Metodología Básica de Análisis Forense - Parte 1 de 4
En este articulo describiremos de forma practica, como utilizar una Metodología de Análisis forense para responder a un incidente.
Table
Identificación:
- En esta fase, realizamos una evaluación de los recursos, alcance y objetivos necesarios para realizar la investigación interna.
- Obtener por escrito la autorización para iniciar la Forense (Investigación de equipos). Acuerdos de confidencialidad.
- Documentarse de todas las acciones y antecedentes que preceden la investigación. Los acontecimientos y decisiones que se adoptaron durante el incidente y su respuesta al incidente. La cual determinara el curso de acción a seguir en la Investigación.
- Organizar y definir el Team de Investigación, estableciendo Limites, funciones y responsabilidades.
- Realice una Investigación preliminar (documentela) que le permita describir la situación actual, hechos, las partes afectadas, posibles sospechosos, gravedad y criticidad de la situación, infraestructura afectada, para lograr una compresión total de la situación actual del incidente y definir un curso de acción acorde a la situación.
- Identificar el Impacto y la sensibilidad de la informacion ( de clientes, financieros, comerciales, de Investigación y Desarrollo, etc)
- Analizar el Impacto de los negocios atraves de la investigación del Incidente. Como, tiempos de inactividad, costos de equipos afectados o dañados, perdida en ingresos, costos de recuperación, perdida de informacion confidencial, perdida de credibilidad e imagen, etc.
- Identificar la topologia de red y tipologia de red, equipos afectados ( servidores, aplliance, UMT, estaciones, Sistemas Operativos, Router, Switches, IDS's, etc)
- Identificar los dispositivos de almacenamiento o elementos informáticos (Discos Duros, Pen drive, memorias, tarjetas flash, Tapes, Zip Disk, Opticos, Disquettes, Cds, Dvd, etc) que se consideren comprometidos y sean determinados como evidencia, su marca, modelo, caracteristicas, seriales, etc.
- Para nuestro caso, obviaremos los procedimientos a ejecutar sobre sistemas Vivos, por la continuidad en producción de los equipos en producción y su uso en las nuevas instalaciones, se han perdido los datos volátiles.
- Identifique los posibles implicados o funcionarios que tengan relación con la investigación y efectué entrevistas, con usuarios o administradores responsables de los sistemas, documente todo y trate de lograr un conocimiento total de la situación.
- Realiza una recuperación de los logs de los equipos de comunicación y dispositivos de red, involucrados en la topologia de la red.
El producto final de esta fase, debe entregar un documento detallado con la informacion que permita definir un punto de inicio para la adquisición de datos y para la elaboración del documento final.
Iniciamos la cadena de Custodia, llenando el formato correspondiente, iniciando una bitácora de los procesos que se llevan a cabo y el embalaje de la Evidencia. Determinar
Quien?, Que?, Donde?, Por que? mantener una copia con la evidencia, Como?, Cuando?
- Quien es el primero en tener la evidencia?
- Donde, cuando y quien es el primero que tiene la evidencia
- Donde, cuando y quien examino la evidencia
- Quien va a tener custodia de la evidencia y por cuanto tiempo la tendrá
- Quien y como se embalo y almaceno la evidencia
- Cuando se realiza el cambio de custodia y como se realiza la transferencia
Continuar en la segunda parte del articulo Metodología Básica de Análisis Forense...