Introducción a la ciencia forense digital y la respuesta a incidentes | PruebaHackMe DFIR

Cubrimos conceptos y herramientas básicos y esenciales en análisis forense digital y respuesta a incidentes. Esto fue parte de PruebaHackMe DFIR.

Obtenga notas de campo de informática forense

El curso completo de pruebas de penetración con Backbox Linux

¿Qué es DFIR?

Como ya se mencionó, DFIR significa análisis forense digital y respuesta a incidentes. Este campo cubre la recopilación de artefactos forenses de dispositivos digitales como computadoras, dispositivos multimedia y teléfonos inteligentes para investigar un incidente. Este campo ayuda a los profesionales de la seguridad a identificar las huellas dejadas por un atacante cuando ocurre un incidente de seguridad, utilizarlas para determinar el alcance del compromiso en un entorno y restaurar el entorno al estado que tenía antes de que ocurriera el incidente.

La necesidad de DFIR

DFIR ayuda a los profesionales de la seguridad de varias maneras, algunas de las cuales se resumen a continuación:

• Encontrar evidencia de actividad de atacantes en la red y separar falsas alarmas de incidentes reales.
• Eliminar contundentemente al atacante, de modo que su punto de apoyo en la red ya no permanezca.
• Identificar el alcance y el plazo de una infracción. Esto ayuda a comunicarse con las partes interesadas relevantes.
• Encontrar las lagunas que llevaron a la infracción. ¿Qué es necesario cambiar para evitar la infracción en el futuro?
• Comprender el comportamiento del atacante para bloquear preventivamente futuros intentos de intrusión por parte del atacante.
• Compartir información sobre el atacante con la comunidad.

¿Quién realiza el DFIR?

Como sugiere el nombre, DFIR requiere experiencia tanto en análisis forense digital como en respuesta a incidentes. Al dividir estos dos campos de esta manera, se necesitan las siguientes habilidades para convertirse en un profesional de DFIR:

• Forense digital: Estos profesionales son expertos en identificar artefactos forenses o evidencia de actividad humana en dispositivos digitales.
• Respuesta al incidente: Los socorristas en incidentes son expertos en ciberseguridad y aprovechan la información forense para identificar la actividad de interés desde una perspectiva de seguridad. 

Los profesionales del DFIR conocen la ciencia forense digital y la ciberseguridad y combinan estos dominios para lograr sus objetivos. Los dominios de análisis forense digital y respuesta a incidentes a menudo se combinan porque son altamente interdependientes. Incident Response aprovecha el conocimiento adquirido a través de la ciencia forense digital. De manera similar, Digital Forensics toma sus objetivos y alcance del proceso de respuesta a incidentes, y el proceso de IR define el alcance de la investigación forense.

En operaciones de seguridad, el uso destacado de la ciencia forense digital es realizar respuesta a incidentes. Aprenderemos el proceso de Respuesta a Incidentes y observaremos cómo la Ciencia Forense Digital ayuda en el proceso de IR en esta tarea.

Diferentes organizaciones han publicado métodos estandarizados para realizar la Respuesta a Incidentes. NIST ha definido un proceso en su SP-800-61 Guía de manejo de incidentes, que tiene los siguientes pasos:

1. Preparación
2. Detección y Análisis
3. Contención, Erradicación y Recuperación
4. Actividad posterior al incidente

Del mismo modo, SANS ha publicado un manual del manejador de incidentes. El manual define los pasos de la siguiente manera:

1. Preparación
2. Identificación
3. Contención
4. Erradicación
5. Recuperación
6. Lecciones aprendidas

Los pasos definidos por SANS a menudo se resumen con el acrónimo PICERL, lo que los hace fáciles de recordar. Podemos ver que los pasos especificados por SANS y NIST son idénticos. Mientras que NIST combina Contención, Erradicación y Recuperación, SANS las separa en diferentes pasos. Actividad posterior al incidente y Lecciones aprendidas puede ser comparable, mientras Identificación y Detección y Análisis tienen las mismas implicaciones.

Ahora que entendemos que los dos procesos son similares, aprendamos brevemente qué significan los diferentes pasos. Explicamos los pasos de PICERL porque son más fáciles de recordar por el acrónimo, pero como se describió anteriormente, son idénticos a los pasos definidos por NIST.

1. Preparación: Antes de que ocurra un incidente, es necesario prepararse para que todos estén preparados en caso de que ocurra un incidente. La preparación incluye contar con las personas, los procesos y la tecnología necesarios para prevenir y responder a incidentes.
2. Identificación: Un incidente se identifica a través de algunos indicadores en la fase de identificación. Luego, estos indicadores se analizan en busca de falsos positivos, se documentan y se comunican a las partes interesadas pertinentes.
3. Contención: En esta fase se contiene el incidente y se intentan limitar sus efectos. Puede haber soluciones a corto y largo plazo para contener la amenaza basadas en el análisis forense del incidente que formará parte de esta fase.
4. Erradicación: A continuación, la amenaza se erradica de la red. Hay que garantizar que se realiza un análisis forense adecuado y que la amenaza se contiene eficazmente antes de la erradicación. Por ejemplo, si el punto de entrada del actor de la amenaza a la red no está conectado, la amenaza no se erradicará de manera efectiva y el actor podrá afianzarse nuevamente.
5. Recuperación: Una vez que se elimina la amenaza de la red, los servicios que se habían interrumpido vuelven a estar como estaban antes de que ocurriera el incidente.
6. Lecciones aprendidas: Finalmente, se realiza una revisión del incidente, se documenta y se toman medidas basadas en los hallazgos del incidente para garantizar que el equipo esté mejor preparado para la próxima vez que ocurra un incidente.

Respuestas de la habitación

Tutorial en vídeo