En què consisteix l'anàlisi forense digital i la resposta davant incidents

En què consisteix l'anàlisi forense digital i la resposta davant incidents
Autor JakinCode · 06/2024 

·  Ciberseguretat

Etiquetes: Anàlisi Forense Digital , DFIR , Resposta Davant Incidents

L’anàlisi forense digital i la resposta davant incidents (DFIR) són fonamentals per a protegir les organitzacions enfront de ciberatacs. Aquestes disciplines no solament permeten la recuperació ràpida dels sistemes afectats, sinó que també proporcionen les proves necessàries per a dur als culpables davant la justícia. En aquest article, explorem detalladament en què consisteix el DFIR i com pot ajudar a la teva empresa a mantenir-se segura en l’entorn digital.

L’anàlisi forense digital i la resposta davant incidents (Digital Forensics and Incident Response, DFIR) identifiquen, remeien i investiguen incidents de ciberseguretat. Un ciberincident és aquell succés que compromet la confidencialitat, l’autenticitat, la integritat i la disponibilitat de la informació. Quan aquest es produeix, els especialistes en anàlisis forense digital recopilen i examinen evidències en dispositius i sistemes digitals. La resposta davant incidents busca restablir la infraestructura afectada al més aviat possible, minimitzant el mal causat.

Per a qualsevol entitat objecte d’un ciberatac, recuperar-se ràpidament és una prioritat. No obstant això, a banda del restabliment, és necessari entendre com i per què va donar-se l’incident. DFIR proporciona aquest coneixement, el qual contribueix a millorar i enfortir el sistema defensiu d’una organització.

Mitjançant la recopilació d’informació de diverses fonts, els especialistes en aquesta àrea de la ciberseguretat tenen la possibilitat de descobrir qui va dur a terme l’atac, com va executar-se i quines solucions s’han d’implementar per a corregir les vulnerabilitats exposades.

Anàlisi Forense Digital

L’anàlisi forense digital té per objectiu reunir i preservar proves que permetin portar a judici als qui hagin comès accions ciberdelictives. Els ordinadors, les xarxes i altres dispositius relacionats generen dades contínuament que poden ser importants en una investigació. Actuar ràpidament després de la detecció d’un incident és crucial per a reunir informació abans que sigui esborrada, editada o alterada maliciosament.

Per a això, s’ha de procedir amb escrupolosa meticulositat amb la finalitat de garantir el manteniment de la cadena de custòdia mitjançant dels següents passos:

Adquisició

S’ha d’identificar, reunir i preservar qualsevol prova, entenent com i on es troba emmagatzemada. En aquesta primera fase es creen duplicats exactes dels mitjans afectats amb la finalitat de preservar l’actiu original de qualsevol tipus de manipulació que contamini les proves.


Alguns tipus d’evidències són volàtils pel fet que les dades són només accessibles quan un dispositiu es manté encès, desapareixent en desconnectar-se aquest del corrent. Aquesta circumstància obliga a qui investiga a crear imatges que dupliquin la informació continguda en els dispositius afectats. Aquest procediment assegura la protecció dels registres mitjançant l’assignació de valors criptogràfics denominats hash. Aquest recurs assegura l’autenticitat de les imatges obtingudes. Addicionalment, les proves es resguarden afegint protecció física que impedeixi que es vegin compromeses.

Anàlisi 

Durant aquesta fase de la investigació s’escruta la informació de manera que s’arribi a l’esclariment dels fets. Mitjançant les dades treballades (imatges de disc, imatges de memòria, anàlisi de registre d’activitat, etc.) es va reconstruint el desenvolupament de l’esdeveniment observat, al mateix temps que es van aconseguint conclusions al voltant de l’ocorregut.

Report

Les troballes revelades durant la investigació es presenten en un informe el contingut del qual pugui ser admès en un tribunal de justícia.

Resposta Davant Incidents

Com hem vist, l’anàlisi forense digital investiga i reuneix proves que contribueixen a esclarir un ciberatac. La resposta davant incidents té per objectiu remeiar-ho i recuperar-se del mateix com més aviat millor. Si bé existeixen diferents guies de referència publicades per organitzacions reconegudes, com, per exemple, SANSNIST, els passos a seguir són molt similars i poden resumir-se de la manera següent:

Preparació

Abans que succeixi un incident, és necessari preparar-se adequadament per a saber reaccionar quan aquest es produeixi.

Identificació

Quan es produeix un incident, cal detectar elements que permetin reconèixer-lo.

Contenció

S’ha d’actuar al més aviat possible per a limitar els efectes adversos que un ciberatac pot implicar al sistema afectat.

Erradicació

Reunides les evidències pertinents s’ha de procedir a l’eliminació de l’amenaça, assegurant-se que no es podrà explotar novament la vulnerabilitat identificada.

Recuperació

Quan l’amenaça ha estat completament neutralitzada es procedeix a restablir els serveis que s’hagin vist compromesos.

Lliçons apreses


S’han de documentar les accions empreses, de manera que sigui possible adquirir coneixements que permetin millorar futures actuacions i, al seu torn, permetin un millor fortificació dels sistemes.

DFIR i els seus reptes actuals


L’evolució en la complexitat dels sistemes planteja a les persones especialitzades en DFIR diversos desafiaments:
● La recol·lecció de proves s’estén a recursos físics i virtuals, requerint major perícia, eines especialitzades i temps.
● Els dispositius, el programari o els sistemes operatius es troben en constant i ràpid canvi. Tal fet demanda conèixer una àmplia gamma d’ecosistemes tecnològics. Es tracta d’aplicar les tècniques més segures i eficaces en cada cas a l’hora de reunir proves.
● Donada l’alta capacitació que es requereix, i la demanda cada vegada major d’aquests serveis, s’ha d’abordar la necessitat de reduir l’escassetat de talent. Cal garantir una disponibilitat i eficàcia òptimes que redundi en benefici de les organitzacions.
● Relacionat amb l’anterior, l’increment dels ciberatacs, i la seva creixent diversitat i grau de sofisticació, augmenta la dificultat del seu rastreig i ràpida resposta. La contínua actualització professional suposa un vast cabal d’informació que es renova a un ritme cada vegada més ràpid.

En resum, l’anàlisi forense digital i la resposta davant incidents (DFIR) són essencials per a rastrejar un ciberatac i recuperar els sistemes afectats en les millors condicions possibles. Es preserven acuradament les dades, doncs les mateixes s’han d’emprar com a evidència davant els professionals de la justícia encarregats d’incriminar als culpables.

Gràcies al treball desenvolupat, és possible descobrir evidències que detallin l’activitat d’un atacant, erradicar la seva presència, identificar les vulnerabilitats explotades, i aplicar l’après en l’enfortiment de la seguretat de les tecnologies de la informació.

A JakinCode, oferim solucions DFIR amb el nivell professional i l’experiència necessària per a respondre a les exigències requerides en procediments judicials i recerques internes. Contacta’ns!

Programar reunió chevron_right

Articles relacionats

  • Què són els escombratges electrònics o TSCM

Què són els escombratges electrònics o TSCM

10/2024

  • GRC per a la gestió eficient de la seguretat en una empresa

GRC per a la gestió eficient de la seguretat en una empresa

09/2024

  • Principals certificacions de ciberseguretat

Principals certificacions de ciberseguretat

08/2024

  • Com protegir eficaçment els meus actius d'informació del ransomware

Com protegir eficaçment els meus actius d'informació del ransomware

07/2024