¿Qué es el análisis forense?
Una vez hemos visto cuál ha sido la motivación que produce el análisis forense, nos centraremos y describiremos más detalladamente dicha ciencia.
El análisis forense en un sistema informático es una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este análisis puede determinar quién, desde dónde, cómo, cuándo y qué acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad.
Incidentes de seguridad
Un incidente de seguridad es cualquier acción fuera de la ley o no autorizada: ataques de denegación de servicio, extorsión, posesión de pornografía infantil, envío de correos electrónicos ofensivos, fuga de información confidencial dentro de la organización..., en el cual está involucrado algún sistema telemático de nuestra organización.
Las fuentes de información que se utilizan para realizar un análisis forense son diversas:
• Correos electrónicos.
• IDS / IPS.
• Archivo de logs de los cortafuegos.
• Archivo de logs de los sistemas.
• Entrevistas con los responsables de seguridad y de los sistemas.
• Etc.
Metodología en un incidente de seguridad
Los incidentes de seguridad normalmente son muy complejos y su resolución presenta muchos problemas. A continuación se muestran las siguientes fases en la prevención, gestión y detección de incidentes:
Preparación y prevención.
En esta fase se toman acciones para preparar la organización antes de que ocurra un incidente. Por tanto, se deberá empezar por tratar de analizar qué debe ser protegido y qué medidas técnicas y organizativas tienen que implementarse. Una vez hechos los diversos análisis se podrá considerar que la organización ya tiene identificadas las situaciones que pueden provocar un incidente de seguridad y ha seleccionado los controles necesarios para reducirlas. Pero aun hecho dicho análisis, siempre hay situaciones que no van a poder ser protegidas, por lo que se tendrá que elaborar un plan de continuidad de negocio. Dicho plan está formado por un conjunto de planes de contingencia para cada una de las situaciones que no están controladas.
Detección del incidente.
La detección de un incidente de seguridad es una de las fases más importante en la securización de los sistemas. Hay que tener en cuenta que la seguridad absoluta es muy difícil y es esta fase la que nos sirve para clasificar y priorizar los incidentes acaecidos en nuestra organización. La clasificación es la siguiente:
• Accesos no autorizados: un usuario no autorizado accede al sistema.
• Código malicioso: ha habido una infección de programas maliciosos (virus, gusano spyware, troyano, etc.) en un sistema.
• Accesos no autorizados: un usuario no autorizado accede al sistema.
• Código malicioso: ha habido una infección de programas maliciosos (virus, gusano spyware, troyano, etc.) en un sistema.
• Recogida de información: un atacante obtiene información para poder realizar otro tipo de ataque (accesos no autorizados, robo, etc.).
• Otros: engloba los incidentes de seguridad que no tienen cabida en las categorías anteriores.
• Otros: engloba los incidentes de seguridad que no tienen cabida en las categorías anteriores.
La detección de un incidente de seguridad se realiza a través de diversas fuentes. A continuación se enumeran algunas de ellas:
• Alarma de los antivirus.
• Alarmas de los sistemas de detección de intrusión y/o prevención (IDS y/o IPS).
• Alarmas de sistemas de monitorización de los sistemas (zabbix, nagios, etc.).
• Avisos de los propios usuarios al detectar que no funcionan correctamente los sistemas informáticos.
• Avisos de otras organizaciones que han detectado el incidente.
• Análisis de los registros de los sistemas.
• Avisos de otras organizaciones que han detectado el incidente.
• Análisis de los registros de los sistemas.
Una vez detectado el incidente a través de cualquier vía, para poder gestionarlo es recomendable tener al menos los siguientes datos:
• Hora y fecha en la que se ha notificado el incidente.
• Quién ha notificado el incidente.
• Clasificación del incidente (accesos no autorizados, phishing, denegación de servicio, etc.).
• Hardware y software involucrado en el incidente (si se pueden incluir los números de serie, es recomendable).
• Contactos para gestionar el incidente.
• Cuándo ocurrió el incidente.
• Quién ha notificado el incidente.
• Clasificación del incidente (accesos no autorizados, phishing, denegación de servicio, etc.).
• Hardware y software involucrado en el incidente (si se pueden incluir los números de serie, es recomendable).
• Contactos para gestionar el incidente.
• Cuándo ocurrió el incidente.
Si en dicha incidencia se encuentran involucrados datos de carácter personal, es de obligado cumplimiento, según el Real Decreto de Desarrollo de la LOPD, un registro de incidencias. En la figura 5 se muestra un ejemplo de un registro de incidencias.
Respuesta inicial.
En esta fase se trata de obtener la máxima información posible para determinar qué tipo de incidente de seguridad ha ocurrido y así poder analizar el impacto que ha tenido en la organización. La información obtenida en esta fase será utilizada en la siguiente para poder formular la estrategia a utilizar. Dicha información será fruto como mínimo de:
• Entrevistas con los administradores de los sistemas.
• Revisión de la topología de la red y de los sistemas.
• Entrevistas con el personal de la empresa que hayan tenido algo que ver con el incidente con el objetivo de contextualizarlo.
• Revisar los logs de la detección de la intrusión.
• Revisión de la topología de la red y de los sistemas.
• Entrevistas con el personal de la empresa que hayan tenido algo que ver con el incidente con el objetivo de contextualizarlo.
• Revisar los logs de la detección de la intrusión.
Formulación de una estrategia de respuesta ante el incidente.
Una vez recabada la información de la fase anterior, hay que analizarla para después tomar una decisión sobre cómo actuar. Las estrategias a utilizar dependerán de varios factores: criticidad de los sistemas afectados, si el incidente ha salido a la luz pública, la habilidad del atacante, cómo de sensible es la información a la que se ha tenido acceso, si el sistema de información está caído y la repercusión que esto tiene, etc.
Investigación del incidente.Estrategias de respuesta
Si la web corporativa ha sido atacada y modificada, una estrategia recomendada en este caso sería: reparar la web, monitorizarla, investigarla mientras este online. En el caso que haya un robo de información la estrategia recomendada seria: clonar los sistemas que hayan sido implicados, investigar el robo, realizar un informe, registrarlo en el registro de incidencias cumpliendo la LOPD y denunciarlo ante los Cuerpos del Estado o en los juzgados.
En esta fase se determina quién, cuándo, dónde, qué, cómo y por qué ha ocurrido el incidente. Para investigar dicho incidente se divide el proceso en dos fases:
• Adquisición de los datos. La obtención de los datos es la acumulación de pistas y hechos que podrían ser usados durante el análisis forense de los ordenadores para la obtención de evidencias.
• Análisis forense. En esta fase se revisan todos los datos adquiridos en la fase anterior. Esta fase será descrita detalladamente más adelante.Obtención de datos
Los datos a obtener son los siguientes: evidencias de los sistemas involucrados (obtención de los datos volátiles, obtención de la fecha y hora del sistema, obtención del timestamp de los ficheros involucrados, obtención de los ficheros relevantes, obtención de las copias de seguridad, etc.), evidencias de los equipos de comunicaciones (logs de los IDS/IPS, logs de los routers, logs de los cortafuegos, obtención de las copias de seguridad, logs de autenticación de los servidores, logs de la VPN, etc.), obtención de los testimonios de los afectados, etc.
Redacción del informe.
En esta última fase se redacta un informe que será entregado a la dirección de la organización o empresa así como a los cuerpos de policía del Estado o al juzgado si el incidente se denuncia. Dicho informe puede ser de dos clases: ejecutivo y técnico. El informe ejecutivo es un informe enfocado a personas sin conocimientos técnicos, mientras que el informe técnico explica de una manera técnicamente detallada el procedimiento del análisis. Se describirá más adelante, en el apartado relativo a la redacción del informe.
Tipos de análisis forense
Dependiendo del punto de vista nos vamos a encontrar diferentes tipos de análisis forense. Si lo vemos desde el punto de vista de lo que se va a analizar, nos encontraremos los siguientes tipos:
• Análisis forense de sistemas: en este análisis se tratarán los incidentes de seguridad acaecidos en servidores y estaciones de trabajo con los sistemas operativos: Mac OS, sistemas operativos de Microsoft (Windows 9X/Me, Windows 2000 server/workstation, Windows 2003 Server, Windows XP, Windows Vista, Windows 2008 Server, etc.), sistemas Unix (Sun OS, SCO Unix, etc.) y sistemas GNU/Linux (Debian, RedHat,Suse, etc.).
• Análisis forense de redes: en este tipo se engloba el análisis de diferentes redes (cableadas, wireless, bluetooth, etc.).
• Análisis forense de sistemas embebidos: en dicho tipo se analizaran incidentes acaecidos en móviles, PDA, etc. Un sistema embebido posee una arquitectura semejante a la de un ordenador personal.
No hay comentarios.:
Publicar un comentario