A continuación se presenta un resumen de los pasos importantes
que una empresa de seguridad informática deben cubrir durante una investigación
de análisis forense. Cualquier diplomado de seguridad informática también debe
enfocar sobre estos pasos.
VERIFICACIÓN
Normalmente la investigación de análisis forense se llevará a
cabo como parte de un escenario de respuesta a incidentes según profesores de diplomado de seguridad
informática, como el primer paso se debe verificar
que un incidente ha pasado. Determinar la amplitud y el alcance del incidente,
evaluar el caso.
¿Cuál es la situación, la naturaleza del caso y sus
características específicas? Este paso es importante porque ayudará a una
empresa de seguridad informática a determinar las características del incidente
y definir el mejor enfoque para identificar, conservar y reunir evidencias.
También podría ayudar a justificar a dueños del negocio de desconectar un
sistema.
DESCRIPCIÓN DEL
SISTEMA
Siguiente paso en análisis forense es donde una empresa de seguridad
informática empezará a reunir información sobre el incidente específico.
Comenzando por tomar notas y describir el sistema que se va a analizar, cuál
sea el sistema que está siendo adquirido, ¿cuál es el papel del sistema en la
organización y en la red? El esquema del sistema operativo y su configuración
general, tales como formato de disco, la cantidad de RAM y la ubicación de las
pruebas según profesores de diplomado de seguridad informática.
ADQUISICIÓN DE
EVIDENCIA
Esto paso en análisis forense incluye Identificar las posibles
fuentes de datos, adquirir datos volátiles y no volátiles, verificar la
integridad de los datos y garantizar la cadena de custodia. Cuando tengas dudas
de que colectar para estar en el lado seguro y es mejor recoger demasiado a que
te falte. Durante esta etapa también es importante que la empresa de seguridad
informática dé prioridad a colección de evidencias e involucra a los dueños del
negocio para determinar la ejecución y el impacto en el negocio de las
estrategias elegidas. Dado que los datos volátiles cambian con el tiempo, el
orden en el que se recogen los datos es importante acuerdo a recomendaciones de
diplomado de seguridad informática. Después de recoger estos datos volátiles
vas a entrar en la siguiente etapa de recogida de datos no volátiles como el
disco duro. Después de la adquisición de datos, garantiza y verifica su
integridad. También debes ser capaz de describir claramente cómo se encontró la
evidencia, la forma en que se manejó y todo lo que pasó con él, es decir la
cadena de custodia.
ANÁLISIS DE LÍNEA DE TIEMPO
Después de la adquisición de evidencias una empresa de seguridad
informática podrá empezar a hacer investigación y análisis en el laboratorio
forense. Comienza por hacer un análisis de línea de tiempo. Este es un paso
crucial y muy útil en análisis forense y cada diplomado de seguridad
informática debe cubrir esto, ya que incluye información tal como cuando se
modifican los archivos, acceso, cambios y creaciones en un formato legible por
humanos. El plazo de presentación de artefactos de memoria también puede ser
muy útil en la reconstrucción lo que sucedió según Mike Ross un experto de
iicybersecurity IICS, una empresa de seguridad informática.
MEDIOS DE
COMUNICACIÓN Y ANÁLISIS DE LOS ARTEFACTOS
En este paso de análisis forense tú vas a ser abrumado con la
cantidad de información que tú podrías estar buscando. Un experto de empresa de
seguridad informática debe ser capaz de responder a preguntas como, qué
programas fueron ejecutados, que archivos fueron descargados, a qué archivos se
les hizo clic, que directorios fueron abiertos, que archivos fueron borrados,
dónde el usuario visito y muchas otras cosas más. Una técnica utilizada con el
fin de reducir el conjunto de datos es identificar los archivos que sea conocen
bien y los que se sabe que son malos. Cuidado con las técnicas anti-forenses
como esteganografía o alteración y destrucción de datos, que tendrán impacto en
análisis forense. Según profesores de diplomado de seguridad informática de
International Institute of Cyber Security este paso es muy importante para cualquier
experto de forense digital.
BÚSQUEDA DE BYTE O
TEXTO
Esta etapa de análisis forense consistirá en el uso de
herramientas que buscarán las imágenes en bruto de bajo nivel. Si usted sabe lo
que está buscando, puede utilizar este método para encontrarlo. En este paso
una empresa de seguridad informática utilizara las herramientas y técnicas que
buscarán firmas de bytes de archivos conocidos. Las cadenas o firmas de bytes
que vas a estar buscando son las que son relevantes para el caso de que estás
tratando.
INFORME DE LOS
RESULTADOS
La fase final consiste en informar sobre los resultados de los
análisis forense, que pueden incluir la descripción de las acciones que se
realizaron, la determinación de qué es necesario realizar , que otras acciones,
y recomendar mejoras en las políticas, directrices, procedimientos,
herramientas y otros aspectos del proceso forense .Informe de los resultados es
una parte clave de cualquier investigación según expertos de empresa de
seguridad informática.
Cualquier diplomado de seguridad informática debe enseñar estos
pasos en detalle para que sean expertos en el área de análisis forense.
0 comments:
Post a Comment