Forensics in information security
-
Upload
roel-palmaers -
Category
Data & Analytics
-
view
226 -
download
1
Transcript of Forensics in information security
Forensics in information security
kennis verschaft inzicht, geïllustreerd aan de
hand van ervaringen uit cybercrime onderzoeken
Wie ben ik?
Christian Prickaerts GCFA CISSP
Manager Forensic Services
Docent voor o.a.
– Digitaal Forensisch Onderzoek
– Verdieping Cybercrime
– Docent SANS institute
Werkzaam als deskundige in de rechtbank
Beschermen van klanten tegen cyberdreigingen
Crypto: Ensure secrets remain secret
•Risk education & mitigation
•SkyTale, DataDiode, RedFox, SecuVOICE
Cybercrime: Secure information & systems from fraud, theft & malware
•Monitoring & prevention, audits & training.
•Security Operations Center. DetACT for Online Banking
Forensics: Investigate & solve crimes
•Digital investigations, incident response & forensics lab
•Fox Tracks Inspector
•Official analysis of Comodo/DigiNotar
…of black Swan?
• Hoge impact
• Moeilijk te voorspellen
• Psychologische blinde vlek
– “Onmogelijk” scenario
https://zoek.officielebekendmakingen.nl/blg-191225.pdf https://zoek.officielebekendmakingen.nl/blg-191225.pdf
Incident Response
• NIST's Computer Security Incident Handling Guide
Gemiddeld # dagen tussen inbraak en detectie: 60
Security Intelligence
Intelligence = Informatie over de tegenstander
Succes factor voor security intelligence is vaststellen intentie
Veiligstellen – een voorbeeld
• Veiligstellen van 265 systemen, 400 schijven
• Extra kopieën voor opsporing (versleuteld)
• Gebruik van:
– Normale acquisitie & Encase Enterprise
– 3 man permanent op locatie
Wachten.....
• Doorlooptijd ongeveer drie weken…….
– Netwerk infrastructuur uit jaar 0 (100 mbps)
– Beperkte toegang tot locatie
Use the force
• Altijd en alles imagen is niet zaligmakend
• Oplossing: live forensics
– Combineren van:
• Geheugen
• Bestandssysteem informatie
• Besturingssysteem informatie
• Applicatie informatie
• Informatievoorziening IR proces
C:
Volume shadow copy 6
Volume Shadow Copy
Volume shadow copy 5
Volume shadow copy 4
Volume shadow copy 3
Volume shadow copy 2
Volume shadow copy 1
Security Intelligence: “Kill Chain”
Analyse van succesvolle inbraak
Analyse en synthese van niet succesvolle inbraak
GRR – Google Rapid Response
• Agent based systeem (Windows, OSX, Linux)
– Communicatie over Internet via HTTP
– Ajax UI met schaalbare backend
• Open source
– Apache
– Mongo NoSQL backend
Ondersteunt IR/Forensics taken