Mega Encase

© 2012 Guidance Software, Inc. All Rights Reserved.
P A G E 0
The World Leader in Digital Investigations™
© 2012 Guidance Software, Inc. All Rights Reserved.
EnCase
®
y La Seguridad de Informacion
En Organizaciones
Cuando la Seguridad y el Tiempo son Esenciales...
Tony Grey
Ingeniero de Ventas, Latinoamerica
Guidance Software
Que Vamos A Charlar Hoy?
 Cibercrimen
 Cumplimiento y Auditoria
• PCI/SOX
• Leyes de Privacidad
• Interno
 Metodos proactivos contra fraude
 Cibersecuridad, malware y respuestas de incidentes
Hay Un Negocio Criminal en Crescimiento
Que Ya Esta Buscando Tus Datos
Noviembre 2007
Noviembre 2011
El Negocio de Cibercrimen: Esquemas
Desarolladores
De Herramientas
Herramientas
Gusanos
Troyanos
Spyware
Abusadores
- Primera Etapa
Hacker/Ataque
Directo
Máquinas
Cosechadas
Información
Cosechada
Robos Internos/
Abuso de Privilegio
Resultados
Servidores
y Aplicaciones
Comprometidos
Creación de
Redes de Bots
Gestión de
Redes de Bots
Información
Privada
Bolsas de
Información
Propiedad
Intelectual
Abusadores
Segunda Etapa
DDOS
para alquilar
“Spam”
“Phishing”
Envenenamiento
DNS
El Robo
de Identidad
Valor
Final
Competencia
Criminal
Robos
Espionaje –
Corporativo/
Gobierno
Pagos de
Extorsión
Ventas comerciales
Ventas fraudulentas
Ingresos de
los Clics
Fraude
Financial
Desarolladores
De Malware
Fuente: United Nations Interregional Crime and Justice Institute
Extorsion
Privacidad
Mensajes Personales, Chats, Fotos, Llamadas,
Identificacion/ubicaciones de familia y amigos
Financial
Cuentas Bancarias, Cambios de info clave de
cuentas, Sequestracion de cuenta de email
Uso Spam
Email Comercial, facebook, twitter, phishing
Informacion
Cosechada
Contactos, MS drive, Dropbox,, Google docs,
cuentas de hosting, licencias de software
Informacion
De Trabajo
Documentos en Email, email de trabajo,
FEDEX/UPS, Info de VPN, SalesForce,
Items de Valor Solo En Una Cuenta de Email
Tarjetas de
Credito
iTunes US$8
US$25
FEDEX US$6
GroupOn US$5
GoDaddy US$4
Facebook/
Twitter
US$2.50
Email <US$0.25
Valor Comercial de Una Cuenta Hoy
Guidance Software
Líder reconocido en las investigaciones digitales
 Empresa en la bolsa de valores NASDAQ
 Extensa Base Global de Clientes
• Más de 50,000 organizaciones usan EnCase
®
a nivel Mundial
▫ Las mas grandes agencias/entidades de gobierno
• Miles de clientes de nivel Enterprise, incluyendo:
▫ Más de cien de las empresas “Fortune 500” y más de 65% de las “Fortune 100” en los Estados
Unidos.
▫ Implementado en más de 50 millones de desktops, notebooks y servers
▫ Mas de 200 de las mayores agencias gubernamentales
 Organizaciones financieras que valoran la seguridad usan EnCase
• Los 10 bancos mas grandes del mundo
• 9 de los 10 bancos mas grandes de México
• Bolsas de valores
▫ NASDAQ
▫ NYSE
▫ NY Mercantile Exchange (NYMEX)
▫ Chicago Mercantile Exchange
 Muchas empresas conocidas en Latinoamérica
EnCase : Presencia dominante en el mercado
a través de las Industrias
Energía /
Servicios
Básicos
Seguros
Bancos/
Financieras
Tecnologia Telecomun. Retail/CPG
Fabricas/
Industrial
Farma/
Biotec.
Petrobras
Chevron
Koch
Halliburton
DTE
El Paso
Anadarko
PSEG
SoCal Edison
Dominion
Seg. Caracas
Liberty Mutual
AIG
Allstate
Nationwide
USAA
Amer. Family
CIGNA
Hartford
Kaiser
UnitedHealth
Bank of America
Citigroup
JPMorgan Chase
Wells Fargo
Scotiabank
HSBC
DeutscheBank
Barclays
PNC
Visa
MasterCard
Morgan Stanley
UBS
Amex
BANCOLOMBIA
Banesco
Bradesco
Intel
Motorola
McAfee
Sony
Microsoft
RIM
Symantec
Cisco
EMC
HP
NetApp
Intuit
Oracle
Yahoo!
Qualcomm
Broadcom
TIM Brasil
AT&T
Cox
Verizon
Sprint
Vodafone
BT
Bell Canada
CANTV
Qwest
Movistar
Vonage
Oi
Comcast
C&W Pma
ENTEL
TELESP
Lowe’s
Home Depot
Target
Best Buy
OfficeMax
Big Lots
P & G
McDonald’s
SuperValu
Disney
Safeway
Coca-Cola
Boeing
UTC
GE
Rolls-Royce
Toyota
Lockheed
Ford
Textron
Diebold
Honeywell
Eaton
Honda
Gen. Dynamics
Northrop
Hyundai
Volkswagen
Amgen
Genentech
Life Tech.
AstraZeneca
Roche
Novartis
Pfizer
Purdue Phar.
Watson
Wyeth
Biogen Idec
Gilead
Glaxo-
SmithKline
Sanofi-
Aventis
• Mas de 50,000 Clientes de EnCase
• Mas del 65`% de los Fortune 100 y mas del 30% de los Fortune 500
Caso principios de la evaluación / revisión basada en la Web
EnCase
Command
Center
EnCase “Tech Stack”
EnCase Enterprise
(Forense Remoto)
EnCase Forensic ("Dead-box" o forense "independiente")
EnCase
eDiscovery
(Apoyo de Litigacion y
Cumplimiento)
EnCase
Cybersecurity
(Securidad de Datos y
Repuestas para Incidentes)
EnCase
®
Cybersecurity
Datos de Auditoría y Seguridad
Endpoint Data Audit
Escenario # 1: Monitoreo Para Cumplimiento
y Verificación de Datos Confidenciales
Auditoría Escalable y Eficiente de la Información Sensible
Mitigar el riesgo de los datos
sensibles en lugares no
autorizados
Ejemplos de Topologías Flexibles Con EnCase Para
Cumplimiento y Auditoria de Datos
Examiner
Sede Central
Examiner
Target Node
Target Node
SAFE
Sucursal
Target Node Target Node Target Node
WAN
N
o
A
c
c
e
s
o
A
c
c
e
s
o
Examiner
Oficina Principal B
Target Node
Target Node
Target Node
Examiner
Auditoria completa de:
- Documentos, imagenes e emails
con información confidencial.
- Chats y rastreo de transferencias
de archivos.
- Información en Exchange
y Lotus Notes.
- Investigación en otras fuentes
de información como Sharepoint.
- Documentos e emails borrados.
-Configuraciones y versiones
de hardware y software.
-Borradores de documentos
y versiones antiguas.
Target Node
Target Node
Servidores
Oficina Principal A
Target Node
Target Node
Target Node
N
o
A
c
c
e
s
o
Target Node
A
c
c
e
s
o
Servidores
Taxonomía de Uso EnCase
Cumplimiento PCI/SOX
Propiedad Intelectual
Malware Desconocido
Lavado de Dinero
Recursos Humanos
Malware Conocido
Ejemplos de Casos de Uso Artefactos
Documentos Estratégicos
Detectar
Monitorizar
Analizar
Recolectar Para
Análisis
Externo
Responder
Informar
Resultado(s)
A
u
d
i
t
o
r
í
a
s
E
s
t
r
u
c
t
u
r
a
d
a
s
I
n
v
e
s
t
i
g
a
c
i
o
n
e
s
N
o

E
s
t
r
u
c
t
u
r
a
d
a
s
Privacidad de los Datos
Personales
Robo Interno
Esquemas de Fraude
Archivos con
Posibles Rastros
De Evidencia
Coincidencias
Exactas
Datos Cercanos
Indicadores
EnCase
®
Cybersecurity
Respuesta a Incidentes
EnCase
®
Cybersecurity
Escenario #2: Respuesta Contra Fraude
Transformando Una Organización desde Reactiva a
Proactiva
El Problema Con Fraude
Comparando Productos de EnCase en el Uso Contra
Fraude
Funcionalidad Enterprise Cybersecurity eDiscovery
Buscar numeros de cuentas, tarjetas de creditos
X X X
Detectar cambios de extensiones de archivos
X X X
Descubrir aplicaciones usables para fraude
X X X
Buscar las comunicaciones entre redes de gente
involucrada en fraude
X X X
Incluir archivos borrados en la busqueda
X X X
Posesion de numeros de cuentas que son falsos o no
son legitimos
manualmente
X X
Establecer una linea base de archivos conocidos
manualmente
X
Detectar documentos similares
X
Remediar documentos y archivos
X
Escanear una coleccion mas de una vez
X
Detectar capturas de pantalla u otras imagenes con
informacion confidencial
X
Revision de detalles con los abogados o los gerentes
X
EnCase
La Defensa en Capas es Importante:
La Realidad de Cibercrimen
 Estudio: Las Actividades
Cibernauticas Ilícitas Relacionadas con el
Fraude en el Sector de Servicios
Financieros de EE.UU.
 Estudiaron 80 casos de fraude entre 2005
y 2012.
• 67 casos de fraude internos
• 13 casos externos
 Publicado por:
• el Departamento de Seguridad Nacional
(DHS)
• el Servicio Secreto de los EE.UU. (USSS)
• el Centro CERT, parte de Instituto Ingeniería
de Software de Carnegie Mellon University.
La Defensa en Capas es Importante:
La Realidad de Cibercrimen
 Algunas conclusiones del estudio:
• En sólo un 6% de los casos la actividad fraudulenta fue
detectada con la prevención de pérdida de datos (DLP).
• En la mayoría (41%) el fraude fue descubierto a través
de auditorías periodicas o improvisadas.
• En más de la mitad de los casos, los criminales
utilizan alguna forma de acceso autorizado, ya sea
actual o autorizado en una fecha anterior.
• Los criminales que ejecutaron una estrategia "baja y
lenta" logrado más daño y escapado a la detección
durante más tiempo.
("Insider Threat Study: Illicit Cyber Activity Involving Fraud in the U.S. Financial Services Sector“)
La Defensa en Capas es Importante:
La Realidad de Cibercrimen
Inicio del
Trabajo
Comienzo
de Fraude
Detección
Despedido
Notificación
a la Policía
Dictamen
Legal
Hasta el comienzo de fraude Hasta la detección Policía Convicción
61.6 31.8 0 4.8 16.3
El Tiempo
en meses
entre fases
("Insider Threat Study: Illicit Cyber Activity Involving Fraud in the U.S. Financial Services Sector“)
Cómo EnCase Complementa DLP
 Si su organización tiene un DLP o está pensando en comprar un
DLP
• EnCase puede auditar datos proactivamente
 EnCase protege la información en casos de uso que no están
cubiertos por la mayoría de los sistemas DLP:
• Datos confidenciales en correo electrónico interno, correo
electrónico web y mensajería instantánea
• Información detectable mediante OCR en imágenes
• Verificación de la configuraciones de hardware y software
• Las vulnerabilidades de seguridad de la información
• Información contenida en los diversos tipos de dispositivos
móviles
• Información en otros idiomas
 EnCase puede excluir carpetas personales en el contexto de leyes
de “habeas data” sin reconfiguracion addicional
Cómo EnCase Complementa DLP
Tiempo
E
s
c
e
n
a
r
i
o
s
DLP
EnCase
El Despliegue del DLP
La Verificación del DLP
Escenarios No Cubiertos
por DLP
Verificación Con EnCase
Mas Opciones Para Casos Dificiles…
 Por Ejemplo
• Coincidencias Parecidas
• Ejecutables diferentes con el mismo código
• Reenvio de correos electrónicos
• Volumenes cifrados
 EnCase Cybersecurity puede ayudarte con
funcionalidad que mide la diferencia entre archivos,
usando una escala entre 0 y 8
 Archivos que son similares se auto-agrupan con
otros valores similares
Ejemplo: Coincidencias Parecidas
Ejemplo: Ejecutables diferentes
con el mismo código
 Un gusano polimórfico en seis repeticiones.
EnCase
®
Cybersecurity
Respuesta a Incidentes
EnCase
®
Cybersecurity
Escenario #3: Respuestas a Incidentes y Ataques Ciber
Clasificación Automática y Manual
El Sistema de Alertas Es Agnóstico – Mientras que una
integración de referencia se discute por Arcsight, cualquier alerta
o solución para gestión de eventos puede ser integrada para
lograr estos beneficios.
Malware Desconocido Puede Estar En Tu Red Tambien
EnCase y Las Respuestas de Incidentes
Cybersecurity
 Creacion de lineas de bases para definir el normal
• Monitoreo de sistemas
• Integracion con otras herramientas de seguridad
 Documentacion de cambios en estados de maquinas
 Identificacion de Malware Conocido
• Integracion con listas blancas/negras (NIST, Bit9, etc.)
• Respuestas a alertas de otras herramientas
 Clasificacion de malware y archivos desconocidos
 Remediacion de los amenazas
 Verificacion que no tiene reinfeccion
 Recreacion del incidente y causas
Pre-Incidente
Deteccion y
Analisis
Erradicaccion y
Restauracion
Post Incidente
I
n
f
o
r
m
e
s
Como Funciona Los Ataques En Teoria?
P
e
r
i
m
e
t
r
o
En Transito
Antivirus
Alerta
Alerta
Respuestas Tradicionales a Incidentes
DLP
Anti Virus
Firewall
Intrusion
Deteccion
Monitoreo
Network
SEIM
DLP
Anti Virus
Firewall
Intrusion
Detection
Network
Monitoring
SEIM
IR Platform
Integración con EnCase
®
Cybersecurity
Gestión Automatizada de Incidentes
Cualquier
software
IR Platform
Testimonios de Clientes
 “Con una oficina sobre uno, EnCase [Enterprise] es mi primera herramienta forense
Esta me provee el Factor Multiplicador de fuerza crítica que me permite continuar con mi
carga pesada de casos forenses en adición a mis deberes normales de Oficial de Seguridad de
Información.”
Johnie Sullivan, Information Security Officer
& Forensic Investigator, UNLV.
 “EnCase nos Ahorró más de 1 millón de Dólares en los 6 primeros meses de su uso. Ademas
nos permitio completar una investigación crítica en el caso de una Adquisición de otra
Empresa, que habria sido imposible con cualquier otro software u opciones de servicios
existentes en el mercado actual.”
Ted Barlow, CSO&VP, Risk Management, McAfee, Inc.
Oferta
 Especial Solo Para Participantes del INFOSEC
Argentina (limitado por 60 dias o hasta 5 de
noviembre)
• EnCase Cybersecurity
• Hasta 2000 nodos
• Entremiento Incluido
▫ EnCase Enterprise
▫ EnCase Cybersecurity
Oferta: EnCase Cybersecurity con 2000
nodos y entremiento para un precio total
menos que 50% del precio de solo la
licencia de 500 nodos
 Sitio Web
• http://www.encase.com
• http://www.encase.com/es
 Cursos
• http://www.guidancesoftware.com/c
omputer-forensics-training-
courses.htm
 Portal de suporte
• http://support.guidancesoftware.com
 Siganos
• Facebook:
facebook.com/guidancesoftware
• Twitter:
▫ twitter.com/encase
▫ Twitter.com/LATAMTony
(espanol)
• v7 Twitter HashTag: #EF7
• Grupo En LinkedIn
▫ Usuarios de EnCase en Español
Más Recursos de EnCase En El Internet
Preguntas y Contactos
 Guidance Software – America Latina
• Director de Ventas – Corey Johnson:
▫ [email protected]
• Ingeniero de Ventas – Tony Grey
▫ [email protected]
Preguntas?
Material Extra
Guidance Software
Programa Consejero (GAP)
El Programa Consejero de Guidance Software (GAP) está diseñado para fortalecer su equipo de
trabajo, aumentar los niveles de madurez del proceso y reducir el riesgo en las areas prácticas
cubiertas por el portafolio de productos EnCase
®
: E-discovery, Cyber Security e Investigación
Digital.
 Consultores Expertos Proveyendo asistencia, instrucción, dirección o apoyo en caso directo a su equipo
 Proceso de analisis alrededor de e-discovery, cyber security e investigaciones digitales, comparando su
proceso con las mejores prácticas de la industria.
 Infraestructura EnCase
®
Sintonizada para asegurar la exitosa adopción de EnCase
®
en sus procesos
comerciales y operaciones.
 Un Plan de Programa Personalizado desarrollado desde un portafolio lleno de servicios profesionales
ofrecido por Guidance Software, perfeccionando las recomendaciones para mover su negocio adelante,
mejorando la eficacia y reduciendo el riesgo.
 Un Consultor Consejero, sirviendo como un administrador del Programa, quien esta intimamente informado
sobre su entorno y le provee un punto de contacto sencillo entre usted y todos los recursos de Guidance
Software.
 Acceso a expertos atraves de Guidance Software, incluyendo expertos legales y de la industria y Dirección
de recursos y Desarrollo de Productos Guidance Software
 Evaluaciones en Curso para rastrear su progreso hacia objetivos de negocio con resultados insumables.
Ideas para Usar GAP en la Superintendencia
 Recursos de entrevista, evaluación de niveles de
madurez del proceso y líneamientos de base
establecidos. Evaluar los nuevos procesos y comparar
con los Lineamientos de Base.
 Proveer instrucción sobre la administración o uso de
EnCase®.
 Sistemas de Alertas Integradas a EnCase®
Cybersecurity.
 Establecer Procedimientos de Operacion estandar para
las tareas.
 Proveer evaluación en curso, implementación y
evaluación de los procesos.
 Desarrollar políticas que cubran los procedimientos.
EnCase
®
Cybersecurity
Remediate
Cómo funciona
EnCase Software Componentes
 Utiliza exactamente el mismo agente inteligente
pasivo que EnCase Cybersecurity y eDiscovery
 De 128-bit AES de encriptación utilizados para la
comunicación segura entre los componentes
 El servicio funciona en varias versiones de Windows, basado en
Unix (incluyendo OSX), y los sistemas operativos NetWare
 Certificado por FIPS 140-2, Common Criteria EAL2 y DIACAP
EnCase Enterprise Componentes
SAFE (Autenticación segura para EnCase)
Autentica a los usuarios, administra los derechos
de acceso, mantiene registros de las transacciones
de EnCase, las comunicaciones corredores y prevé
la transmisión segura de datos.
El SAFE se comunica con los examinadores y los
nodos de destino utilizando los flujos de datos
encriptados, asegurando que no haya información
que puede ser interceptada e interpretada.
The Examinador
Software que permite a los investigadores para
llevar a cabo la respuesta a incidentes,
investigaciones y auditorías en los sistemas
reconocidos.
Clave de Seguridad (Dongle)
Dispositivo de licencias física que
controla la funcionalidad del producto
disponible para los clientes.
Snapshot
Instantánea rápida captura de
datos volátiles, proporciona
información detallada sobre lo que
estaba ocurriendo en un sistema
en un punto dado en el tiempo.
Servlet o Agente
Una forma no intrusa, la auto-
actualización, el agente de software
pasivo instalado en las estaciones
de trabajo y servidores para la
protección en cualquier momento.
Conexión Simultánea
Una conexión segura virtual
establecida entre el examinador
y los equipos de destino.
Topología Ejemplo de Despliegue
Oficina Principal A
Examiner
Aggregation Database
Sede Central Corporativa
Sucursal
Target Node
Target Node
Target Node
Oficina Principal B
SAFE
Target Node Target Node Target Node
Examiner
Target Node
Target Node
Target Node
SAFE
Target Node
Examiner
Target Node
Target Node
Target Node
WAN