ameaças internas 


Além do crescimento das regulamentações, 21% dos entrevistados atribuíram o crescimento dos seus gastos às proteções adicionais contra perigos internos.

 “O gerenciamento da resposta a incidentes e ameaças internas recebeu grandes investimentos no último ano”, disse um profissional de uma corporação global de tecnologia.

 “A empresa não está reduzindo a quantidade de gastos em ameaças externas, mas aumentando os seus gastos no gerenciamento das ameaças internas”, acrescentou um líder de segurança de uma organização da área de ciências humanas.

 Em 2015, 14% dos participantes entrevistados relataram ter alocado 40% ou mais de sua verba em ameaças internas.

 “Esta foi uma mudança da alocação de recursos olhando internamente, em vez de olhar o perímetro”, disse um líder de segurança de uma companhia de seguros. “A companhia está olhando para tecnologias de prevenção de perda de dados para lutar contra ameaças internas.” 

Keith Lowry, vice-presidente sênior da Nuix para inteligência contra as ameaças aos negócios, atribui essa renovação de foco em três fatores que tornam as ameaças internas mais prevalentes e que valem a proteção:

• Maior consciência de ameaças internas como um resultado das ações de Chelsea Manning e Edward Snowden
• A difusão do uso de tecnologias que tornam mais fácil o roubo de informações. Ex: você pode copiar arquivos vitais em um drive USB em segundos
• O roubo de registros internos tornou-se culturalmente mais aceitável.

 Em sua última ponderação, Lowry cita uma pesquisa conduzida pela Loudhouse, empresa de pesquisas em tecnologia, que identificou que 35% dos tomadores de decisão e funcionários poderiam vender dados corporativos sensíveis (ou dados de consumidores armazenados nos servidores protegidos das empresas) pelo “preço certo”. Para 25% dos funcionários pesquisados, este preço girava em torno de US$ 8 mil e para 18%, era mais baixo, US$1. 550.

 “Se você não tomar nenhuma medida para impedir uma crise, alguém certamente irá forçá-lo a fazer”, aconselha Lowry.


50% dizem que as regulamentações impactam seus gastos, o dobro em relação a 2014 



Crescimento dos Programas contra ameaças internas 


 Dada essa mudança, não é surpresa que 71% dos entrevistados relataram ter um programa ou política contra ameaças internas. Desses, 90% designaram um profissional sênior para supervisioná-lo e 70% ofereceram treinamento nesta área.

 “A companhia emprega times de inteligência que estudam aspectos diferentes das comunicações, atividade de usuários, mídia social, atividade suspeita e outros detalhes”, disse um diretor de banco. 

“Nós só recebemos a autoridade para reinventar o programa da companhia contra as ameaças internas; o que era um programa no papel agora está fundamentado e disseminando apropriadamente pela companhia”, completou um executivo da área de seguros.

Definições sobre ameaças internas variam 

Quando perguntados sobre a definição do termo “ameaça interna” há um tema claro em torno das respostas e engloba os termos “malicioso”, “interno”, “autorizado” e “inapropriado”.

Um CISO de uma instituição financeira observou: “Todas as ameaças são ameaças internas; uma vez que um hacker entra no ambiente da companhia torna-se uma ameaça interna”.

 “Nem todas as ameaças internas são perniciosas”, relatou o CISO de outra instituição financeira.

Essas nuances caracterizam muitas das outras explicações, que variam para incluir as seguintes descrições, simples e complexas:

• Um ator malicioso que é um empregado interno.
• Pessoas com acesso a dados tentando retirá-los para fora da empresa
• Um funcionário interno que, conscientemente ou sem saber, concede acesso não autorizado a alguém.
• Uma entidade externa que tenta entrar obtendo vantagens através de engenharia social ou de um relacionamento que o permita acessar dados da empresa.
• Qualquer atividade de usuário que saia fora da política da organização
• Uma pessoa que está afiliada à empresa e por negligência ou malícia coloca a organização em risco. • O uso de sistemas internos por indivíduos autorizados ou não de forma aparentemente nefasta.
• Alguém com conhecimento do sistema que usa o seu conhecimento para criar ou explorar fraquezas.

 Um executivo da área de seguros explicou que os indivíduos interpretam o termo “ameaça interna” de acordo com o papel que desempenham na empresa.

 “Se você fala com indivíduos da área de segurança física, ameaça interna poderia ser um funcionário desapontado carregando uma arma”, ele diz. “Para os da área de finanças, poderia ser um empregado com credenciais de alto nível movendo secretamente dinheiro ou acessando propriedade intelectual que coloque em risco a competitividade da empresa”.

O rastreio dos “insiders” continua indefinido 


“O esmagador foco da discussão sobre cibersegurança está em proteger o dinheiro e o valor da informação”, diz Dr. Jim Kent, o líder global de segurança da Nuix e CEO da América do Norte. “Esses são os alvos primários para as atividades de cibercrime e ciberespionagem; dados privados e informação financeira são facilmente monetizados no mercado negro e geralmente são pouco protegidas”. Dada essa sensibilidade, quase todos os entrevistados (93%) relataram ser capazes de identificar seus dados de valor crítico e 100% disseram ser capazes de detectar quem pegou os dados.
“Todas as organizações possuem papeis alocados a usuários de um dado particular assim eles podem monitorar quem pode acessá-los a qualquer momento”, disse o vice-presidente de uma empresa de serviços financeiros. Esses números caem para 69%, no entanto, quando perguntados sobre se as organizações sabem o que as pessoas fazem com os dados de valor crítico depois de acessá-los.

“Esta é a parte difícil”, admitiu um líder de TI do setor de energia.

“A companhia apenas sabe quando os dados estão saindo de sua rede; é o olhar de dentro para o perímetro quando a informação parte, em vez de serem mantidas dentro do ambiente da companhia”, explicou um gerente de segurança da informação do setor de finanças.

Quase 30% não possuem um programa ou política contra ameaças internas  



Políticas de segurança de dados abundam, mas testá-las e medi-las é um desafio 


 Não é surpresa que tantas organizações possuem políticas contra ameaças internas porque 100% delas continuam a manter a política de segurança de dados, que são atualizadas anualmente por 64%. Quase todas (96%) possuem uma política de resposta imediata aos incidentes de segurança então a arte de documentar práticas de proteção continua se espalhando.

 Quando perguntados sobre a aferição da efetividade das suas políticas, cerca de um quinto dos entrevistados disseram conduzir auditorias anuais. Um grupo de tamanho similar disse que rastreia o comportamento do usuário e o número de incidentes.


“A companhia estuda o número de tentativas de penetração em seu sistema que foram identificadas e a falta de sucesso”, acrescentou outro diretor de segurança da indústria de entretenimento.

 Sobre os testes de seus programas de resposta a incidentes que garantem a conformidade com as políticas e práticas vigentes, 18% dos entrevistados disseram que os medem anualmente. No geral, no entanto, a maioria das organizações está testando em bases mais frequentes; 68% relataram o engajamento neste processo múltiplas vezes ao ano; 21% testam duas vezes por ano e 32% o fizeram pelo menos a cada três meses.

 Mais de um terço (36%) engajaram-se em testes de bancada e 46% oferecem respostas reais a simulados de ameaças. Algumas aplicam uma combinação de ambas as técnicas e 11% disseram não saber a metodologia utilizada.

 A grande maioria (85%) disse que o time de resposta a incidentes inclui conselheiros da lei, líderes de relações públicas e gerenciadores de crises, além de outros profissionais da área de finanças e contabilidade, TI, conformidade, assuntos regulatórios, gerenciamento de riscos, forças da lei, privado, cyber insurance e segurança física.

 Além disso, 82% possuem uma política de BYOD (bring-your-own-device), crescimento considerável em relação a 2014, quando apenas 69% dos entrevistados possuíam; 86% permite o acesso remoto, contra 96% in 2014.


As pessoas são o problema... então, treinamentos continuam sendo tão importantes 


 Políticas e procedimentos são irrelevantes se os indivíduos não estão familiarizados com eles, ou se não estão prontos para aderir a qualquer restrição. Por essa razão, não é surpreendente que 93% alegam que o comportamento humano era a maior ameaça à segurança de sua organização.

 “A companhia aumentou sua verba para treinamento e educação; a chave é melhorar os processos e a consciência dos colaboradores”, disse um entrevistado.

 “As pessoas esqueceram de que, não importa o quanto de tecnologia você possui, é o uso dela que preocupa”, adicionou outro entrevistado.

 Como resultado, quando perguntados qual seria a mensagem estratégica, 39% escolheram o “medo”, em vez de melhores práticas, para evitar riscos. O medo cresceu em popularidade como estratégia, acima dos 31% que selecionaram essa opção em 2014.

 “Você sempre tem que ter um pouco de medo para que as melhores práticas possam ser melhor acolhidas”, observou um gerente de segurança da informação de uma empresa de tecnologia. 

“Melhores práticas funcionam melhor em níveis mais altos da organização, mas o medo é mais efetivo na equipe de mais baixo nível”, pontuou um profissional de segurança de uma empresa de ciências humanas.

 O uso do medo para educar não é universal, de acordo com um profissional do setor de energia. O consenso é que treinamentos obrigatórios, o enaltecimento de ações positivas e exemplos relevantes de perspectivas pessoais e profissionais são as técnicas mais adotadas para lidar com os erros de empregados inadvertidos.

 “Uma vez que você tem as pessoas treinadas, mantê-las treinadas é fácil”, acrescentou um CSO do setor de energia.

 A nuvem ainda preocupa 


 O número de organizações migrando dados para a nuvem em 2015 (71%) é consistente com os dados de 2014 (73%). Mas, o número de empresas migrando sistemas para a nuvem caiu de 58% para 43%. Este declínio pode refletir o número de organizações que já tenha migrado os dados e aplicações para a nuvem. Mais uma vez, a grande maioria dos entrevistados concorda que o uso da nuvem cria preocupações peculiares em relação à cibersegurança (86% em 2015 vs. 84% em 2014). Essas preocupações incluem:

• Perda de visibilidade no gerenciamento dos seus dados
• Estar à mercê das habilidades de cibersegurança de seu provedor de nuvem
• Redução de controle sobre o acesso aos seus dados.
• Confusão sobre o que está acontecendo quando entidades governamentais pedem acesso para inspeção dos seus dados.
• Falta de conformidade regulatória.
• Variações nos provedores de nuvem.
• Operar em um ambiente compartilhado.

 “Dependendo de quem você está compartilhando, sua habilidade de realizar forense interna pode se limitar”, observou um participante.

 “O provedor da nuvem possui uma segurança mais sofisticada do que a nossa companhia”, contrapôs outro.

 “86% concordam que a nuvem cria preocupações singulares em relação à cibersegurança” 


Reimaginando o vazamento de dados e as respostas potenciais 


 Um quarto das lideranças pesquisadas disse que não está preocupado se suas organizações apresentaram brechas de segurança.

 “Os CISOs mais espertos estão preocupados em como aumentar a sua proteção; é como se preocupar sobre quando vai chover porque se uma brecha acontecer, aconteceu”, disse o CISO de uma indústria da hotelaria. “Eu penso em como fazer melhor e reagir mais rápido em casos de brechas de segurança”. Outro entrevistado afirmou que sempre há um elemento de preocupação dada a natureza indetectável dos ataques mais sofisticados: “é como ter cupins em sua casa”.

 Ainda, 32% dos entrevistados descrevem-se como muito preocupados sobre se estão sendo vítimas de brechas de segurança.

 “Isso me faz ficar acordado à noite”, afirmou um profissional de TI de uma empresa de energia.

 Os demais participantes não eram nem excessivamente preocupados, mas se diziam incomodados com a perspectiva de uma violação.

 “Nós nunca seremos capazes de conter uma violação de dados”, disse um dos entrevistados. “Mesmo que alguém ultrapasse a porta, ele não ficará tanto tempo para causar prejuízo”, adicionou outro, expressando confiança nas práticas de segmentação e segurança de dados de sua empresa.

 Um diretor global de uma empresa de serviços financeiros sintetizou o consenso: “Qualquer empresa que disser que não sofreu alguma violação do seu perímetro de segurança está se fazendo de boba”. 

Apesar dessa percepção em comum, “as pessoas estão relutantes em discutir se estão sofrendo ciberataques ou com os vazamentos de dados – na maioria das vezes por medo de mostrar fraqueza ou perder potencial vantagem competitiva”, analisou Kent. “Mesmo que as empresas possam superar essa relutância sobre falar a respeito de questões de segurança, falta-lhes um mecanismo técnico padrão para compartilhar, digerir e aplicar inteligência de ameaças. ” Talvez refletindo uma mudança sugerida por Kent, 96% dos entrevistados disseram que compartilham e colaboram com outros profissionais de segurança da informação. Este é um aumento de 4% em relação ao resultado de 2014.

 Dentro das organizações, 25% dos entrevistados disseram interagir com os colegas diariamente sobre eDiscovery, questões legais, gerenciamento de ocorrências e governança da informação. E 100% o fazem pelo menos uma vez ao mês.

 “Qualquer um que não esteja colaborando está se programando para falhar”, disse um chefe de segurança da informação. “O trabalho do CISO é colaborar; isso requer muitos chapéus.”

Perspectivas para 2016 


 O foco nas ameaças internas crescerá 

Uma vez que um terço dos entrevistados operam sem um programa ou política contra ameaças internas, há espaço para essa questão crescer nas empresas. Se as organizações não endereçarem proativamente as ameaças internas, elas podem ser forçadas a mudar essa atitude ao serem vítimas de uma violação ou um processo de responsabilização e compromisso por maior segurança.

 “Se você não fizer da proteção contra ameaças internas uma prioridade, os Tribunais poderão fazê-lo por você”, diz Lowry que observa que os litigantes estão cada vez mais tentando provar negligência ou falha para encontrar um padrão aceitável de cuidado da parte do custodiante dos dados. 

“Reguladores como a Federal Trade Commission nos Estados Unidos também possuem a autoridade de reforçar as leis de cibersegurança, o que complica ainda mais o ambiente”. Para começar, Lowry recomenda engajar os executivos da organização para abraçar esse desafio. “Ter as lideranças sêniores advogando em prol da proteção contra as ameaças internas como prioridade é fundamental”, ele diz.

“É preciso conceder autoridade a um indivíduo que é responsável por ameaças internas e que possa ultrapassar limites dentro da organização para encontrá-las”. As designações e os programas que serão criados precisam ser ágeis para lidar com a natureza agressiva das ameaças quando elas ocorrem. “Os invasores não se importam com leis ou regulamentações privadas; elas farão o que bem quiserem”, explica Lowry

Tolerância para erros de inadvertência em relação à segurança diminuirá 

 Organizações perderão a tolerância para funcionários que não compreendam, tenham interpretações errôneas ou cálculos equivocados em relação às políticas de segurança e procedimentos. Eles começarão a penalizar membros descuidados da equipe que “convidem” uma brecha mesmo após receberem treinamento na questão. Um número de participantes da pesquisa destacou que as consequências podem resultar em fim de contrato.

 “Existe um reconhecimento agora que quando se trata de cibersegurança, todos são responsáveis, não apenas aqueles que trabalham com isso”, diz um líder de serviços financeiros. Com a proliferação desta perspectiva entre a comunidade de negócios, os indivíduos sentirão uma responsabilidade compartilhada de agir de forma mais pensada nos melhores interesses da organização.

 “A maioria dos colaboradores não causarão problemas por malícia, eles são simplesmente ignorantes”, diz um executivo da área de ciências humanas.


 Cibersegurança continuará a ser uma preocupação que influenciará as companhias, em vez de uma questão específica de TI 


 A questão da segurança da informação ganhou a mais alta prioridade dentro da maioria das organizações, virtualmente equivalente a lucratividade, governança corporativa e equipe. É uma preocupação crítica que tem gerado implicações para além do que qualquer um possa ter previsto uma década ou anos atrás. “Se você não tomar cuidados com a cibersegurança, você terá a sua pontuação Standard & Poor’s rebaixada, o que pode gerar um grande impacto econômico”, comenta Lowry.

 Como consequência, o perfil do time de segurança e de suas lideranças irá aumentar. Além disso, a influência do CISO crescerá entre a suíte C, de forma similar que o peso do conselho geral cresceu ao longo dos anos.


Tecnologia evoluirá como parceira na batalha da cibersegurança 


 A maioria das pessoas acredita que a tecnologia melhora processos e que a educação dos usuários tem um papel similar em prevenir evasão de dados. Entrevistados da pesquisa de 2015 pontuaram a tecnologia e o desenvolvimento de processos em cerca de 30% cada e educação em 35%.

 “Enquanto eu tenho controles efetivos e a engenharia social está mostrando os processos corretos, as coisas podem ainda acontecer apesar de ter as melhores tecnologias”, disse um gerente de segurança de uma indústria.

 “Você pode ter a melhor tecnologia e os melhores processos, mas se seus funcionários não sabem o que fazer, eles podem abrir a porta errada e ir em direção ao problema”, completou um diretor da área de serviços financeiros.

 Kent destacou que novas formas de tecnologia poderiam ajudar as empresas a construírem protocolos mais seguros e encorajar maior consciência dos colaboradores. “Precisamos sair do modelo de tecnologia “letras verdes na tela preta” e entregar respostas de forma mais acessível e digestiva”, ele disse.

 “Precisamos deixar a tecnologia fazer o trabalho duro para a gente e permitir que pessoas inteligentes utilizem seu poder de cérebro e seu poder analítico de forma mais efetiva”.

______________________________________________________________________

Sobre a Nuix 


Nuix protege, informa e empodera a sociedade na era do conhecimento. Organizações líderes em todo o mundo recorreram à Nuix quando precisaram de respostas rápidas e precisas para investigação, cybersecurity, resposta a incidentes, ameaças internas, litígios, regulamentações, privacidade, gerenciamento de risco e outros desafios essenciais. Nuix facilita o trabalho com volumes big data e formatos de arquivo complexos. Nossa solução combina tecnologia avançda com o conhecimento amplo de nosso time global de especialistas. Trazemos dados para a vida com clareza e inteligência para solucionar problemas críticas ao negócio, reduzir o crime e assegurar e gerenciar a informação.

Sobre Ari Kaplan 

Ari Kaplan, analista do setor jurídico, é autor de “Reinventing Professional Services: Building Your Business in the Digital Marketplace” e de “ The Opportunity Maker: Strategies for Inspiring Your Legal Career Through Creative Networking and Business Development in 2016”. Ele é o perquisador principal de uma variedade de relatórios de benchmarking e tem sido palestrante de eventos na Austrália, Canadá. Reino Unido e Estados Unidos. Kaplan é também o fundado da plataforma de desenvolvimentp de negócios Lawcountability®, finalista do ILTA’s 2015 - Innovative Solution Provider of the Year.


Sobre a TechBiz Forense Digital 

A TechBiz Forense Digital é a maior integradora da America Latina de soluções de investigação em meios digitais, provendo tecnologias para combate a crimes, resposta a incidentes de segurança, CiberDefesa, antifraudes, auditoria e compliance. Nosso trabalho é oferecer as melhores práticas e ferramentas, desenvolvidas por um seleto time de parceiros internacionais.

terça-feira, 26 de janeiro de 2016

Os segredos de um ataque cibernético... sob a perspectiva de um hacker

Matéria livremente traduzida do site Defense iQ 

O consultor de segurança Thomas Ballin, especializado na avaliação de segurança de aplicações web e infraestrutura de rede, é um dos palestrantes convidados para a conferência londrina que acontece entre 15 e 17 de março sobre fraudes em telecom e sobre o programa de iniciativas que asseguram que o tráfego gerado pelos utilizadores dos serviços de telecom é capturado, faturado e cobrado corretamente, a Telecoms Fraud and Revenue Assurance Conference. No evento, Ballin, que trabalha na indústria de testes de penetração e possui ampla experiência em todas as áreas de segurança da informação, irá demonstrar ao vivo um ataque cibernético para tentar compreender o ponto de vista do hacker ao adentrar o ambiente corporativo. O site Defense iQ conversou com Thomas Ballin, que já trabalhou para muitas organizações, incluindo instituições financeiras e conglomerados internacionais, para antecipar um pouco o que será abordado no evento londrino e entender melhor a segurança sob o ponto de vista do hacker. A TechBiz Forense Digital fez a livre tradução desta conversa, cujo documento original pode ser acessado aqui.

Você pode nos explicar de forma bem simples como um hacker se infiltra na rede de uma companhia e ganha acesso aos dados dos consumidores? Onde estão os principais pontos de tensão na rede? 

Um hacker passa por quatro estágios quando tenta roubar informações de uma empresa. O estágio um é o reconhecimento, quando ele descobre a superfície de ataque (todos os diferentes pontos por onde pode adentrar no sistema e onde ele pode coletar os dados). Um atacante está em busca de qualquer ponto que apresente vulnerabilidade. Por exemplo, uma falha na segurança física de um escritório, informações sobre funcionários que podem ser manipulados e oferecer informações ao atacante ou qualquer website, serviços on-line ou recursos que possam estar abertos para exploração. O estágio dois é a exploração propriamente dita, quando um atacante fará uma avaliação da superfície de ataque e trabalhará no melhor alvo, que pode ser tanto o que está mais vulnerável para o ataque ou o que irá provê-lo com o maior nível de acesso. Por exemplo, uma companhia pode estar aberta a um ataque em todos os três níveis; o seu escritório pode estar aberto para qualquer um que queira entrar e sair com alguns documentos. Um membro da equipe pode estar com dificuldades financeiras e pode estar mais suscetível a subornos, e seu website pode estar sujeito a uma vulnerabilidade de SQL Injection (como o ataque à operadora britânica Talk Talk, em outubro de 2015), que poderia comprometer toda a rede. Entrar no escritório poderia ser a tarefa menos difícil da perspectiva de um atacante, já que não requer nenhum conhecimento específico. Mas, a quantidade de informação e o tempo de comprometimento são limitados. Subornar um membro da equipe pode ser caro, mas no caso de uma grande organização financeira, pode ser visto como um investimento. Mais uma vez, isso não requer nenhum conhecimento específico, mas depende da cooperação de um terceiro, o que traz maior risco para a campanha de ataque. Uma vulnerabilidade de SQL injection demanda habilidades para explorar de forma efetiva o que se deseja. Mas, uma vez que o sistema está comprometido, o acesso obtido é inigualável. Além do mais, oferece maior possibilidade de anonimato e a possibilidade de persistir caso não se consiga o que deseja de primeira. Uma vez que o atacante escolheu a vulnerabilidade a explorar, o terceiro estágio é o roubo da informação. O objetivo é extrair a informação mais valiosa possível e deixar o menor rastro possível. Por exemplo, se um membro da equipe tiver dados comprometidos, então, ao invés de pedir que ele faça um clone completo de todos os compartilhamentos da rede, que é como gerar alertas em uma empresa de vigilância, uma melhor solução pode ser simplesmente fazer uma cópia da documentação financeira que é o objetivo chave para um atacante. O estágio final é a limpeza. Em muitos casos, um atacante não deseja que a organização saiba que foi explorada. No caso de espionagem corporativa, por exemplo, quanto mais tempo uma empresa está desavisada de que seu competidor tem acesso à sua base de clientes, mais valiosa é a informação para o atacante.

Quais medidas as companhias devem adotar para ter o mínimo de impacto em um ataque cibernético? O que elas deveriam fazer de forma ideal? 

No mínimo, as empresas deveriam desejar reduzir a superfície de ataque. Sempre existirão vulnerabilidades em uma organização e não há uma maneira de garantir a segurança em toda a linha. Mas, limitar a exposição a ataques significa que as organizações são capazes de lidar muito melhor com as consequências de um ataque bem-sucedido que comprometa parte de sua infraestrutura. A segregação da rede é crítica, então é importante que aplicações externas e serviços, tais como websites, não estejam hospedados no mesmo ambiente com informações sensíveis, bem como garantir que os controles de acesso estão funcionando de forma que, apenas o que é necessário, seja acessado pelos responsáveis. Por exemplo, não é normal um membro da equipe técnica requerer acesso à área de recursos humanos, da mesma forma que um website não precisa estar hospedado dentro da mesma rede como um banco de de dados cliente. Idealmente, no entanto, uma vez que cada seção está segregada, elas devem ser revistas frequentemente para garantir de que estão seguindo as melhores práticas. Softwares deveriam estar atualizado e com os patches de segurança, serviços que não são necessários devem ser desabilitados, logs devem ser revisados para garantir que não aja comprometimento da rede, se o ataque foi detectado na primeira oportunidade e o dano foi limitado, toda a infraestrutura deve ser auditada para garantir que está configurada apropriadamente e não representa um risco para o negócio.

O ataque à TalkTalk (ataque que deu acesso a dados de 4 milhões de clientes da operadora britânica TalkTalk) mudou a maneira como as companhias abordam a segurança? De que forma essas medidas são suficientes? 

Na indústria de tecnologia da informação, o ataque à TalkTalk não criou grandes reviravoltas. Não é uma ocorrência incomum grandes organizações serem atacadas. Sites como o pastebin estão carregados de dados dos clientes, incluindo cartões de crédito, CPF e detalhes pessoais. Mas, se comparados com o número de outros vazamentos notórios dos últimos anos, tais como o dump de contas do “Ashley Maddison”, a mídia focou na gravidade da questão e colocou o ataque no centro das notícias. A pressão do público para proteger suas informações pessoais dos atacantes nunca foi tão grande, e as companhias estão reconhecendo que não é apenas um caso de estar bem com o Gabinete do Comissário de Informação (ICO - Information Commissioner's Office), com o qual precisam lidar, mas com uma massa de danos de reputação e um controle maior da organização. As práticas da segurança da informação estão gradualmente movendo-se do lugar de conformidade aos padrões tais como Cyber Essentials e PCI-DSS, entre outros, para a proteção de fato das informações pessoais e da propriedade intelectual. Não é razoável esperar que cada organização dobre sua verba de segurança e resolva cada problema ocorrido nos últimos meses, mas o reconhecimento do quão importante a segurança da informação tornou-se precisa ser mantido para que as empresas gradualmente melhorem seus padrões de segurança.



"Calcular riscos é um termo geralmente usado para descrever o trabalho sobre o que deve receber o foco de segurança e o que não deve (...) Pode-se  aplicar a seguinte equação: RISCO = CUSTO x PROBABILIDADE. Onde o custo é o que o negócio irá perder em caso de um ataque bem-sucedido e a probabilidade é a chance de um ataque ser bem-sucedido." 


Como os hackers podem se adaptar às futuras mudanças na defesa da rede? Existe alguma maneira de antever qual seria a próxima ameaça ou área de preocupação? 

É seguro dizer que a segurança da informação sempre será uma participante crítica nas ameaças enfrentadas por qualquer negócio. Quanto maior a segurança, mais avançados tornam-se os métodos de driblar essa segurança. Predominantemente, a segurança é tratada como um processo reativo: assim que um ataque ocorre, uma mitigação é encontrada para se defender. No entanto, medidas proativas estão sendo desenvolvidas para salvaguardar as empresas contra a próxima geração de ciberataques. Uma área que se mantém estacionada é a de pessoas. A habilidade de um atacante se infiltrar na infraestrutura através de suborno, coerção, trapaça e qualquer outra forma de manipulação sempre esteve presente e os métodos permanecem basicamente os mesmos. Em termos de avanços tecnológicos é muito difícil prever a próxima geração de ameaças cibernéticas. Grupos em países como China e Rússia interessados em roubar propriedade intelectual são bem conhecidos, e podem, talvez, ser considerados a vanguarda da guerra cibernética. A maneira como eles operam sugere muito sobre como as próximas ameaças corporativas serão. A batalha já não se resumirá à interrupção dos negócios de uma empresa ou no roubo de informações de cartão de crédito do cliente, em vez disso a batalha será para proteger a própria organização de ser copiada por um terceiro que investiu em espionagem em vez de Pesquisa e Desenvolvimento.

Convencer gerentes sêniores a investir em iniciativas de Revenue Assurance é um desafio no setor de fraude em telecom e dos profissionais de RA (Regulatory Affairs). Em sua opinicão como o gerenciamento pode ser persuadido a investir e a colocar todo o peso nisso? 

É fácil da perspectiva de alguém que a responsabilidade primária é a segurança garantir a suposição de que isso é a coisa mais importante a se investir em um negócio, e que um equilíbrio deve ser mantido. É ilógico, por exemplo, gastar £250 mil em uma solução de segurança para proteger os ativos que valem um total de £100 mil. Calcular riscos é um termo geralmente usado para descrever o trabalho sobre o que deve receber o foco de segurança e o que não deve, e uma maneira de convencer gerentes sêniores é aplicar a seguinte equação: RISCO = CUSTO x PROBABILIDADE. Onde o custo é o que o negócio irá perder em caso de um ataque bem-sucedido e a probabilidade é a chance de um ataque ser bem-sucedido. Se o risco for maior do que o preço para mitiga-lo, então a solução é financeiramente benéfica.

Se você tivesse um conselho para companhias de telecomunicações para implementar ou trabalhar nos próximos anos, qual seria? 

Consciência. Segurança não pode ser um produto comprado e colocado em frente de um serviço como uma barreira a protegê-lo, Ao contrário, precisa ser uma parte intrínseca de cada produto ou serviço. A sensibilização para a segurança significa que as despesas gerais serão reduzidas, e a segurança será melhorada. Além do mais, o treinamento em segurança para todos os funcionários deve ser dado para tornar a segurança uma parte verdadeiramente intrínseca à companhia.

 O que você espera da conferência Telecoms Fraud & Revenue Assurance? 

Eu espero ter a oportunidade não apenas de apresentar uma maneira de como os atacantes enxergam o negócio, mas de abrir um canal de comunicação entre as pessoas dentro de um negócio, e pessoas que veem isso de um ângulo diferente. Eu posso oferecer uma perspectiva de terceiros para um negócio e oferecer um olhar especialista sobre onde as ameaças estão. Mas o que eu acho que é mais importante é o fórum para discutir quais são as verdadeiras questões em segurança da informação que estamos de fato envolvidos.