Zertan datza analisi forentse digitala eta gorabeherei emateko erantzuna

Análisis forentse digitalak eta gorabeherei emteko erantzunak (Digital Forensics and Incident Response, DFIR) zibersegurtasun-gorabeherak identifikatu, konpondu eta ikertzen dituzte. Ziber-gorabehera  informazioaren konfidentzialtasuna, benetakotasuna, osotasuna eta erabilgarritasuna arriskuan jartzen dituen gertaera da. Hau gertatzen denean, analisi forentse digitaleko espezialistek gailu eta sistema digitaletako ebidentziak biltzen eta aztertzen dituzte. Gorabeherei emateko erantzunak kaltetutako azpiegitura ahalik eta azkarren berrezartzea bilatzen du, eragindako kaltea minimizatuz.

Zibererasoa jasan duen edozein erakunderentzat, azkar berreskuratzea lehentasuna da. Hala ere, berrezarpenarekin batera, beharrezkoa da gertaera nola eta zergatik gertatu zen ulertzea. DFIR-k ezagutza hori ematen du, eta horrek erakunde baten defentsa-sistema hobetzen eta indartzen laguntzen du.

Hainbat iturritatik informazioa bilduz, zibersegurtasunaren arlo honetako adituek erasoa nork egin zuen, nola gauzatu zen eta azaldutako ahuleziak zuzentzeko zein irtenbide ezarri behar diren jakiteko aukera dute.

Analisi forentse digitala

Analisi forentse digitalaren helburua ziberdelituzko ekintzak egin dituzten pertsonak auzitara eraman ahal izateko frogak biltzea eta gordetzea da. Ordenagailuak, sareak eta horiekin lotutako bestelako gailuak etengabe ari dira ikerketa batean garrantzitsuak izan daitezkeen datuak sortzen. Gorabehera bat detektatu ondoren azkar jokatzea funtsezkoa da informazioa biltzeko, hura maltzurki ezabatu, editatu edo aldatu aurretik.

Horretarako, kontu handiz jardun behar da, zaintza-katea honako urrats hauen bidez mantentzea bermatzeko:

Eskuratzea

Froga guztiak identifikatu, bildu eta gorde egin behar dira, nola eta non dagoen biltegiratuta ulertuz. Lehen fase honetan, kaltetutako baliabideen kopia zehatzak sortzen dira, probak kutsatzen dituen edozein manipulazioren jatorrizko aktiboa babesteko.

Ebidentzia mota batzuk lurrunkorrak dira, datuak gailu bat piztuta mantentzen denean bakarrik eskuratzen direlako, eta gailua korrontetik deskonektatzean desagertu egiten direlako. Hori dela-eta, ikertzen ari denak irudiak sortu behar ditu, erasandako gailuetan dagoen informazioa bikoizteko. Prozedura honek erregistroak babesten ditu hash izeneko balio kriptografikoak esleituz. Baliabide horrek, lortutako irudien benetakotasuna ziurtatzen du. Horrez gain, probak babestu egiten dira, arriskuan ez jartzeko babes fisikoa gehituz.

Analisia

Ikerketaren fase honetan, informazioa ikertzen da, gertatutakoa argitzeko. Landutako datuen bidez (disko-irudiak, memoria-irudiak, jarduera-erregistroaren analisia, etab.) behatutako gertaeraren garapena berreraikitzen da, eta, aldi berean, gertatutakoari buruzko ondorioak ateratzen dira.

Berri-ematea

Ikerketan zehar azaleratutako aurkikuntzak txosten batean aurkezten dira, eta honen edukia justizia auzitegi batean onartu daitekeen.

Gorabeherei emateko erantzuna

Ikusi dugunez, analisi forentse digitalak zibereraso bat argitzen laguntzen duten frogak ikertzen eta biltzen ditu. Gorabeherei emateko erantzunaren helburua ahalik eta azkarren konpontzea eta berreskuratzea da. Onetsiriko erakundeek, hala nola SANSek edo NISTek, hainbat erreferentzia-gida argitaratu dituzte, baina jarraitu beharreko urratsak oso antzekoak dira, eta honela laburbil daitezke:

Prestakuntza

Gorabehera bat gertatu aurretik, behar bezala prestatu behar da, gertatzen denean zer egin jakiteko.

Identifikazioa

Gorabehera bat gertatzen denean, hura ezagutzeko elementuak antzeman behar dira.

Eustea

Ahalik eta azkarren jardun behar da zibereraso batek eragindako sistemari ekar diezazkiokeen ondorio kaltegarriak mugatzeko.

Errotik kentzea

Dagozkion ebidentziak bildutakoan, mehatxua ezabatzeari ekin behar zaio, eta ziurtatuko da ezin izango dela berriro ustiatu identifikatutako ahultasuna.

Susperraldia

Mehatxua erabat neutralizatu denean, konprometitutako zerbitzuak berrezartzen dira.

Ikasitako lezioak

Abian jarritako ekintzak dokumentatu egin behar dira, etorkizuneko jarduerak hobetzeko eta, aldi berean, sistemak hobeto bastionatzeko ezagutzak eskuratzeko.

DFIR eta gaur egungo erronkak

Sistemen konplexutasunaren bilakaerak hainbat erronka dakarzkie DFIRen espezializatutako pertsonei:

• Baliabide fisiko eta birtualetara zabaltzen da proben bilketa, trebetasun handiagoa, tresna espezializatuak eta denbora behar dira.
• Gailuak, softwarea edo sistema eragileak etengabe eta azkar aldatzen ari dira. Horretarako, ekosistema teknologikoen aukera zabala ezagutu behar da. Frogak biltzeko garaian, kasu bakoitzean teknika seguruenak eta eraginkorrenak aplikatzean datza.
• Behar den gaitasun handia eta zerbitzu hauen eskaera gero eta handiagoa dela eta, talentu eskasia murrizteko beharrari aurre egin behar zaio. Erabilgarritasun eta eraginkortasun ezin hobeak bermatu behar dira, erakundeen mesederako izango direnak.
• Aurrekoarekin lotuta, zibererasoen ugaritzeak, eta haien aniztasun eta sofistikazio maila gero eta handiagoak, haien jarraipena eta erantzun azkarraren zailtasuna areagotzen du. Lanbidea etengabe eguneratzeak informazio-emari handia dakar, gero eta azkarrago berritzen dena.

Laburbilduz, analisi forentse digitala eta gorabeherei emateko erantzuna (DFIR) ezinbestekoak dira zibereraso baten arrastoa jarraitzeko eta kaltetutako sistemak ahalik eta baldintza onenetan berreskuratzeko. Datuak kontu handiz zaintzen dira, ebidentzia gisa erabili behar baitira errudunak inkriminatzeko ardura duten justiziako profesionalen aurrean.

Egindako lanari esker, erasotzaile baten jarduera zehazten duten ebidentziak aurkitu daitezke, haren presentzia desagerrarazi, ustiatutako ahuleziak identifikatu eta ikasitakoa informazioaren teknologien segurtasuna sendotzean aplikatu.