| Artículos | 10 MAR 2009

Análisis forense. Cómo investigar un incidente de seguridad

Tags: Seguridad
PCWORLD PROFESIONAL

"A pesar de las barreras de protección erigidas para salvaguardar los activos de información, los incidentes de seguridad se siguen produciendo. Estar preparado para reaccionar ante un ataque es fundamental. Una de las fases más importantes de la respuesta a incidentes consiste en la investigación del incidente para saber por qué se produjo la intrusión, quién la perpetró y sobre qué sistemas. Esta investigación se conoce como análisis forense y sus características más destacadas serán explicadas en este artículo.

Análisis forense

Un plan de respuesta a incidentes ayuda a estar preparado y a saber cómo se debe actuar una vez se haya identificado un ataque. Constituye un punto clave dentro de los planes de seguridad de la información, ya que mientras que la detección del incidente es el punto que afecta a la seguridad del sistema, la respuesta define cómo debe reaccionar el equipo de seguridad para minimizar los daños y recuperar los sistemas, todo ello garantizando la integridad del conjunto.

El plan de respuesta a incidentes suele dividirse en varias fases, entre las que destacan: 1) respuesta inmediata, para evitar males mayores, como reconfigurar automáticamente las reglas de los cortafuegos o inyectar paquetes de RESET sobre conexiones establecidas; 2) investigación, para recolectar evidencias del ataque que permitan reconstruirlo con la mayor fidelidad posible; 3) recuperación, para volver a la normalidad en el menor tiempo posible y evitar que el incidente se repita de nuevo; y 4) creación de informes, para documentar los datos sobre los incidentes y que sirvan como base de conocimiento con posterioridad, para posibles puntos de mejora y como información para todos los integrantes de la organización. De manera adicional, se hacen necesarios los informes por posibles responsabilidades legales que pudieran derivarse. 

¿Qué es un análisis forense?



El análisis forense de sistemas pretende averiguar lo ocurrido durante una intrusión. Busca dar respuesta a los interrogantes que normalmente envuelven a todo incidente: quién realizó el ataque, qué activos de información se vieron afectados y en qué grado, cuándo tuvo lugar, dónde se originó y contra qué blancos se dirigió, cómo fue llevado a cabo y por qué.

Como si de un delito tradicional se tratase, el análisis forense comprende dos fases: la primera, la captura de las evidencias y su protección; la segunda, el análisis de las mismas. Sin embargo, debido a que en los crímenes digitales cada vez resulta más difícil dar respuesta a los seis interrogantes, especialmente quién realizó el ataque, la investigación forense suele centrarse en averiguar qué fue dañado, cómo fue dañado y cómo arreglarlo.

Durante la fase de recolección de evidencias se captura todo aquello que resulte susceptible de posible análisis posterior y que pueda arrojar luz sobre detalles de muestras de un delito. El análisis de la evidencia es la fase más extensa y delicada, ya que requiere poseer conocimientos avanzados para poder interpretar las pruebas incautadas, cuyo volumen puede llegar a ser inmenso. Dependiendo de la calidad de los datos de registro de actividad se podrá realizar de forma más o menos sencilla el análisis de la evidencia. Igualmente, dependiendo de la información existente se procederá a obtener unos resultados más o menos satisfactorios. 

Análisis forense

Recolección de evidencias



El primer paso en todo análisis forense comprende la captura de la evidencia. La evidencia será la prueba del delito, la que delatará al intruso. A la hora de capturar la evidencia, se debe proceder con cautela para no modificar pista alguna. La modificación de la prueba varía la evidencia, por lo que puede hacer inútil el análisis posterior, así como su validez en un juicio. Se debe proceder a realizar la captura de la evidencia con herramientas que no modifiquen ni el entorno ni la prueba en sí, salvaguardando su integridad. A este proceso se le conoce con el nombre de cadena de custodia. Si se desea que las pruebas obtenidas tengan validez jurídica, habrá que demostrar la integridad de la cadena de custodia.

Suelen distinguirse dos tipos de evidencia. La primera, conocida como volátil, comprende la información que desaparece cuando un sistema informático pierde la alimentación eléctrica. Por consiguiente, en esta categoría se incluye tanto la memoria RAM , los procesos activos y usuarios conectados, así como la información de la red y aplicaciones a la escucha en todos los puertos en el momento de la interrupción. El segundo tipo de evidencia es la de disco, que puede ser capturada sin necesidad de tener la máquina encendida, simplemente con acceso físico al disco. 

Análisis forense

Captura de la evidencia volátil



Dada su fragilidad, y que puede perderse con mucha facilidad, este tipo de evidencia es la primera que debe ser recogida. Por tanto, en la medida de lo posible, la máquina objeto del análisis no debería ser apagada o reiniciada hasta que se haya completado el proceso. Si se ha ensayado con anterioridad o es realizado por un especialista, no debería llevar más de unos pocos minutos.

La teoría señala que la herramienta perfecta para esta tarea no debería apoyarse en absoluto en el sistema operativo objeto del análisis, pues éste podría haber sido fácilmente manipulado para devolver resultados erróneos. Sin embargo, a pesar de que tales herramientas existen, como la tarjeta PCI Tribble, son herramientas hardware, que necesitan estar instaladas en la máquina antes de la intrusión, ataque o análisis de la misma. Evidentemente, este escenario sólo es factible para máquinas que procesan información especialmente sensible, cuyo hardware puede ser fácilmente controlado.

En el resto de casos, la inmensa mayoría, hay que conformarse con utilizar herramientas software y limitar el proceso de recolección de información a los mínimos pasos posibles, con el fin de generar el menor impacto posible sobre la máquina analizada.

Lo ideal sería hacer uso de un

Compartir

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información