El análisis forense informático y la prevención de incidentes en la organización moderna

Acerca de: @Pablo Velasco Somera, CEH, CHFI - ISO 27001 Auditor Interno @Gerente de servicios de ciberseguridad @pablo.Velasco@zerorisk.co

Agenda @ Introducción @ Auditoría forense informática @ Cronología @ Proceso forense informático @ Gestión de incidentes @ Escenarios @ Caso de estudio @ Conclusiones

UN INCIDENTE ES...

Contexto

Contexto

¿Qué puede hacer la Organización? Tomar medidas correctivas (paños de agua tibia). Utilizar enfoques preventivos basados en riesgos. Fortalecer los mecanismos de respuesta a incidentes. Empoderar a los departamentos de control interno. Nada.

AUDITORÍA FORENSE INFORMÁTICA

Introducción La auditoría forense informática es una herramienta administrativa, legal y procedimental la cual es utilizada para descubrir la génesis de un delito, violación o fraude por medio de pruebas realizadas sobre evidencia digital.

Cronología Fuente:https://hal.inria.fr/hal-01060606/document 2006 – Se genera el concepto de E-Discovery 1976 – Cryme by computer – Donn Parker 1993 – Conferencia sobre evidencia digital - FBI 1995 – Caso George Stanley Burdynski, Jr. 1947 – Era industrial de la computación 1985 – Se crea el IACIS 2015 – Caso san Bernandino Fuente:https://hal.inria.fr/hal-01060606/document

Proceso forense informático Pre-Investigación Preparación del caso Búsqueda e incautación Análisis Reporte y post-investigación

Pre- Investigación Entrada:Requerimientos para una capacidad forense. Proceso:Construir capacidades forenses. Salida: Hardware forense y metodología.

Recursos - Capacidad forense Físicos: Locaciones / Laboratorio. Hardware: Bloqueadores, herramientas físicas, Estaciones FRED / Servidor propio. Humanos: Expertos informáticos / Abogados. Tecnológicos: Herramientas Open Source / Herramientas licenciadas.

Recursos - Capacidad forense

Preparando el caso Entrada: Información sobre el caso. Proceso:Elaborar hipótesis y planes. Salida: Describir un plan para obtener la evidencia digital.

El peor de los casos Es recomendable preparar una investigación pensando siempre en el peor escenario.

Búsqueda e incautación Entrada: Plan de adquisición de evidencia digital. Proceso:Adquisición de la evidencia digital. Salida: Preservación y documentación de la evidencia digital.

Software de Adquisición Sistemas Operativos Software de Adquisición Guymager

Cadena de custodia La cadena de custodia  se define como el procedimiento controlado que se aplica a los indicios materiales relacionados con el delito, desde su localización hasta su valoración por los encargados de su análisis, normalmente peritos, y que tiene fin no viciar el manejo que de ellos se haga y así evitar alteraciones, sustituciones, contaminaciones o destrucciones. Fuente: https://es.wikipedia.org/wiki/Cadena_de_custodia

Cadena de custodia Lineamientos para la cadena de custodia en Colombia. Manual cadena de custodia: https://www.fiscalia.gov.co/colombia/wp-content/uploads/2012/01/manualcadena2.pdf

Como se puede afectar la cadena de custodia? Aquí una de tantas respuestas.

Recursos – Adquisición de evidencia Aspectos legales y procedimentales: Manual de cadena de custodia . Aspectos técnicos: NIST SP 800-86.

Análisis Entrada: Evidencia preservada (cadena de custodia). Proceso:Análisis basado en hipótesis. Salida: Resultado del análisis (valor probatorio).

Recursos - Análisis La prueba en el proceso penal Colombiano: https://www.fiscalia.gov.co/colombia/wp-content/uploads/2012/01/LaPruebaenelProcesoPenalColombiano.pdf Ver Unidad 3. “ La prueba Pericial”, pág 171

Documentación Entrada: Análisis de los resultados. Proceso: Reporte final escrito. Salida: Preparación del testimonio.

Post - Investigación Entrada: Reporte final – Notas. Proceso: Proceso de sustentación / testificar. Salida: Actualización del perfil de riesgo.

Post - Investigación Debe se debe fortalecer la gestión del riesgo basado en el aprendizaje de los incidentes de seguridad.

Proceso de gestión de incidentes Detección y registro Cierre del incidente Seguimiento Clasificación y soporte inicial Solución restablecimiento del servicio Investigación y diagnóstico Escalamiento

Caso de estudio Caso: Sabotaje informático, violación de la política de uso de software aceptado. Incidente registrado: Pérdida operativa del servicio de suministro debido a la caída del servidor principal encargado de realizar la coordinación de despachos. Pérdidas económicas: COP $1000 MILLONES

Formulación de hipótesis Personal con acceso al servidor. Personal despedido recientemente Nivel de exposición del servidor hacia internet Personal con presencia de software malintencionado Ciberdelincuencia y software de minado de criptomonedas

Recolección de evidencia Desplazamiento a la ciudad de Bogotá 5 equipos y 1 servidor bajo custodia Adquisición de la evidencia digital Preservación de la cadena de custodia bajo el marco normativo colombiano

Análisis de la evidencia Transporte de la evidencia digital al laboratorio Análisis de la evidencia digital Comprobación de hipótesis iniciales Uso de software calibrado y aprobado internacionalmente

Hallazgos y conclusiones Debilidades del proveedor tecnológico cuando se solicitó una copia correspondiente a la fecha del incidente. Ausencia de políticas para la gestión de logs en servidores y dispositivos perimetrales. Conocimiento sobre infecciones por malware en la plataforma tecnológica, evidencia intercambio de correos. Presencia de software malintencionado (malware) en equipos de cómputo del personal que accedía al servidor.

Conclusiones Todas las compañías son susceptibles de padecer algún tipo de incidente. La tecnología evoluciona, la sociedad es cambiante, la empresa crece: Revisión y creación constante de nuevas alertas y controles. Se debe alinear el proceso de respuesta a incidentes con la gestión del riesgo. Es cada vez mas importante el papel de los equipos de respuesta a incidentes. Las técnicas avanzan, las tecnologías también