quinta-feira, 18 de fevereiro de 2016

Certificação e treinamento Cellebrite Certified Mobile Examiner




Está na dúvida se vale ou não fazer o treinamento da Cellebrite e obter as certificações CCLO e CCPA? O especialista forense Clark Walton passou por essa experiência e deu a sua opinião no artigo da revista digital Forensics Focus. E, claro, nós, da TechBiz Forense Digital, parceiros da Cellebrite, traduzimos aqui as impressões de Walton. 


 Em Janeiro de 2014, participei dos treinamentos Cellebrite Certified Logical Operator (CCLO) e Cellebrite Certified Physical Analyst (CCPA), em um curso de uma semana realizado em Washington, DC e ministrado pelo instrutor certificado da Cellebrite, Joe Duke. Os treinamentos CCLO e CCPA são predicados necessários para para a certificação Cellebrite Certified Mobile Examiner (CCME), a principal certificação forense da Cellebrite. O curso capacita os investigadores e analistas a realizar extrações de sistemas de arquivo, extrações físicas, bypasses de senhas e análise avançada de itens de evidência utilizando o software UFED Physical Analyzer.

 Em junho de 2015 eu fiz a revisão de meio dia da Cellebrite para o exame CCME, e tirei a certificação CCME no mesmo dia. O objetivo dessas três certificações, cada uma desenvolvida a partir da outra, é determinar a proficiência e domínio em forense e análise de dispositivos móveis com a solução de primeira linha da Cellebrite.

 Background 

 Mesmo tendo treinamento anterior na área, do começo ao fim, achei o treinamento da Cellebrite inestimável, tanto para entendimento sobre os fundamentos de funcionamento de um dispositivo móvel, quanto para entender os princípios da captura, exame e testemunho sobre evidências digitais, bem como para entender os aspectos práticos sobre a operação do software UFED (Cellebrite Universal Forensic Extraction Device) Touch e UFED 4PC. Apesar de os cursos CCLO e CCPA sejam agora oferecidos online, participei da edição presencial e vivenciei o hands-on, e tive a oportunidade de ter o instrutor ao meu lado para responder questões complexas e resolver problemas.  
O material escrito e os manuais fornecidos em cada curso também foram bastante úteis e impressionantes. Em cada curso recebi pastas impressas com guias e apêndices que cobrem todos os slides e cada passo de todos os processos nos cursos CLO e CCPA. Mesmo após dois anos, eu ainda busco referências neste material quando me deparo com questões específicas ao examinar um dispositivo móvel com o Cellebrite.


 Cellebrite Certified Logical Operator (CCLO) 

 O curso CCLO representa os dois primeiros dias do treinamento (meu programa de treinamento incluiu o CCPA imediatamente após o CCLO). Joe Duke, nosso instrutor, passou cuidadosamente por cada módulo do programa (oito ao todo), em cada caso buscando exemplos do mundo real e oferecendo ponteiros práticos que não teriam tanto impacto se fossem apenas oferecidos por escrito. As principais áreas cobertas no curso foram as seguintes:

 1. Introdução (administração geral do curso, materiais e similares).
 2. Visão geral sobre a tecnologia dos dispositivos móveis e tendências (visão geral sobre a tecnologia dos dispositivos móveis, fatores diferentes dos formatos de dispositivos móveis, as bases dos celulares e a tecnologia wireless e como os dados são armazenados nesses dispositivos. Discussões sobre os fatores que modelam as mudanças nas tecnologias, volume de dados móveis e tendências em aplicativos, desenvolvimento e impacto em forense).
 3. Ciência forense e os dispositivos móveis (visão geral sobre a importância de, procedimentos para, melhores práticas, técnicas e documentação relacionadas à forense e dispositivos móveis. Ênfase na preservação da evidência e manutenção da integridade da evidência.)
 4. UFED Touch Overview (Tour geral sobre o dispositivo UFED Touch e suas funcionalidades. À parte: eu inicialmente usei o UFED 4PC na minha prática e ainda acho útil e aplicável. Mesmo que sua organização use o UFED 4PC, entender o dispositivo touch ainda é de grande valor).
 5. Logical Analyzer (Como utilizar o software Cellebrite Logical Analyzer para abrir e trabalhar com extração lógica de evidência. Usuários experientes da tecnologia Cellebrite notarão que o Logical Analyzer é uma versão limitada do Physical Analyzer, abordado no curso CCPA).
 6. Geração de relatórios com as ferramentas Cellebrite e uso do UFED Reader.

 Cada módulo envolve ações hands-on e o suporte de apostilas para os exercícios práticos. A prática inclui resolução de casos encontrados no mundo real tais como o uso do software Cellebrite Phone Detective para identificar certos dispositivos, obtendo extrações lógicas de dispositivos móveis, clone de SIM cards, extração de SIM cards e senhas e pesquisa avançada no Logical Analyzer. 

Competências da matéria foram testadas ao final dos dois dias de curso a partir de um exame com questões por escrito e exercícios hands-on que valiam a certificação Cellebrite CCLO.

 Cellebrite Certified Physical Analyzer (CCPA) 

 O curso CCPA representa a segunda parte da semana, com aproximadamente três dias de treinamento. O curso CCPA, como deveria ser, é muito mais profundo, e fornece uma visão intensa dos dados brutos capturados em dispositivos móveis – a extração física de dispositivos requerendo uma compreensão dos códigos binários, representação hexadecimal e, em última análise, outros tipos de codificação comumente encontradas em telefones tais como Short Messaging Service (SMS) Packet Digital Unit (PDU).

 O layout do curso CCPA é similar em formato ao curso CCLO, mas, outra vez, trata-se um mergulho mais profundo nas camadas de dados armazenados em dispositivos móveis e em como analisar esses dados - não apenas “os frutos mais fáceis de serem colhidos”, mas outras camadas que podem ser menos óbvias. O curso inclui as seguintes seções, em extensão ao que não é coberto no treinamento CCLO:

 1) Media system files e codificação (explorando vários sistemas de arquivo de celular, memória flash e tipos de codificação de dados).
 2) Visão geral sobre o UFED Touch e sobre o software Cellebrite Physical Analyzer.
 3) Técnicas avançadas de pesquisa.
 4) Verificação e validação de achados técnicos (particularmente valiosos, eu acho, para aqueles que vão testemunhar sobre o que foi encontrado).
 5) Relatando os achados técnicos.

 Em cada caso, como no CCLO, o instrutor fornece exemplos do mundo real para referir-se aos muitos pontos endereçados nos módulos de treinamento. As tabelas de ações passo-a-passo para o CCPA também enfatizam exercícios tangíveis para permitir que estudantes realizem muitos dos conceitos fornecidos no curso, incluindo, mas não limitados a, data carving, verificação de malware, análise de vários tipos de imagens em dispositivos físicos e outras funções de pesquisa mais complexas.

 O teste para obter a certificação CCPA consiste em uma combinação de exames em papel e exames hands-on de extrações físicas de vários tipos de dispositivos. Achei o teste para a certificação CCPA adequado para a minha preparação e para os os conceitos demonstrados no curso.


Conclusão 

 Eu, pessoalmente, achei a principal certificação da Cellebrite, os cursos CCLO e CCPA, inestimáveis para se tirar o maior proveito da suíte de software da Cellebrite (além de serem pré-requisitos para a certificação CCME). A série UFED da Cellebrite é amigável e permite que os usuários sigam intuitivamente as instruções e analisem desde as informações mais fáceis de coletar até o ambiente mais selvagem de um grande volume de dispositivos móveis. No entanto, para realizar verdadeiramente uma análise forense digital rigorosa e testemunhar em corte as evidências encontradas a partir de uma investigação baseada, eu, pessoalmente não me imaginaria realizando tais tarefas sem ter o treinamento em sala de aula e as práticas do hands-on oferecidas pelo programa de treinamento das certificações CCLO e CCPA. Nossa empresa continua utilizando os principais pontos de análise de dispositivos móveis aprendidos nesses cursos diariamente. Eu realmente aconselho o programa de treinamentos e certificações da Cellebrite para todos os níveis de usuários, de iniciantes a avançados examinadores de forense móvel.

 Clark Walton, EnCE, CCME, é especialista forense e em cibersegurança da Reliance Forensics, e advogado licenciado. Walton é ex-procurador federal especial e ex-analista de ameaça cibernética e gerente de projeto técnico da Comunidade de Inteligência dos EUA. Neste papel, Walton informava à Casa Branca e fornecia análises de inteligência a consumidores de alto nível, incluindo o diretor do FBI, o advogado geral dos Estados Unidos e ao Escritório da Secretaria de Defesa. Twitter @clarkwalton.

sexta-feira, 12 de fevereiro de 2016

HP ArcSight ESM atua no combate a fraudes em importante banco da Turquia




A implementação da solução HP ArcSight Enterprise Security Manager (ESM) reduziu o volume de trabalho e o tempo de resolução de problemas no Finansbank. Transações suspeitas caíram 90% e as operações marcadas como sensíveis passaram a ser resolvidas em alguns minutos.  Acesse aqui o documento original. 

Resumo


  • Organização: Finansbank 
  • Desafio operacional: encontrar uma nova maneira de detectar fraudes, que pudesse ser rapidamente implementada e que oferecesse capacidade de análise flexível de acordo com os crescentes requerimentos envolvendo transações bancárias. 
  • Solução: HP ArcSight Enterprise Security Manager (ESM). 
  • Duração do projeto: Do conceito à produção, a solução levou aproximadamente 6 meses para ser implementada. 
  • Benefícios: reduzir o tempo de carga de trabalho e a resolução de problemas. Transações suspeitas caíram 90% e transações sinalizadas foram solucionadas em apenas alguns minutos. 


Case: HP ArcSight Enterprise Security Manager (ESM) no Finansbank 

 Com o crescimento da quantidade de transações eletrônicas e pagamentos em cartão, o Finansbank, um dos cinco maiores grupos bancários na Turquia, com aproximadamente 13 mil funcionários e quase 600 filiais, deparou-se com a necessidade de aprimorar o seu sistema de gerenciamento de fraudes. Com tanto valor em jogo, tentativas de comprometimento do sistema, uso de cartões ou credenciais roubadas, inevitavelmente, cresceram e as fraudes tornaram-se um desafio real.

 Alguns produtos foram testados e o HP ArcSight ESM foi selecionado devido ao poder e à flexibilidade de suas regras, à grande escalabilidade e à sua habilidade em processar vastas quantidades de informações e de logs de quase todas as fontes de dados para análise e correlação.
Além disso, a qualidade do suporte, tanto da HP quanto do parceiro de integração, foi muito bem avaliada.

Contexto 

As aplicações do Finansbank não possuíam capacidade antifraude. Apesar de alguns monitoramentos de transações estarem em uso, eles apenas cobriam os serviços mais críticos. Análise rotineiras básicas e inflexíveis significavam inundar desnecessariamente a equipe de gerenciamento de risco e fraude. Alguns milhares de transações por dia eram marcados como suspeitos, sendo que alguns levavam horas para serem processados, o que era um enorme dreno de tempo e dos recursos disponíveis. Além disso, se qualquer nova rotina de detecção de fraudes fosse necessária, o time de gerenciamento de fraudes do banco necessitaria submeter o requerimento à IBTech, subsidiária do grupo, que possui cerca de 700 funcionários envolvidos em operações de TI, análise, arquitetura e desenvolvimento. O pedido poderia levar dias ou mesmo semanas para ser concluído.

 O gerenciamento de fraudes objetiva identificar poucas transações suspeitas entre milhões das transações normais. Em muitos casos, esse procedimento é feito enquanto um cliente espera a conclusão de sua transação. Para que a experiência não seja prejudicial ao cliente, falsos positivos – em que transações legítimas são erroneamente marcadas como suspeitas e demandam outras análises e autorizações – precisam ser reduzidos ao máximo para evitar ansiedades e atrasos para o consumidor.

 Uma vez que uma transação é marcada como suspeita, uma decisão precisa ser tomada em segundos para que uma transferência de dinheiro ou pagamento sejam interrompidos antes que o dinheiro chegue ao destino.

Solução 

Para aumentar tanto o crescimento de receitas e a satisfação do consumidor, o Finansbank solicitou uma nova perspectiva para o gerenciamento de fraudes. Inicialmente, o Finansbank procurou implementar uma plataforma dedicada ao gerenciamento de fraudes, mas tornou-se rapidamente claro que o trabalho necessário para tal implementação demoraria cerca de 18 meses. Isso era muito mais do que o banco poderia esperar, então outras opções potenciais foram avaliadas. Dessas, a solução baseada no HP ArcSight Enterprise Security Manager (ESM) foi proposta pelo IBTech.

 Uma análise preliminar indicou que uma solução customizada de gerenciamento de fraudes poderia ser desenvolvida e implementada nesta plataforma dentro de seis meses. Em 2008, o Finansbank se deu conta de que havia um gap na visibilidade das atividades da infraestrutura de TI e embarcou na implementação do SIEM para incidentes de segurança e gerenciamento de eventos.

 A implementação inicial nas operações de segurança correu sem transtornos, levando o tempo estimado para instalar o sistema, criar as regras necessárias e configurar a ferramenta de correlação. Isso gerou a confiança do Finansbank de que o prazo de seis meses para a implementação do gerenciamento de fraudes poderia ser cumprido.

Implementação 

 Como planejado, o projeto de gerenciamento de fraudes levou seis meses da fase inicial à produção, e o orçamento também veio ligeiramente abaixo do previsto. Depois de ser implementada nos canais mais críticos, a nova plataforma de gerenciamento de fraudes provou que poderia responder rapidamente às transações autorizadas ou sinalizadas. Os resultados retornaram dentro de um limite máximo de 15 segundos, sendo que muitos foram processados bem abaixo desse prazo.

 Com essa performance, a plataforma de gerenciamento de fraudes tornou-se perfeita para autorização de transações financeiras a quase tempo real com o aplicativo principal do banco. A partir de outros testes, a plataforma de gerenciamento de fraudes da HP ArcSight ESM foi efetivamente escalada e rapidamente passou a proteger todos os canais de transação do banco que a gestão de fraude havia, anteriormente, apresentado falhas de capacidade.


Benefícios e desafios

Uma vez operando, a nova plataforma de gestão de fraudes começou a ter um impacto imediato. Através da criação flexível de regras e das avançadas capacidades de correlação da CORR-Engine construída no HP ArcSight ESM, o número de transações suspeitas caiu 90%, de alguns milhares por dia para centenas. Também houve uma queda significativa no tempo necessário para solucionar transações marcadas, com 80% de queda, de mais de uma hora para apenas alguns minutos com o novo sistema. Isso reduziu bastante o excesso de trabalho das atividades de gerenciamento de fraudes exercidas pelo time de risco.

 A engine de regras flexíveis também teve um grande impacto na habilidade do departamento de risco para responder a novas ameaças, liberando ao mesmo tempo a equipe de suporte da IBTech. O time de fraude possui acesso ao portal de gerenciamento de regras com capacidades self-service que permitem – com treinamento apropriado – criar regras próprias e White/ black lists em minutos, em vez de requerer isso à equipe da IBTech, o que demandaria dias ou semanas para fazer.

 Uma grande solicitação para o sucesso era adaptar a aplicação central do banco. Isso requeria aprovação do conselho e a modificação permitiu que a aplicação central alimentasse novos logs de transações na plataforma HP ArcSight e esperar por alguns segundos para que as rotinas de correlação rodassem e retornassem uma decisão antes de completar a transação. Essa modificação foi desenvolvida em paralelo e moveu-se para produção com a implementação do gerenciamento de fraudes HP ArcSight ESM.

 Para o especialista Erdem Alasehir havia uma preocupação de que o sistema teria problemas para lidar com uma grande e ativa lista. O default do sistema estava configurado para lidar com meio milhão de entradas, sendo que o Finansbank precisaria suportar mais de quatro milhões de entradas. O sistema foi testado para garantir que poderia lidar com o carregamento necessário, e não houve  impacto em escalabilidade ou performance na plataforma com o grande número de entradas. 

Conclusão 

A performance, escalabilidade e flexibilidade do HP ArcSight ESM permitiu ao Finansbank desenvolver uma plataforma customizada para o gerenciamento de fraudes mais rapidamente do que integrar plataformas comerciais de gerenciamento de fraudes. Isso aumentou rapidamente a visibilidade nas atividades de transação entre uma ampla gama de canais e ao mesmo tempo reduziu dramaticamente a inconveniência de falsos positivos. A implementação do ArcSight reduziu significativamente a exposição do banco a atividade ilegais enquanto, ao mesmo tempo liberou valiosos recursos internos e ajudou a aumentar a satisfação e a retenção de clientes.

 Metodologia 

 O projeto e s informações contidas neste documento foram obtidas de múltiplas fontes, incluindo informações fornecidas pela HP e questões feitas pelo IDC diretamente ao Finansbank e funcionários da IBTech.

 Sobre essa publicação 

 Essa publicação foi produzida pelo IDC Go-to-Market Services. Os resultados de opinião, análise e pesquisa apresentados aqui foram desenhados a partir de uma pesquisa mais detalhada e uma análise independente conduzida e publicada pelo IDC, a menos que um patrocínio específico do fabricante seja notado. O texto aqui reproduzido foi livremente traduzido e adaptado pela equipe de comunicação da TechBiz Forense Digital.