os lábios ao vamos lá para mais uma aula aqui tá princípio de análise forense e incidentes de segurança é tão fácil da proteção da perícia forense né que é habilidade empresa coletar preservar proteger analisar evidência digital de maneira legalmente válida tá até o processo civil conhecer interrupção das operações de corrente gente tava começando a anterior era a situações que tem que fazer a coleta aprender vai analisar identificar correto aí identificar coletar e preservar uma evidência e proteger e isso sem parar tá então importante da versão prontidão tem uma equipe de resposta acidente naquela naquela empresa
tal organização tá então aí a importância da investigação né quem tá começando agora que é o alto nível de resposta a incidentes com evidência digital então você tem que deus pode acidente o pessoal capacitado e especialista em a violência nas forense para ter uma resposta de alto nível ali tá três então a existência de um processo deles cover né que a descoberta eletrônica daí ajuda se precisar agir em propriamente né a obter esse de maneira legalmente válida é tão com a conformidade com regras aplicadas pelo governo existe situações de empresas por exemplo para fazer a
contrato com o governo lá então é que você tem que pedir para o incidente em seu precisa ter um nível de profissionais certificados para isso tá então isso também tem uma equipe dessa nós possamos investigação ela reduz o custo deve ter são deve desse digital e leva uma resolução mais rápida quando o caso é conduzido à força tá então se você evidência de forma correta de forma adequada não tem profissional capacitado e com o conhecimento para isso e isso torna a chance de ir mais rápido e forma efetiva e esse além disso né fortalece a
segurança da organização né e se torna a instituição mais preparada né para manipular esse de segurança internos ou externos e aí tem a capacidade de ficar rápido identificar rapidamente né um ataque antes que estejamos a profundidade da organização é isso você fala de movimentação lateral né quando eu acontece um ataque e o atacante não me passou ele acesso a um determinado exclusivos ele vai tentar se movimentar literalmente para escalar privilégios né para tentar conseguir um exemplo de acesso ou com o usuário do apache www.ead ele quer ter hood na máquina né para que possa instalar
para o banco de idade para que possa ficar lá para o dispositivo da beleza então se tem uma aqui deixa presidência tem especialistas nessa área e florence você consegue identificar o ataque né obtido que identifique o ataque logo no começo para que aí você consiga parar ele antes que esteja maior proporção tá bom e aí é reduzir os ataques internos né se você tem uma equipe de resposta acidente tem o pessoal diferença ali e os funcionários terceirizado o pastor serviços da sua empresa e nem sabe que tem uma equipe dessa isso que acaba inibindo meu
cara de fazer coisa mais coisas por o maior de ser é capturada é de ser identificado tá estar além disso nesse melhor apostila a empresa né fazer a situação sobre isso aí com um monte dela é comprometida com a segunda cibernética né se tem vestido o cliente né isso dar maior credibilidade própria empresa tá e vai recontar o tamanho desse dente né o objetivo de um processo de resposta né minimizar impactos e permite o restabelecimento do sistema mais rápido possível né ele tava com medo a situações que a um ataque e aí se não tem
aqui deixa procedência ou se você não tem gente preparada para isso não é procedimento pode prejudicar a tua análise de preço de capa da resposta né mas para isso é importante é ter uma preparação né anterior tá é preciso ser a fase de detecção e análise da luz incidente daí depois você tem que conter e mitigar da recuperar e depois tem as suas pode esse dente que ele vai falar um pouco então eu tenho esse esse o organograma do cert ce cê tá e aí que eu tenho um processo de de gravidade do incidente é
o monitoramento de rede né a tecnologia de fazer monitoramento e informações gerais então fazer flexão ver tem a parte preparação em cima né detectou aqui faz a triagem aí responde e aí o incidente e você pode votar preparar e melhorar o seu após acidente né você mas não conheciam que tem lá tipo de ataque você pode depois da resposta na identificar ali fazer esse processo e melhorar forma de preparação anterior tá aí você protege né como você fez ali a detecção de téchiné e aí tem sempre uma resposta uma melhor resposta tá oi e aí
ó parte da preparação né tem é o modelo de implementar mecanismos de defesa né controle de ameaças resolver procedimentos para lidar com extensão eficiente né obter recursos ea equipe necessária para lidar com o problema de estabelecer em infraestrutura de suporte à atividade de resposta a incidentes isso é a fase de preparação para fazer flexão né o sistema de serviço afetados você identificar isso aí de detectar isso aí você identificar todo o sistema e serviços afetados já sabe que o incidente e aí tem a parte do impacto e os risco né na fazer atenção né que
aí você vai avaliar o impacto do incidente e quais são os potenciais riscos dos sistemas afetados por exemplo cidade de vazados de formação instituição a terceira e pacto na organização e somente agora né com a chegada né da lg perder aí e aí você tem que avaliar esse pingente aí tá sendo ocasionado o nosso quase detecção tá o evento e correlatos é que a identifica a existência de outros eventos e alertas e resultado conhecimento e questão tá e mais outras situações além daquela que você detector é existiu tá é mapeamento dos dados de ficar que
tipo de informação e processo de 46 afetados por aquela presidência eu responsável pelo senhor comprometido é importante você a informar apresenta-se com sistema financeiro da empresa né e aí você tem que informar para o pessoal do financeiro que existia um ataque ou comprometimento cidade por exemplo né gente vai ter que desligar o servidor vai ter que parar o sistema e tá qualquer coisa é só dar esse falta um oi e aí tia fase de contenção né que aconteceu o incidente não já já fiz a preparação antes né dele se acontecer tem a fase detecção quero
que você identifica papel e riscos analisa informa aí a fase de contenção se vai ter que conter o incidente né de maneira atenuar os danos e evitar que é demais recursos e comprometer ele falou eu preferi com defeito nele por exemplo e o cara quer ficar lá privilégio visualizar aquele no servidor web também tô aconteceu lá deve fornecer uma solução de segurar nesse uma solução de segurança razoável até que informações suficientes sejam obtidas para resolução de incidentes de maneira definitiva tá então ações de concessão é geralmente realizada de forma rápida e de maneira paliativa na
água definitivo então com as sensações da contenção e é diferente ao sistema comprometido não é ou isolar a rede afetada e aí que comentou desativar o sistema para evitar maiores perdas que não é quando a perda ou roubo de informações durante o ataque alterar a política de roteamento de equipament de reino bloquear padrões de tráfego interrompendo o fluxo malicioso e desabilitar serviços vulneráveis tá em bem do comprometimento dos sistemas que a gente já comentou é e como é que faz por aí hi de cara é que erradicar eliminar a causa do incidente né você eu
tenho por exemplo do a semana cryer e aí você tinha ali ou smbv1 compartilhamento de arquivo e aí a tem que tem que fazer ali para radicais né com ter que comer gente fez né diegos equipament desliga a internet erradicar é você atualizar para versão que tava do início estava com pet né tá eles vão dedicação tá vamos lá dicas objetivo da etapa de erradicação remover a fragilidade de segurança utilizada para comprometer os sistemas relacionados polícia de segurança autor das ameaças e riscos devem ser removidos do sistema e redes afetados antes que o serviço seja
estabelecido então se eu tenho se max alguma marca ser comprometida é preciso de lugar todas elas né no caso aí se verificou o reza o que for para lá formato aquela máquina não enche de novo antes de conectar na rede né tá dentro erradicar uma máquina por exemplo um computador e depois você vê lá com outra tem sido contaminado e lugar na rede né tá isso não erradicar lado de cá e é você pegar as ações de considerar nas ações de contenção que você realizou previamente e aí tá com bloqueio extensão e fazer uma definido
uma solução definitiva tá e aí você vai agora recuperar o sistema o ao seu estado normal né quem tá falando é tentar formatar é retornar o estado do deserto das vezes né restaurar os dados aplicação do usuário a integridade do sistema então exemplo dessa atividade de recuperação a gente tá lá são diversos confiáveis atualizar o sistema operacional ele tava comentando lá restauração do último e íntegro backup completa armazenada régua responde sistemas da rede de dados e monitoramento atividades então a ligação eu descubro qual é o problema né objetivo que vai fazer para resolver e na
recuperação eu retorno toda a minha operação normal e a última passa né para dar variação né o pó desse dentro né então a gente vai avaliar o quê que foi realizado para resolver incidência de documentário de detalhes né discutir as lições aprendidas para tingir com o característico janeiro lições que a gente up e quais procedimentos e processos existentes fabi sempre pode sempre não né mas pode acontecer caso que você não tenha se separado antes aqui que eu tenho preparado antes não tem um check list preparado para quem tem presidente e aí nesse momento você vai
ter que aprender e melhorar tá dentro de casa e fica triste com as novas e treinar os 9 mesmo né então essa esse documento de relatório é importante também também como tem gente nova na equipe aí eu comecei que é revisar alguma o incidente não foi tratado ali que você não lembra mais né aqui que não lembra mais né e aí também na nessa parte da variação né provei estatísticos e métricas relativas ao processo de responder cedência de obter informações que possam ser usadas em processos legais tá bom então quais são os princípios da análise
forense né então é diferencial segundo passa no processo de resposta incidente tá tá na sofrência' e participar do processo de preparação né o presidente e do pós esse dente né porque você vai recuperar agradar de maneira mais imparcial e livre de situações possíveis né para eu a ideia reconstruídas a identificar me responder uma pergunta né que a gente viu lá na primeira aula né como o quê porque quem fez aquilo tá e aí équipe de vocês essa né que bicho pode acidente e ela pode ser traduzida como retina a equipe tratamento de ser inseguro de
rede ou serve ou botina aí alguns casos e a princípio da diferença entre a minimizar a perda de dados possível evitar a contaminação dos dados que se propague né registar e documentar todas as ações analisar emprego e livramento de dados em cópias reportagem informações coletadas pessoalmente manter-se imparcial tá a gente não pode colocar o juízo de valor na nazistas no face então quais são as motivações para investigar o incidente e já falou de várias aqui né mas vamos lá é é o curso né as duas para não investigar aqui em casa deve chegar aqui augusto
nas vezes demora isso você quer tem que restabelecer o cheiro mais rápido então falta de objetividade esqueceu de vez não sabe o que quer e coletar tem que analisar e me xingar mas não sabia que ia fazer e disponibilização de recursos importante tá então são recursos foram investigar então é um processo que demanda tempo e recurso né é vezes é mais fácil já ter isso reinstalar o computador né ah tá e aí o problema é que isso você é raças flamengo chegar né o problema né que aí são vai vir xingar e que isso a
você pode ir quando você estabelecem algo sem fazer investigação você pode ser atacado novamente tá e aí é de novo e de novo até tomar consciência e tomando ações definitivas não erradicar aquilo ali tá então a identificação de táxi em uma motivação né porque aí você pega desempenho de ficasse mais comprometimento né gente ficou bem se você me deu hoje foi atacado não isso é uma motivação para para você ter um tempo de resposta silêncio mas nesse caso ainda ataca determinar a extensão do comprometimento é o como que ele foi afetado tá quando que a
cidade foram comprometidas né reconstruir a ordem dos eventos descobriu que vazou fez né correlação de eventos ajuda terminal faz você até o chama de mac time eu faço isso que é o fazer a cronologia nesse tempo de analisar logo nos arquivos né quando ocorreu ele era o modus operandi e eu quero me proteger contra próximos ataques eu sei que ana clara chorou à beça mb s mb b líder que teve agora tem uma situação o pessoal da casa né que fez que eles relataram aí como teve invasão que eles foram bem franco nem falar você
dorme de 5 contas foram pelo comprometida né então isso quando você identifica isso e ele escuta também empresa né foi bem bacana da casa essa ação e essa divulgação então de colocar aqui de uma empresa forense para fazer me xinga são né objetivo aí você entendeu modus operandi tá então para você entender que que aconteceu como fez o quê que foi capturado e só você bem resposta seus clientes a isso dá credibilidade para a empresa tá então qual o seu moderação detalhe nem todos os hackers agem da mesma forma da hacker entre aspas né tá
neném vazou pessoas maliciosas né a informação é a maior arma né então se você conhece e a e o como eu moro em operação os invasores você pode melhorar suas defesas tá então isso facilita o trabalho de investigação aí você já sabe onde procurar o então técnico e social nós somos difícil de combater porque me muda né então e a pessoa trabalha muito emocional né trabalha a mente da 5ª ci na casa então esse é difícil entender mas alguém tá treinado é o pinscher possa cicatrizar aqui o valor como algum dia a dia social ali
então se você trata do treino aqui né a isso ajuda a combater esse tipo de ação tá até a maior parte da tarde segue o mesmo padrão bom então como é que normalmente o atacante ele e a gente faz né então ele coleta fazer identificação do alvo né coleta informações e aí tem um álbum chamado de o cíntia né que é o pessoas inteligência quanto a informação e inteligência de seguir e fontes abertas identificação de vulnerabilidades se a finalidade do sistema né e aí tem a parte do do ataque ensina comprometimento do sistema é eu
e a gente contou uma controle do sistema né aí vezes em troca a senha de ruas e vocês viu só a escala ferramenta né ferramentas de acesso posterior né de backdoor se faz a remoção de rastros apaga logo e apaga todos os arquivos que foram baixados é mansão 5 prometido né que serve para instalação uniu com relação à questão de tem um backdoor aí e as situações que o atacante ele há limite que eu vou da gravidade da qual ele usou para invadir né para que os atacantes não posso fazer não posso entrar também estão
demitindo os ali né e ajuda na empresa essa forma ou não a irmã tem um backdoor irmã tem um comando e controle né uma perna dele como ele controle bater sempre informações alice em cima dele mão de stefan né então como a gente pode fazer para a detectar esses atacantes né outros a sistema de detecção de intrusão é filtros e captura de pacotes sistema de análise mauer sistemas anti mal é desse jeito de análise fluxo e força estranha tá então essas ferramentas aqui a esse tipo de ferramenta ajuda a identificar um ataque forma mais rápida
atender as despesas podem ser detectada né então quê que você pode procurar muita expectativa de login não é algo errado ali pensa interessante que se você foi em algum serviço na rede a cerveja várias tentativas né tem que ter cuidado que são muito robôs que tem que diferenciar um robô navegar vezes é alguém que fala que tô tentando né e colocar as vezes sem antes se a gente fiz autenticação dois fatores tá então tentativa de acesso a contas os sistemas existentes nela do tráfico para o nosso endereço de origem eo destino e dar um macaco
negação de serviço atividades em horários anormais devem ser alertados também e lacunas de log do sistema então você tem lá a os acessos lá a você for logo então de um servidor ftp no servidor web tem um blog com código 200 200 200 fica por 440 104/304 e vários arquivos e ou então tem lá 19 e 20 daqui a pouco tem 19 e 30 ver o que aconteceu você é um sistema que novamente acesso tempo inteiro né sabe que acessar o que aconteceu antes de 20 e 30 entendeu então isso aí importante detectar e quebra
da integridade do sistema né você até uma ferramenta do dívida pelo nosso murilo que é o cigarro de que ele faz uma análise ali e também tem que dar o sistema né também tenho um cheque que verifica-se se algum arquivo né é o do sistema foi corrompido já tá aqui o tempo de semana comprometeram del sistema desligado tá nesse caso a coleta a evidência fica mais fácil ainda comentou sobre isso na aula anterior né então não ter atendido o lixo então deve de ser isolados podem ser perdidas levo foram perdidos ali então tenho tentado invasor
diretamente assim necessidade de contenção e possivelmente algumas informações foram modificadas pelo sistema tá ligado não tem atividades corrigidos atividade em relevo desse rolar tem possibilidades de atividade vazou conectado encontrei o ataque e as notificações as evidências tá a tendência uma ligada se pode verificar sistema está comprometido né analisar processos analisados ela cury ele falou na comprometer as evidências ter cuidado com isso aí tem que ter conter o ataque outra evidência a diferença do pororó fishtown na que a gente comentou tem um mural foi não modifica semelhantes né mas pode conter os dados quando você mexe
o dedão lá no botão desliga eu esqueci dela na garganta integridade de dados tá mas pode modificar evidências bom então constante para semente para nós diferença então atuação para se rápido né por isso que ele tá preparado né você montar de check-list interior é manter sempre pronto a checklist falou agora de ações ferramentas tem amigo e centralizada antes nesse a coleta acho que você não posso colocar coleta algum em cima da daqui de outra vestigação então é importante essas meninas esterilizadas no colégio primeiro as evidências mais enrolados que a gente falou né a gente vai
falar sobre a paternidade pouco mas eu tenho ali memória ram a tenho a transferir né falta de rede memória ram os agradeço tá tão importante é um aberto e like pronta também né que são a palavra e temos que diga o comprometimento da algo que você possa procurar e saber sua marca fica comprometida tá e deve ser usado constantemente isso né então você quiser me pegar também um registro para cada evidência tá e faço um relatório da investigação mesmo bom então quais são as da coleta de evidência a gente tá comentando então a informação sobre
o ambiente né qual é o hábito operacional da rodando qual a está fora da sala a tela do computador tirar foto da sala né ela toda a memória ram que ele comentou pegar informação de processo execução ao conexão de registro de cash informações sobre tráfico de gelo da ordem da coleta de forma surf ele cobra de disco riso vidas removíveis e material impresso e tal procedimento para análise florença e a bom então eu tenho que criar registro para cada evidência né queria são todas as evidências de time de 5 a 1 e se abrisse comigo
ele falou sobre resto né nova 1.2 ligando para o também vida comprometer-se evidências né já comeu sobre isso aqui um relatório detalha investigação comandos executados pessoas entrevistas evidências só que então acadêmicos toda né ele tava comentando você teve que refazer registro de tudo né que a data e hora da coleta de quem sabe disso foi apreendida informações sobre o rádio é fabricante e modelo o número de série estado de conservação coisa com ele sobre isso nome da pessoa que quando previdência de esqueçam de parar de evidência nome e assinatura das pessoas envolvidas identificação do caso
de evidência as cantoras evidências e tem mais informações técnicas presidente tá bom então a então para cima de dados nós conversa pode variar um pouco até mais importante que você tenha metodologia bem definida o espaço investigação isso não sei que encostar pra você descobre água aqui e pode te mostrar outra ferramenta e mais e os padrões repetidos até com a chegada do oi desculpa até a chegada da conclusão tá então a gente mais informações então para saber se você dedo a investigação é preciso se preparar previamente essa para isso as informações corretas e precisas das
melhores armas né tem informação é importante é ter sempre a minha cuidado informações sobre o sistema comprometido não comprometer evidência né e falou acadêmicos tá deve nesse garante a representação fiel dos dados originais totalmente do logia e seja espacial precisa em suas ações tá aguentem um exercício você vai fazer vou mandar para vocês aí e você deve fazer você morrer aqui né montar um check list zinho bem simples tá aí toda a clara e aquisições referência estado da nossa aula de hoje obrigado pessoal até a próxima
!["Cabrón Bárbaro" - Lucho Mellera - Especial de Comedia (Show Completo) [Subtítulos ESP/ENG]](https://img.youtube.com/vi/aasZXQAtEzM/mqdefault.jpg)
