© 2012 Guidance Software, Inc. All Rights Reserved.

P A G E 0

The World Leader in Digital Investigations™

© 2012 Guidance Software, Inc. All Rights Reserved.

EnCase® y La Seguridad de Informacion

En OrganizacionesCuando la Seguridad y el Tiempo son Esenciales...

Tony GreyIngeniero de Ventas, LatinoamericaGuidance Software

Que Vamos A Charlar Hoy?

Cibercrimen

Cumplimiento y Auditoria

• PCI/SOX

• Leyes de Privacidad

• Interno

Metodos proactivos contra fraude

Cibersecuridad, malware y respuestas de incidentes

Hay Un Negocio Criminal en Crescimiento

Que Ya Esta Buscando Tus Datos

Noviembre 2007 Noviembre 2011

El Negocio de Cibercrimen: Esquemas

Desarolladores

De Herramientas

Herramientas

Gusanos

Troyanos

Spyware

Abusadores

- Primera Etapa

Hacker/Ataque

Directo

Máquinas

Cosechadas

Información

Cosechada

Robos Internos/Abuso de Privilegio

Resultados

Servidores

y Aplicaciones

Comprometidos

Creación de

Redes de Bots

Gestión de

Redes de Bots

Información

Privada

Bolsas de

Información

Propiedad

Intelectual

Abusadores

Segunda Etapa

DDOS

para alquilar

“Spam”

“Phishing”

Envenenamiento

DNS

El Robo

de Identidad

Valor

Final

Competencia

Criminal

Robos

Espionaje –Corporativo/

Gobierno

Pagos de

Extorsión

Ventas comerciales

Ventas fraudulentas

Ingresos de

los Clics

Fraude

Financial

Desarolladores

De Malware

Fuente: United Nations Interregional Crime and Justice Institute

Extorsion

PrivacidadMensajes Personales, Chats, Fotos, Llamadas,

Identificacion/ubicaciones de familia y amigos

FinancialCuentas Bancarias, Cambios de info clave de

cuentas, Sequestracion de cuenta de email

Uso Spam Email Comercial, facebook, twitter, phishing

Informacion

Cosechada

Contactos, MS drive, Dropbox,, Google docs,

cuentas de hosting, licencias de software

Informacion

De Trabajo

Documentos en Email, email de trabajo,

FEDEX/UPS, Info de VPN, SalesForce,

Items de Valor Solo En Una Cuenta de Email

Tarjetas de

Credito

iTunes US$8

US$25

FEDEX US$6

GroupOn US$5

GoDaddy US$4

Facebook/

TwitterUS$2.50

Email <US$0.25

Valor Comercial de Una Cuenta Hoy

Guidance Software

Líder reconocido en las investigaciones digitales

Empresa en la bolsa de valores NASDAQ

Extensa Base Global de Clientes

• Más de 50,000 organizaciones usan EnCase® a nivel Mundial

▫ Las mas grandes agencias/entidades de gobierno

• Miles de clientes de nivel Enterprise, incluyendo:▫ Más de cien de las empresas “Fortune 500” y más de 65% de las “Fortune 100” en los Estados

Unidos.

▫ Implementado en más de 50 millones de desktops, notebooks y servers

▫ Mas de 200 de las mayores agencias gubernamentales

Organizaciones financieras que valoran la seguridad usan EnCase

• Los 10 bancos mas grandes del mundo

• 9 de los 10 bancos mas grandes de México

• Bolsas de valores

▫ NASDAQ

▫ NYSE

▫ NY Mercantile Exchange (NYMEX)

▫ Chicago Mercantile Exchange

Muchas empresas conocidas en Latinoamérica

EnCase : Presencia dominante en el mercado

a través de las Industrias

Energía / ServiciosBásicos

SegurosBancos/

FinancierasTecnologia Telecomun. Retail/CPG

Fabricas/

Industrial

Farma/

Biotec.

Petrobras

Chevron

Koch

Halliburton

DTE

El Paso

Anadarko

PSEG

SoCal Edison

Dominion

Seg. Caracas

Liberty Mutual

AIG

Allstate

Nationwide

USAA

Amer. Family

CIGNA

Hartford

Kaiser

UnitedHealth

Bank of America

Citigroup

JPMorgan Chase

Wells Fargo

Scotiabank

HSBC

DeutscheBank

Barclays

PNC

Visa

MasterCard

Morgan Stanley

UBS

Amex

BANCOLOMBIA

Banesco

Bradesco

Intel

Motorola

McAfee

Sony

Microsoft

RIM

Symantec

Cisco

EMC

HP

NetApp

Intuit

Oracle

Yahoo!

Qualcomm

Broadcom

TIM Brasil

AT&T

Cox

Verizon

Sprint

Vodafone

BT

Bell Canada

CANTV

Qwest

Movistar

Vonage

Oi

Comcast

C&W Pma

ENTEL

TELESP

Lowe’s

Home Depot

Target

Best Buy

OfficeMax

Big Lots

P & G

McDonald’s

SuperValu

Disney

Safeway

Coca-Cola

Boeing

UTC

GE

Rolls-Royce

Toyota

Lockheed

Ford

Textron

Diebold

Honeywell

Eaton

Honda

Gen. Dynamics

Northrop

Hyundai

Volkswagen

Amgen

Genentech

Life Tech.

AstraZeneca

Roche

Novartis

Pfizer

Purdue Phar.

Watson

Wyeth

Biogen Idec

Gilead

Glaxo-

SmithKline

Sanofi-

Aventis

• Mas de 50,000 Clientes de EnCase• Mas del 65`% de los Fortune 100 y mas del 30% de los Fortune 500

Caso principios de la evaluación / revisión basada en la Web

EnCase

Command

Center

EnCase “Tech Stack”

EnCase Enterprise(Forense Remoto)

EnCase Forensic ("Dead-box" o forense "independiente")

EnCase

eDiscovery(Apoyo de Litigacion y

Cumplimiento)

EnCase

Cybersecurity(Securidad de Datos y

Repuestas para Incidentes)

EnCase® CybersecurityDatos de Auditoría y Seguridad

Endpoint Data Audit

Escenario # 1: Monitoreo Para Cumplimiento

y Verificación de Datos Confidenciales

Auditoría Escalable y Eficiente de la Información Sensible

Mitigar el riesgo de los datos

sensibles en lugares no

autorizados

Ejemplos de Topologías Flexibles Con EnCase Para

Cumplimiento y Auditoria de Datos

Examiner

Sede Central

Examiner

Target Node

Target Node

SAFE

Sucursal

Target Node Target Node Target Node

WANN

o

A

c

c

e

s

o

A

c

c

e

s

o

Examiner

Oficina Principal B

Target Node

Target Node

Target Node

Examiner

Auditoria completa de:

- Documentos, imagenes e emailscon información confidencial.

- Chats y rastreo de transferenciasde archivos.

- Información en Exchange

y Lotus Notes.

- Investigación en otras fuentes

de información como Sharepoint.

- Documentos e emails borrados.

-Configuraciones y versiones

de hardware y software.

-Borradores de documentos

y versiones antiguas.

Target Node

Target Node

Servidores

Oficina Principal A

Target Node

Target Node

Target Node

N

o

A

c

c

e

s

o

Target Node

A

c

c

e

s

oServidores

Taxonomía de Uso EnCase

Cumplimiento PCI/SOX

Propiedad Intelectual

Malware Desconocido

Lavado de Dinero

Recursos Humanos

Malware Conocido

Ejemplos de Casos de Uso Artefactos

Documentos Estratégicos

Detectar

Monitorizar

Analizar

Recolectar ParaAnálisisExterno

Responder

Informar

Resultado(s)

Au

dit

orí

as

Es

tru

ctu

rad

as

Inve

sti

ga

cio

ne

s

No

Es

tru

ctu

rad

as

Privacidad de los Datos

Personales

Robo Interno

Esquemas de Fraude

Archivos con

Posibles Rastros

De Evidencia

Coincidencias

Exactas

Datos Cercanos

Indicadores

EnCase® CybersecurityRespuesta a Incidentes

EnCase® Cybersecurity

Escenario #2: Respuesta Contra Fraude

Transformando Una Organización desde Reactiva a

Proactiva

El Problema Con Fraude

Comparando Productos de EnCase en el Uso Contra

Fraude

Funcionalidad Enterprise Cybersecurity eDiscovery

Buscar numeros de cuentas, tarjetas de creditos X X X

Detectar cambios de extensiones de archivos X X X

Descubrir aplicaciones usables para fraude X X X

Buscar las comunicaciones entre redes de genteinvolucrada en fraude

X X X

Incluir archivos borrados en la busqueda X X X

Posesion de numeros de cuentas que son falsos o no son legitimos

manualmente X X

Establecer una linea base de archivos conocidos manualmente X

Detectar documentos similares X

Remediar documentos y archivos X

Escanear una coleccion mas de una vez X

Detectar capturas de pantalla u otras imagenes con informacion confidencial

X

Revision de detalles con los abogados o los gerentes X

EnCase

La Defensa en Capas es Importante:

La Realidad de Cibercrimen

Estudio: Las Actividades Cibernauticas Ilícitas Relacionadas con el Fraude en el Sector de Servicios Financieros de EE.UU.

Estudiaron 80 casos de fraude entre 2005 y 2012.

• 67 casos de fraude internos

• 13 casos externos

Publicado por:

• el Departamento de Seguridad Nacional (DHS)

• el Servicio Secreto de los EE.UU. (USSS)

• el Centro CERT, parte de Instituto Ingeniería de Software de Carnegie Mellon University.

La Defensa en Capas es Importante:

La Realidad de Cibercrimen

Algunas conclusiones del estudio:

• En sólo un 6% de los casos la actividad fraudulenta fue detectada con la prevención de pérdida de datos (DLP).

• En la mayoría (41%) el fraude fue descubierto a través de auditorías periodicas o improvisadas.

• En más de la mitad de los casos, los criminales utilizan alguna forma de acceso autorizado, ya sea actual o autorizado en una fecha anterior.

• Los criminales que ejecutaron una estrategia "baja y lenta" logrado más daño y escapado a la detección durante más tiempo.

("Insider Threat Study: Illicit Cyber Activity Involving Fraud in the U.S. Financial Services Sector“)

La Defensa en Capas es Importante:

La Realidad de Cibercrimen

Inicio del

TrabajoComienzo

de Fraude

Detección

Despedido

Notificación

a la Policía

Dictamen

Legal

Hasta el comienzo de fraude Hasta la detección Policía Convicción

61.6 31.8 0 4.8 16.3El Tiempo

en meses

entre fases

("Insider Threat Study: Illicit Cyber Activity Involving Fraud in the U.S. Financial Services Sector“)

Cómo EnCase Complementa DLP

Si su organización tiene un DLP o está pensando en comprar un DLP

• EnCase puede auditar datos proactivamente

EnCase protege la información en casos de uso que no están cubiertos por la mayoría de los sistemas DLP:

• Datos confidenciales en correo electrónico interno, correo electrónico web y mensajería instantánea

• Información detectable mediante OCR en imágenes

• Verificación de la configuraciones de hardware y software

• Las vulnerabilidades de seguridad de la información

• Información contenida en los diversos tipos de dispositivos móviles

• Información en otros idiomas

EnCase puede excluir carpetas personales en el contexto de leyes de “habeas data” sin reconfiguracion addicional

Cómo EnCase Complementa DLP

Tiempo

Escen

ari

os

DLP

EnCase

El Despliegue del DLP La Verificación del DLP

Escenarios No Cubiertos

por DLP

Verificación Con EnCase

Mas Opciones Para Casos Dificiles…

Por Ejemplo

• Coincidencias Parecidas

• Ejecutables diferentes con el mismo código

• Reenvio de correos electrónicos

• Volumenes cifrados

EnCase Cybersecurity puede ayudarte con

funcionalidad que mide la diferencia entre archivos,

usando una escala entre 0 y 8

Archivos que son similares se auto-agrupan con

otros valores similares

Ejemplo: Coincidencias Parecidas

Ejemplo: Ejecutables diferentes

con el mismo código

Un gusano polimórfico en seis repeticiones.

EnCase® CybersecurityRespuesta a Incidentes

EnCase® Cybersecurity

Escenario #3: Respuestas a Incidentes y Ataques Ciber

Clasificación Automática y Manual

El Sistema de Alertas Es Agnóstico – Mientras que una

integración de referencia se discute por Arcsight, cualquier alerta

o solución para gestión de eventos puede ser integrada para

lograr estos beneficios.

Malware Desconocido Puede Estar En Tu Red Tambien

EnCase y Las Respuestas de Incidentes

Cybersecurity

Creacion de lineas de bases para definir el normal

• Monitoreo de sistemas

• Integracion con otras herramientas de seguridad

Documentacion de cambios en estados de maquinas

Identificacion de Malware Conocido

• Integracion con listas blancas/negras (NIST, Bit9, etc.)

• Respuestas a alertas de otras herramientas

Clasificacion de malware y archivos desconocidos

Remediacion de los amenazas

Verificacion que no tiene reinfeccion

Recreacion del incidente y causas

Pre-Incidente

Deteccion y

Analisis

Erradicaccion y

Restauracion

Post Incidente

Info

rmes

Como Funciona Los Ataques En Teoria?

Perim

etr

oEn Transito

Antivirus

Alerta

Alerta

Respuestas Tradicionales a Incidentes

DLP

Anti Virus

Firewall

Intrusion

Deteccion

Monitoreo

Network

SEIM

DLP

Anti Virus

Firewall

Intrusion

Detection

Network

Monitoring

SEIM IR Platform

Integración con EnCase® CybersecurityGestión Automatizada de Incidentes

Cualquier

software

IR Platform

Testimonios de Clientes

“Con una oficina sobre uno, EnCase [Enterprise] es mi primera herramienta forenseEsta me provee el Factor Multiplicador de fuerza crítica que me permite continuar con mi carga pesada de casos forenses en adición a mis deberes normales de Oficial de Seguridad de Información.”

Johnie Sullivan, Information Security Officer & Forensic Investigator, UNLV.

“EnCase nos Ahorró más de 1 millón de Dólares en los 6 primeros meses de su uso. Ademasnos permitio completar una investigación crítica en el caso de una Adquisición de otraEmpresa, que habria sido imposible con cualquier otro software u opciones de servicios existentes en el mercado actual.”

Ted Barlow, CSO&VP, Risk Management, McAfee, Inc.

Oferta

Especial Solo Para Participantes del INFOSEC Argentina (limitado por 60 dias o hasta 5 de noviembre)

• EnCase Cybersecurity

• Hasta 2000 nodos

• Entremiento Incluido

▫ EnCase Enterprise

▫ EnCase Cybersecurity

Oferta: EnCase Cybersecurity con 2000 nodos y entremiento para un precio total menos que 50% del precio de solo la licencia de 500 nodos

Sitio Web

• http://www.encase.com

• http://www.encase.com/es

Cursos

• http://www.guidancesoftware.com/c

omputer-forensics-training-

courses.htm

Portal de suporte

• http://support.guidancesoftware.com

Siganos

• Facebook:

facebook.com/guidancesoftware

• Twitter:

▫ twitter.com/encase

▫ Twitter.com/LATAMTony

(espanol)

• v7 Twitter HashTag: #EF7

• Grupo En LinkedIn

▫ Usuarios de EnCase en Español

Más Recursos de EnCase En El Internet

Preguntas y Contactos

Guidance Software – America Latina

• Director de Ventas – Corey Johnson:

▫ Corey.Johnson@guidancesoftware.com

• Ingeniero de Ventas – Tony Grey

▫ Tony.Grey@guidancesoftware.com

Preguntas?

Material Extra

Guidance Software

Programa Consejero (GAP)

El Programa Consejero de Guidance Software (GAP) está diseñado para fortalecer su equipo de trabajo, aumentar los niveles de madurez del proceso y reducir el riesgo en las areas prácticascubiertas por el portafolio de productos EnCase®: E-discovery, Cyber Security e InvestigaciónDigital.

Consultores Expertos Proveyendo asistencia, instrucción, dirección o apoyo en caso directo a su equipo

Proceso de analisis alrededor de e-discovery, cyber security e investigaciones digitales, comparando suproceso con las mejores prácticas de la industria.

Infraestructura EnCase® Sintonizada para asegurar la exitosa adopción de EnCase® en sus procesoscomerciales y operaciones.

Un Plan de Programa Personalizado desarrollado desde un portafolio lleno de servicios profesionalesofrecido por Guidance Software, perfeccionando las recomendaciones para mover su negocio adelante, mejorando la eficacia y reduciendo el riesgo.

Un Consultor Consejero, sirviendo como un administrador del Programa, quien esta intimamente informadosobre su entorno y le provee un punto de contacto sencillo entre usted y todos los recursos de Guidance Software.

Acceso a expertos atraves de Guidance Software, incluyendo expertos legales y de la industria y Direcciónde recursos y Desarrollo de Productos Guidance Software

Evaluaciones en Curso para rastrear su progreso hacia objetivos de negocio con resultados insumables.

Ideas para Usar GAP en la Superintendencia

Recursos de entrevista, evaluación de niveles de madurez del proceso y líneamientos de base establecidos. Evaluar los nuevos procesos y comparar con los Lineamientos de Base.

Proveer instrucción sobre la administración o uso de EnCase®.

Sistemas de Alertas Integradas a EnCase® Cybersecurity.

Establecer Procedimientos de Operacion estandar para las tareas.

Proveer evaluación en curso, implementación y evaluación de los procesos.

Desarrollar políticas que cubran los procedimientos.

EnCase® Cybersecurity

Remediate

Cómo funciona

EnCase Software Componentes

Utiliza exactamente el mismo agente inteligente

pasivo que EnCase Cybersecurity y eDiscovery

De 128-bit AES de encriptación utilizados para la

comunicación segura entre los componentes

El servicio funciona en varias versiones de Windows, basado en

Unix (incluyendo OSX), y los sistemas operativos NetWare

Certificado por FIPS 140-2, Common Criteria EAL2 y DIACAP

EnCase Enterprise Componentes

SAFE (Autenticación segura para EnCase)

Autentica a los usuarios, administra los derechosde acceso, mantiene registros de las transaccionesde EnCase, las comunicaciones corredores y prevéla transmisión segura de datos.

El SAFE se comunica con los examinadores y los

nodos de destino utilizando los flujos de datos

encriptados, asegurando que no haya información

que puede ser interceptada e interpretada.

The Examinador

Software que permite a los investigadores para

llevar a cabo la respuesta a incidentes,

investigaciones y auditorías en los sistemas

reconocidos.

Clave de Seguridad (Dongle)

Dispositivo de licencias física que

controla la funcionalidad del producto

disponible para los clientes.

Snapshot

Instantánea rápida captura de

datos volátiles, proporciona

información detallada sobre lo que

estaba ocurriendo en un sistema

en un punto dado en el tiempo.

Servlet o Agente

Una forma no intrusa, la auto-

actualización, el agente de software

pasivo instalado en las estaciones

de trabajo y servidores para la

protección en cualquier momento.

Conexión Simultánea

Una conexión segura virtual

establecida entre el examinador

y los equipos de destino.

Topología Ejemplo de Despliegue

Oficina Principal A

Examiner

Aggregation Database

Sede Central Corporativa

Sucursal

Target Node

Target Node

Target Node

Oficina Principal B

SAFE

Target Node Target Node Target Node

Examiner

Target Node

Target Node

Target Node

SAFE

Target Node

Examiner

Target Node

Target Node

Target Node

WAN