Red Seguridad 090

La importancia de la trazabilidad para facilitar la investigación forense L a informática forense , por defini- ción, entra en juego cuando ha ocurri- do un incidente y debemos averiguar su causa. Es una ciencia retrospectiva que pretende reconstruir los hechos, identificar actores, flujos, línea tempo- ral y obtener evidencias, manteniendo a lo largo de toda la cadena la integri- dad de los datos recopilados. Es un acto posterior al postin- cidente, postmortem , pero que requiere una preparación previa que en muchas organizaciones se ha demostrado insuficiente. ¿Hacemos los deberes antes para que, en caso de necesidad, un análisis forense sea efectivo y concluyente? Haciendo una analogía con la medi- cina forense, un médico, por bueno que sea, no logrará determinar la causa de la muerte de una persona con un mechón de pelo. Quizás si indaga mucho y hace varios análisis que le den pistas con técnicas avan- zadas pueda averiguar algo, pero haber tenido el cuerpo completo para su análisis habría sido infinitamen- te mejor y más provechoso para la investigación. Esto también tiene su versión equivalente en el caso de un analista forense informático que debe investigar un sistema postincidente. Un atacante experimentado tendrá muchas formas de esconder prue- bas, pero igualmente contaremos con muchas técnicas y herramientas para descubrirlas, siempre que se den ciertas condiciones iniciales. Hay un factor muy relevante y que en muchas ocasiones se pasa por alto, de gran ayuda para construir el hilo conductor en toda investigación, para realizar una cronología inicial e identificar información relevante de cara a determinar la causa: hablamos de las trazas, los logs , los eventos. Sin trazabilidad, sin pistas, un análisis forense se antoja complicado. Preparación Para ello, es crucial preparar nuestros sistemas de información para contar con un nivel de trazabilidad suficiente y así poder reconstruir un incidente. Y no se trata lógicamente de una solu- ción postmortem reactiva, sino de una solución claramente proactiva y enfocada en facilitar la recuperación y la recopilación de evidencias en caso de incidente. Si bien es ideal comenzar la inves- tigación en el escenario de inmediato y lo menos contaminado posible, no siempre es viable; por ejemplo, cuan- do se trata de una infraestructura crí- tica que no se puede parar, o porque se tiene constancia del incidente un tiempo después de haberse materia- lizado. En casos en los que técnicas a más bajo nivel pueden haber per- dido su efectividad, la revisión de los eventos que se han ido registrando en el sistema puede resultar un punto clave para el análisis. Cuando una infraestructura es pro- pia, como buena práctica debemos tener identificadas las fuentes de eventos que hay que conservar y vigi- lar que la salud del log sea adecuada. Hablamos, por ejemplo, de directorio activo, DNS, consolas de antivirus, cortafuegos, servicios de correo, ser- vicios publicados, acceso a recursos, etc. A nivel de sistema, se debe ase- gurar que se registran eventos como los accesos, identificando usuario y origen, accesos como administra- dor, acciones privilegiadas, acceso a recursos restringidos y objetos, conexión-desconexión de dispositi- vos externos, llamadas RPC ( Remote Proccess Control ) o bloqueos. Idealmente, se debe llevar a cabo un bastionado previo y continuo de la red corporativa y los sistemas. Y, en este sentido, la configuración de 72 red seguridad tercer trimestre 2020 Mª Carmen Ortega Cybersecurity Service Manager de Ingenia opinión forense monográfico

RkJQdWJsaXNoZXIy ODM4MTc1