1 / 13

Tema 1 – Adopción de pautas de seguridad informática

Tema 1 – Adopción de pautas de seguridad informática. Punto 8 – Análisis Forense. Juan Luis Cano . ¿Qué es el análisis forense?. El análisis forense de sistemas tiene como objetivo averiguar lo ocurrido durante un incidente de seguridad utilizando varios métodos.

ziv
Download Presentation

Tema 1 – Adopción de pautas de seguridad informática

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Tema 1 – Adopción de pautas de seguridad informática Punto 8 – Análisis Forense Juan Luis Cano

  2. ¿Qué es el análisis forense? El análisis forense de sistemas tiene como objetivo averiguar lo ocurrido durante un incidente de seguridad utilizando varios métodos. Se busca dar respuesta a los interrogantes que normalmente envuelven a todo incidente: el origen del problema, qué información ha sido afectada y en qué grado, y finalmente cuándo, dónde, cómo y por qué se originó el ataque.

  3. Funcionalidad y Fases El análisis forense pasa por varias fases, que abarcan desde el momento del ataque o desastre hasta obtener todos los detalles del mismo, analizados en un informe.

  4. Fases del análisis forense (I) El análisis forense pasa por cuatro pasos o fases, detalladas en la siguiente imagen: Se explicarán mas detalladamente:

  5. Fases del análisis (I) • Identificación: Es muy importante conocer los antecedentes, situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y la estrategia de investigación. • Preservación: Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para poder realizar el análisis. Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia “bit-a-bit” de todo el disco, el cual permitirá recuperar, en el siguiente paso, toda la información contenida y borrada del disco duro.

  6. Fases del análisis (II) • Análisis: Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios de la máquina. • Presentación: Es el recopilar toda la información que se obtuvo a partir del análisis para realizar el reporte y la generación (si es el caso) de una pericial y de su correcta interpretación sin hacer uso de tecnicismos.

  7. Respuesta a incidentes La respuesta a incidentes es la capacidad de reaccionar anta un problema informático y darle una solución rápida y eficaz.

  8. Elementos necesarios para una respuesta a incidentes eficaz Para responder correctamente a cualquier incidente, se necesita lo siguiente: • Minimizar la cantidad y gravedad de los incidentes de seguridad. • Crear un CSIRT principal (Computer Security Incident Response Team, Equipo de respuesta a incidentes de seguridad informática). • Definir un plan de respuesta a incidentes. • Contener los daños y minimizar los riesgos.

  9. Análisis de evidencias digitales Al realizar la investigación y el análisis forense, es imprescindible obtener las diversas capturas de las evidencias que se detecten.  Por evidencia entendemos toda información que podamos procesar en un análisis. Por supuesto que el único fin del análisis de las evidencias es saber con la mayor exactitud qué fue lo que ocurrió.

  10. Evidencias digitales Por evidencia digital se entiende: • El último acceso a un fichero o aplicación (unidad de tiempo) • Un Log en un fichero • Una cookie en un disco duro • El uptime de un sistema (Time tolive o tiempo encendido) • Un fichero en disco • Un proceso en ejecución • Archivos temporales • Restos de instalación • Un disco duro, pen-drive, etc...

  11. Herramientas de análisis forense Como el análisis forense es tan extenso, hay varias herramientas utilizables para cada una de sus fases y de cada uno de los comportamientos que pueda tomar la investigación.

  12. Algunas herramientas Algunas de estas herramientas son: • EnCase: Esta herramienta tiene varias opciones para analizar y recuperar los archivos que puedan haber sido dañados, eliminados o sustraídos durante un ataque. • Keylogger: Bien usada, esta herramienta permite saber las actividades de un ordenador, ya que guarda y envía todo lo escrito por el teclado a una dirección conocida. • …

  13. Tema 2 – Seguridad Activo

More Related