Upload
techbiz-forense-digital
View
2.685
Download
0
Embed Size (px)
Citation preview
Roadshow de SoluçõesEncase Forensic v7 – “Sneak Peak”
Fernando Carbone – Sr. Forensic Consultant
Encase Enterprise CybersecurityFernando Carbone – Sr. Forensic Consultant
Agenda
A Evolução do v6
Fluxo de Trabalho Encase v6
Feedback de Mercado
O que esperar do v7
Fluxo de Trabalho Encase v7
Novos Arquivos de Evidência
Armazenamento de Casos em Cache
Novo Mecanismo de Index
Modelos
Novas Abordagens
Resumindo…
Encase Enterprise Cybersecurity
A Evolução do v6Agenda
A Evolução do v6
Fluxo de Trabalho Encase v6
Feedback de Mercado
O que esperar do v7
Fluxo de Trabalho Encase v7
Novos Arquivos de Evidência
Armazenamento de Casos em Cache
Novo Mecanismo de Index
Modelos
Novas Abordagens
Resumindo…
Encase Enterprise Cybersecurity
EnCase v6: Fluxo de Trabalho Dirigido pelo Operador
• EnCase Forensic v6– Navegador precisa conhecer quais funções executar, em cada uma das
telas de trabalho– Associações precisavam ser feitas manualmente pela investigador– Quanto mais profunda a análise, mais dados precisavam ser revisados
a
Encontre os Itens de Interesse
Pesquisa Expandida Navegação nos Resultados
Agenda
A Evolução do v6
Fluxo de Trabalho Encase v6
Feedback de Mercado
O que esperar do v7
Fluxo de Trabalho Encase v7
Novos Arquivos de Evidência
Armazenamento de Casos em Cache
Novo Mecanismo de Index
Modelos
Novas Abordagens
Resumindo…
Encase Enterprise Cybersecurity
Feedback do Mercado– Por favor, não me faça aguardar a
vida toda para abrir um caso! – Eu preciso enviar evidêncas para
advogados e para outras partes interessadas. Gostaria de fazê-lo com segurança.
– Preciso entregar mais casos em menos tempo
– Os discos estão aumentando de tamanho e os casos estão sempre vindo com smartphones e tablets
O que esperar do
EnCase v7: Deixe o Encase Fazer o Trabalho
• Complete atividades comuns de processamento e indexação antes do Examinador trabalhar no caso
– Modelos de trabalho, configurados pelo usuário– Examinador pode também pular direto na evidência fazendo a
indexação posteriormente
Localize os itens de interesse
EnCase automaticamente
encontra itens relacionados
EnCase Processor
Agenda
A Evolução do v6
Fluxo de Trabalho Encase v6
Feedback de Mercado
O que esperar do v7
Fluxo de Trabalho Encase v7
Novos Arquivos de Evidência
Armazenamento de Casos em Cache
Novo Mecanismo de Index
Modelos
Novas Abordagens
Resumindo…
Encase Enterprise Cybersecurity
Novos Arquivos de Evidência
• Ex01 e Lx01– Criptografia direto no arquivo de
evidência – AES-256• Chave ou senha
– Maior capacidade de compressão
Agenda
A Evolução do v6
Fluxo de Trabalho Encase v6
Feedback de Mercado
O que esperar do v7
Fluxo de Trabalho Encase v7
Novos Arquivos de Evidência
Armazenamento de Casos em Cache
Novo Mecanismo de Index
Modelos
Novas Abordagens
Resumindo…
Encase Enterprise Cybersecurity
Armazenamento de Casos em Cache
Agenda
A Evolução do v6
Fluxo de Trabalho Encase v6
Feedback de Mercado
O que esperar do v7
Fluxo de Trabalho Encase v7
Novos Arquivos de Evidência
Armazenamento de Casos em Cache
Novo Mecanismo de Index
Modelos
Novas Abordagens
Resumindo…
Encase Enterprise Cybersecurity
Novo Mecanismo de Index
– Utiliza o mesmo mecanismo poderoso usado no EnCase® eDiscovery
– Pesquisas sofisticadas em dados e metadados
– Sintaxe de pesquisa versátil para atender usuários de nível básico a avançado
Agenda
A Evolução do v6
Fluxo de Trabalho Encase v6
Feedback de Mercado
O que esperar do v7
Fluxo de Trabalho Encase v7
Novos Arquivos de Evidência
Armazenamento de Casos em Cache
Novo Mecanismo de Index
Modelos
Novas Abordagens
Resumindo…
Encase Enterprise Cybersecurity
Modelos
• Pré-processamento e relatórios baseados em Modelos– Automatiza tarefas repetitivas– Implementa facilmente as melhores
práticas científicas
Agenda
A Evolução do v6
Fluxo de Trabalho Encase v6
Feedback de Mercado
O que esperar do v7
Fluxo de Trabalho Encase v7
Novos Arquivos de Evidência
Armazenamento de Casos em Cache
Novo Mecanismo de Index
Modelos
Novas Abordagens
Resumindo…
Encase Enterprise Cybersecurity
• Identificação de conversação e de-duplicação– Usa Message ID, Conversation ID
para comparar mensagens– De-deplicação elimina emails
duplicados
Agenda
A Evolução do v6
Fluxo de Trabalho Encase v6
Feedback de Mercado
O que esperar do v7
Fluxo de Trabalho Encase v7
Novos Arquivos de Evidência
Armazenamento de Casos em Cache
Novo Mecanismo de Index
Modelos
Encase Processor
Encase Cybersecurity
Demonstração
Novas Abordagens
• Foco no usuário– Processor para automatizar tarefas
repetitivas e indexação– Procura eficiente por “itens de
interesse”– Procura automatizada de “itens
relacionados”
Agenda
A Evolução do v6
Fluxo de Trabalho Encase v6
Feedback de Mercado
O que esperar do v7
Fluxo de Trabalho Encase v7
Novos Arquivos de Evidência
Armazenamento de Casos em Cache
Novo Mecanismo de Index
Modelos
Novas Abordagens
Encase Cybersecurity
Demonstração
Novas Abordagens
• EnScripts integrados– EnScript permite personalização– No v6 os resultados não estavam
integrados, no v7 estão.– Melhor rendimento– Pode capturar artefatos dos últimos
SO’s.
Agenda
A Evolução do v6
Fluxo de Trabalho Encase v6
Feedback de Mercado
O que esperar do v7
Fluxo de Trabalho Encase v7
Novos Arquivos de Evidência
Armazenamento de Casos em Cache
Novo Mecanismo de Index
Modelos
Novas Abordagens
Encase Cybersecurity
Demonstração
Novas Abordagens
• Capacidades– Aquisição de dados
diretamente no EnCase– Sistemas operacionais
suportados:• Apple iPhone e iPad• Blackberry• Windows Mobile • Android
– Integração com outras evidências do caso
Novas Abordagens
• O Encase v7 utiliza apenas a memória que realmente necessita!– PST’s não são mais tratados
integralmente na RAM– Utiliza-se o caching em disco para
acelerar o acesso a dados do caso
Agenda
A Evolução do v6
Fluxo de Trabalho Encase v6
Feedback de Mercado
O que esperar do v7
Fluxo de Trabalho Encase v7
Novos Arquivos de Evidência
Armazenamento de Casos em Cache
Novo Mecanismo de Index
Modelos
Novas Abordagens
Encase Cybersecurity
Demonstração
Novas Abordagens – Enscript Encase Processor
• Recover Folders• Hash Analysis• Assinatura de Arquivos• Arquivos Compostos• Email Processor
– Email threading• Artefatos de Internet• Keyword Search• Indexação
• Módulos EnScript– System info parser (Windows,
Linux, Mac)– IM Parser– File Carving – Windows Artifact Parser
• Log de transações na MFT, lixeira, e arquivos .LNK
– EnCase Portable• Scripts de criação de jobs
para Encase Portable
Agenda
A Evolução do v6
Fluxo de Trabalho Encase v6
Feedback de Mercado
O que esperar do v7
Fluxo de Trabalho Encase v7
Novos Arquivos de Evidência
Armazenamento de Casos em Cache
Novo Mecanismo de Index
Modelos
Novas Abordagens
Encase Cybersecurity
Demonstração
Resumindo…
• Continua a fazer o que o Encase é conhecido como o melhor!– Suporte a vários SO’s e Sistemas de
Arquivos– Suporte aprimorado para produtos de
criptografia tradicionais• Criptografia de arquivos, enterprise, e disco inteirio
– Análise profunda das atividades dos usuários
• Registro, logs, informações de sistema, etc.
Agenda
A Evolução do v6
Fluxo de Trabalho Encase v6
Feedback de Mercado
O que esperar do v7
Fluxo de Trabalho Encase v7
Novos Arquivos de Evidência
Armazenamento de Casos em Cache
Novo Mecanismo de Index
Modelos
Novas Abordagens
Resumindo…
Encase Cybersecurity
Demonstração
Resumindo…
• Alteração completa no fluxo de trabalho dentro do produto
• Inclui novos usuários na solução• Uso do Índice para construir relacionamentos
entre itens, incluíndo smartphones• Atende demandas de mercado, mostrando que a
Guidance Software mantém foco também na linha Forensic
Agenda
A Evolução do v6
Fluxo de Trabalho Encase v6
Feedback de Mercado
O que esperar do v7
Fluxo de Trabalho Encase v7
Novos Arquivos de Evidência
Armazenamento de Casos em Cache
Novo Mecanismo de Index
Modelos
Novas Abordagens
Resumindo…
Encase Enterprise Cybersecurity
Maiores Informações
• Registre-se Para o EnCase Forensic v7 Public Preview http://www.guidancesoftware.com/V7Preview/
• Conecte-se a Guidance Software– Facebook: facebook.com/guidancesoftware– Twitter: twitter.com/encase– V7 Tag: #EF7
• Últimas Notícias da Guidance Software http://www.guidancesoftware.com/newsroom.htm