2012 Guidance Software, Inc. All Rights Reserved.

P A G E 0
The World Leader in Digital Investigations
2012 Guidance Software, Inc. All Rights Reserved.
EnCase

y La Seguridad de Informacion
En Organizaciones
Cuando la Seguridad y el Tiempo son Esenciales...
Tony Grey
Ingeniero de Ventas, Latinoamerica
Guidance Software
Que Vamos A Charlar Hoy?
Cibercrimen
Cumplimiento y Auditoria
PCI/SOX
Leyes de Privacidad
Interno
Metodos proactivos contra fraude
Cibersecuridad, malware y respuestas de incidentes
Hay Un Negocio Criminal en Crescimiento
Que Ya Esta Buscando Tus Datos
Noviembre 2007
Noviembre 2011
El Negocio de Cibercrimen: Esquemas
Desarolladores
De Herramientas
Herramientas
Gusanos
Troyanos
Spyware
Abusadores
- Primera Etapa
Hacker/Ataque
Directo
Mquinas
Cosechadas
Informacin
Cosechada
Robos Internos/
Abuso de Privilegio
Resultados
Servidores
y Aplicaciones
Comprometidos
Creacin de
Redes de Bots
Gestin de
Redes de Bots
Informacin
Privada
Bolsas de
Informacin
Propiedad
Intelectual
Abusadores
Segunda Etapa
DDOS
para alquilar
Spam
Phishing
Envenenamiento
DNS
El Robo
de Identidad
Valor
Final
Competencia
Criminal
Robos
Espionaje
Corporativo/
Gobierno
Pagos de
Extorsin
Ventas comerciales
Ventas fraudulentas
Ingresos de
los Clics
Fraude
Financial
Desarolladores
De Malware
Fuente: United Nations Interregional Crime and Justice Institute
Extorsion
Privacidad
Mensajes Personales, Chats, Fotos, Llamadas,
Identificacion/ubicaciones de familia y amigos
Financial
Cuentas Bancarias, Cambios de info clave de
cuentas, Sequestracion de cuenta de email
Uso Spam
Email Comercial, facebook, twitter, phishing
Informacion
Cosechada
Contactos, MS drive, Dropbox,, Google docs,
cuentas de hosting, licencias de software
Informacion
De Trabajo
Documentos en Email, email de trabajo,
FEDEX/UPS, Info de VPN, SalesForce,
Items de Valor Solo En Una Cuenta de Email
Tarjetas de
Credito
iTunes US$8
US$25
FEDEX US$6
GroupOn US$5
GoDaddy US$4
Facebook/
Twitter
US$2.50
Email <US$0.25
Valor Comercial de Una Cuenta Hoy
Guidance Software
Lder reconocido en las investigaciones digitales
Empresa en la bolsa de valores NASDAQ
Extensa Base Global de Clientes
Ms de 50,000 organizaciones usan EnCase

a nivel Mundial
Las mas grandes agencias/entidades de gobierno
Miles de clientes de nivel Enterprise, incluyendo:
Ms de cien de las empresas Fortune 500 y ms de 65% de las Fortune 100 en los Estados
Unidos.
Implementado en ms de 50 millones de desktops, notebooks y servers
Mas de 200 de las mayores agencias gubernamentales
Organizaciones financieras que valoran la seguridad usan EnCase
Los 10 bancos mas grandes del mundo
9 de los 10 bancos mas grandes de Mxico
Bolsas de valores
NASDAQ
NYSE
NY Mercantile Exchange (NYMEX)
Chicago Mercantile Exchange
Muchas empresas conocidas en Latinoamrica
EnCase : Presencia dominante en el mercado
a travs de las Industrias
Energa /
Servicios
Bsicos
Seguros
Bancos/
Financieras
Tecnologia Telecomun. Retail/CPG
Fabricas/
Industrial
Farma/
Biotec.
Petrobras
Chevron
Koch
Halliburton
DTE
El Paso
Anadarko
PSEG
SoCal Edison
Dominion
Seg. Caracas
Liberty Mutual
AIG
Allstate
Nationwide
USAA
Amer. Family
CIGNA
Hartford
Kaiser
UnitedHealth
Bank of America
Citigroup
JPMorgan Chase
Wells Fargo
Scotiabank
HSBC
DeutscheBank
Barclays
PNC
Visa
MasterCard
Morgan Stanley
UBS
Amex
BANCOLOMBIA
Banesco
Bradesco
Intel
Motorola
McAfee
Sony
Microsoft
RIM
Symantec
Cisco
EMC
HP
NetApp
Intuit
Oracle
Yahoo!
Qualcomm
Broadcom
TIM Brasil
AT&T
Cox
Verizon
Sprint
Vodafone
BT
Bell Canada
CANTV
Qwest
Movistar
Vonage
Oi
Comcast
C&W Pma
ENTEL
TELESP
Lowes
Home Depot
Target
Best Buy
OfficeMax
Big Lots
P & G
McDonalds
SuperValu
Disney
Safeway
Coca-Cola
Boeing
UTC
GE
Rolls-Royce
Toyota
Lockheed
Ford
Textron
Diebold
Honeywell
Eaton
Honda
Gen. Dynamics
Northrop
Hyundai
Volkswagen
Amgen
Genentech
Life Tech.
AstraZeneca
Roche
Novartis
Pfizer
Purdue Phar.
Watson
Wyeth
Biogen Idec
Gilead
Glaxo-
SmithKline
Sanofi-
Aventis
Mas de 50,000 Clientes de EnCase
Mas del 65`% de los Fortune 100 y mas del 30% de los Fortune 500
Caso principios de la evaluacin / revisin basada en la Web
EnCase
Command
Center
EnCase Tech Stack
EnCase Enterprise
(Forense Remoto)
EnCase Forensic ("Dead-box" o forense "independiente")
EnCase
eDiscovery
(Apoyo de Litigacion y
Cumplimiento)
EnCase
Cybersecurity
(Securidad de Datos y
Repuestas para Incidentes)
EnCase

Cybersecurity
Datos de Auditora y Seguridad
Endpoint Data Audit
Escenario # 1: Monitoreo Para Cumplimiento
y Verificacin de Datos Confidenciales
Auditora Escalable y Eficiente de la Informacin Sensible
Mitigar el riesgo de los datos
sensibles en lugares no
autorizados
Ejemplos de Topologas Flexibles Con EnCase Para
Cumplimiento y Auditoria de Datos
Examiner
Sede Central
Examiner
Target Node
Target Node
SAFE
Sucursal
Target Node Target Node Target Node
WAN
N
o
A
c
c
e
s
o
A
c
c
e
s
o
Examiner
Oficina Principal B
Target Node
Target Node
Target Node
Examiner
Auditoria completa de:
- Documentos, imagenes e emails
con informacin confidencial.
- Chats y rastreo de transferencias
de archivos.
- Informacin en Exchange
y Lotus Notes.
- Investigacin en otras fuentes
de informacin como Sharepoint.
- Documentos e emails borrados.
-Configuraciones y versiones
de hardware y software.
-Borradores de documentos
y versiones antiguas.
Target Node
Target Node
Servidores
Oficina Principal A
Target Node
Target Node
Target Node
N
o
A
c
c
e
s
o
Target Node
A
c
c
e
s
o
Servidores
Taxonoma de Uso EnCase
Cumplimiento PCI/SOX
Propiedad Intelectual
Malware Desconocido
Lavado de Dinero
Recursos Humanos
Malware Conocido
Ejemplos de Casos de Uso Artefactos
Documentos Estratgicos
Detectar
Monitorizar
Analizar
Recolectar Para
Anlisis
Externo
Responder
Informar
Resultado(s)
A
u
d
i
t
o
r

a
s
E
s
t
r
u
c
t
u
r
a
d
a
s
I
n
v
e
s
t
i
g
a
c
i
o
n
e
s
N
o

E
s
t
r
u
c
t
u
r
a
d
a
s
Privacidad de los Datos
Personales
Robo Interno
Esquemas de Fraude
Archivos con
Posibles Rastros
De Evidencia
Coincidencias
Exactas
Datos Cercanos
Indicadores
EnCase

Cybersecurity
Respuesta a Incidentes
EnCase

Cybersecurity
Escenario #2: Respuesta Contra Fraude
Transformando Una Organizacin desde Reactiva a
Proactiva
El Problema Con Fraude
Comparando Productos de EnCase en el Uso Contra
Fraude
Funcionalidad Enterprise Cybersecurity eDiscovery
Buscar numeros de cuentas, tarjetas de creditos
X X X
Detectar cambios de extensiones de archivos
X X X
Descubrir aplicaciones usables para fraude
X X X
Buscar las comunicaciones entre redes de gente
involucrada en fraude
X X X
Incluir archivos borrados en la busqueda
X X X
Posesion de numeros de cuentas que son falsos o no
son legitimos
manualmente
X X
Establecer una linea base de archivos conocidos
manualmente
X
Detectar documentos similares
X
Remediar documentos y archivos
X
Escanear una coleccion mas de una vez
X
Detectar capturas de pantalla u otras imagenes con
informacion confidencial
X
Revision de detalles con los abogados o los gerentes
X
EnCase
La Defensa en Capas es Importante:
La Realidad de Cibercrimen
Estudio: Las Actividades
Cibernauticas Ilcitas Relacionadas con el
Fraude en el Sector de Servicios
Financieros de EE.UU.
Estudiaron 80 casos de fraude entre 2005
y 2012.
67 casos de fraude internos
13 casos externos
Publicado por:
el Departamento de Seguridad Nacional
(DHS)
el Servicio Secreto de los EE.UU. (USSS)
el Centro CERT, parte de Instituto Ingeniera
de Software de Carnegie Mellon University.
La Defensa en Capas es Importante:
La Realidad de Cibercrimen
Algunas conclusiones del estudio:
En slo un 6% de los casos la actividad fraudulenta fue
detectada con la prevencin de prdida de datos (DLP).
En la mayora (41%) el fraude fue descubierto a travs
de auditoras periodicas o improvisadas.
En ms de la mitad de los casos, los criminales
utilizan alguna forma de acceso autorizado, ya sea
actual o autorizado en una fecha anterior.
Los criminales que ejecutaron una estrategia "baja y
lenta" logrado ms dao y escapado a la deteccin
durante ms tiempo.
("Insider Threat Study: Illicit Cyber Activity Involving Fraud in the U.S. Financial Services Sector)
La Defensa en Capas es Importante:
La Realidad de Cibercrimen
Inicio del
Trabajo
Comienzo
de Fraude
Deteccin
Despedido
Notificacin
a la Polica
Dictamen
Legal
Hasta el comienzo de fraude Hasta la deteccin Polica Conviccin
61.6 31.8 0 4.8 16.3
El Tiempo
en meses
entre fases
("Insider Threat Study: Illicit Cyber Activity Involving Fraud in the U.S. Financial Services Sector)
Cmo EnCase Complementa DLP
Si su organizacin tiene un DLP o est pensando en comprar un
DLP
EnCase puede auditar datos proactivamente
EnCase protege la informacin en casos de uso que no estn
cubiertos por la mayora de los sistemas DLP:
Datos confidenciales en correo electrnico interno, correo
electrnico web y mensajera instantnea
Informacin detectable mediante OCR en imgenes
Verificacin de la configuraciones de hardware y software
Las vulnerabilidades de seguridad de la informacin
Informacin contenida en los diversos tipos de dispositivos
mviles
Informacin en otros idiomas
EnCase puede excluir carpetas personales en el contexto de leyes
de habeas data sin reconfiguracion addicional
Cmo EnCase Complementa DLP
Tiempo
E
s
c
e
n
a
r
i
o
s
DLP
EnCase
El Despliegue del DLP
La Verificacin del DLP
Escenarios No Cubiertos
por DLP
Verificacin Con EnCase
Mas Opciones Para Casos Dificiles
Por Ejemplo
Coincidencias Parecidas
Ejecutables diferentes con el mismo cdigo
Reenvio de correos electrnicos
Volumenes cifrados
EnCase Cybersecurity puede ayudarte con
funcionalidad que mide la diferencia entre archivos,
usando una escala entre 0 y 8
Archivos que son similares se auto-agrupan con
otros valores similares
Ejemplo: Coincidencias Parecidas
Ejemplo: Ejecutables diferentes
con el mismo cdigo
Un gusano polimrfico en seis repeticiones.
EnCase

Cybersecurity
Respuesta a Incidentes
EnCase

Cybersecurity
Escenario #3: Respuestas a Incidentes y Ataques Ciber
Clasificacin Automtica y Manual
El Sistema de Alertas Es Agnstico Mientras que una
integracin de referencia se discute por Arcsight, cualquier alerta
o solucin para gestin de eventos puede ser integrada para
lograr estos beneficios.
Malware Desconocido Puede Estar En Tu Red Tambien
EnCase y Las Respuestas de Incidentes
Cybersecurity
Creacion de lineas de bases para definir el normal
Monitoreo de sistemas
Integracion con otras herramientas de seguridad
Documentacion de cambios en estados de maquinas
Identificacion de Malware Conocido
Integracion con listas blancas/negras (NIST, Bit9, etc.)
Respuestas a alertas de otras herramientas
Clasificacion de malware y archivos desconocidos
Remediacion de los amenazas
Verificacion que no tiene reinfeccion
Recreacion del incidente y causas
Pre-Incidente
Deteccion y
Analisis
Erradicaccion y
Restauracion
Post Incidente
I
n
f
o
r
m
e
s
Como Funciona Los Ataques En Teoria?
P
e
r
i
m
e
t
r
o
En Transito
Antivirus
Alerta
Alerta
Respuestas Tradicionales a Incidentes
DLP
Anti Virus
Firewall
Intrusion
Deteccion
Monitoreo
Network
SEIM
DLP
Anti Virus
Firewall
Intrusion
Detection
Network
Monitoring
SEIM
IR Platform
Integracin con EnCase

Cybersecurity
Gestin Automatizada de Incidentes
Cualquier
software
IR Platform
Testimonios de Clientes
Con una oficina sobre uno, EnCase [Enterprise] es mi primera herramienta forense
Esta me provee el Factor Multiplicador de fuerza crtica que me permite continuar con mi
carga pesada de casos forenses en adicin a mis deberes normales de Oficial de Seguridad de
Informacin.
Johnie Sullivan, Information Security Officer
& Forensic Investigator, UNLV.
EnCase nos Ahorr ms de 1 milln de Dlares en los 6 primeros meses de su uso. Ademas
nos permitio completar una investigacin crtica en el caso de una Adquisicin de otra
Empresa, que habria sido imposible con cualquier otro software u opciones de servicios
existentes en el mercado actual.
Ted Barlow, CSO&VP, Risk Management, McAfee, Inc.
Oferta
Especial Solo Para Participantes del INFOSEC
Argentina (limitado por 60 dias o hasta 5 de
noviembre)
EnCase Cybersecurity
Hasta 2000 nodos
Entremiento Incluido
EnCase Enterprise
EnCase Cybersecurity
Oferta: EnCase Cybersecurity con 2000
nodos y entremiento para un precio total
menos que 50% del precio de solo la
licencia de 500 nodos
Sitio Web
http://www.encase.com
http://www.encase.com/es
Cursos
http://www.guidancesoftware.com/c
omputer-forensics-training-
courses.htm
Portal de suporte
http://support.guidancesoftware.com
Siganos
Facebook:
facebook.com/guidancesoftware
Twitter:
twitter.com/encase
Twitter.com/LATAMTony
(espanol)
v7 Twitter HashTag: #EF7
Grupo En LinkedIn
Usuarios de EnCase en Espaol
Ms Recursos de EnCase En El Internet
Preguntas y Contactos
Guidance Software America Latina
Director de Ventas Corey Johnson:
Corey.Johnson@guidancesoftware.com
Ingeniero de Ventas Tony Grey
Tony.Grey@guidancesoftware.com
Preguntas?
Material Extra
Guidance Software
Programa Consejero (GAP)
El Programa Consejero de Guidance Software (GAP) est diseado para fortalecer su equipo de
trabajo, aumentar los niveles de madurez del proceso y reducir el riesgo en las areas prcticas
cubiertas por el portafolio de productos EnCase

: E-discovery, Cyber Security e Investigacin

Digital.
Consultores Expertos Proveyendo asistencia, instruccin, direccin o apoyo en caso directo a su equipo
Proceso de analisis alrededor de e-discovery, cyber security e investigaciones digitales, comparando su
proceso con las mejores prcticas de la industria.
Infraestructura EnCase

Sintonizada para asegurar la exitosa adopcin de EnCase

en sus procesos
comerciales y operaciones.
Un Plan de Programa Personalizado desarrollado desde un portafolio lleno de servicios profesionales
ofrecido por Guidance Software, perfeccionando las recomendaciones para mover su negocio adelante,
mejorando la eficacia y reduciendo el riesgo.
Un Consultor Consejero, sirviendo como un administrador del Programa, quien esta intimamente informado
sobre su entorno y le provee un punto de contacto sencillo entre usted y todos los recursos de Guidance
Software.
Acceso a expertos atraves de Guidance Software, incluyendo expertos legales y de la industria y Direccin
de recursos y Desarrollo de Productos Guidance Software
Evaluaciones en Curso para rastrear su progreso hacia objetivos de negocio con resultados insumables.
Ideas para Usar GAP en la Superintendencia
Recursos de entrevista, evaluacin de niveles de
madurez del proceso y lneamientos de base
establecidos. Evaluar los nuevos procesos y comparar
con los Lineamientos de Base.
Proveer instruccin sobre la administracin o uso de
EnCase.
Sistemas de Alertas Integradas a EnCase
Cybersecurity.
Establecer Procedimientos de Operacion estandar para
las tareas.
Proveer evaluacin en curso, implementacin y
evaluacin de los procesos.
Desarrollar polticas que cubran los procedimientos.
EnCase

Cybersecurity
Remediate
Cmo funciona
EnCase Software Componentes
Utiliza exactamente el mismo agente inteligente
pasivo que EnCase Cybersecurity y eDiscovery
De 128-bit AES de encriptacin utilizados para la
comunicacin segura entre los componentes
El servicio funciona en varias versiones de Windows, basado en
Unix (incluyendo OSX), y los sistemas operativos NetWare
Certificado por FIPS 140-2, Common Criteria EAL2 y DIACAP
EnCase Enterprise Componentes
SAFE (Autenticacin segura para EnCase)
Autentica a los usuarios, administra los derechos
de acceso, mantiene registros de las transacciones
de EnCase, las comunicaciones corredores y prev
la transmisin segura de datos.
El SAFE se comunica con los examinadores y los
nodos de destino utilizando los flujos de datos
encriptados, asegurando que no haya informacin
que puede ser interceptada e interpretada.
The Examinador
Software que permite a los investigadores para
llevar a cabo la respuesta a incidentes,
investigaciones y auditoras en los sistemas
reconocidos.
Clave de Seguridad (Dongle)
Dispositivo de licencias fsica que
controla la funcionalidad del producto
disponible para los clientes.
Snapshot
Instantnea rpida captura de
datos voltiles, proporciona
informacin detallada sobre lo que
estaba ocurriendo en un sistema
en un punto dado en el tiempo.
Servlet o Agente
Una forma no intrusa, la auto-
actualizacin, el agente de software
pasivo instalado en las estaciones
de trabajo y servidores para la
proteccin en cualquier momento.
Conexin Simultnea
Una conexin segura virtual
establecida entre el examinador
y los equipos de destino.
Topologa Ejemplo de Despliegue
Oficina Principal A
Examiner
Aggregation Database
Sede Central Corporativa
Sucursal
Target Node
Target Node
Target Node
Oficina Principal B
SAFE
Target Node Target Node Target Node
Examiner
Target Node
Target Node
Target Node
SAFE
Target Node
Examiner
Target Node
Target Node
Target Node
WAN