|
|
|
 |
Servicios de Auditoría Forense
|
|
A través de esta alternativa, buscamos proveerle a su organización las capacidades necesarias para enfrentar los siguientes problemas de negocio
- Atención a incidentes de seguridad de TI en diversas plataformas.
- Búsqueda de datos ocultos, borrados y modificados.
|
|
- Falta de recursos entrenados y con la especialización adecuada para realizar análisis forense e investigaciones digitales.
- Sospechas de exposición de información confidencial de clientes y proveedores, que podrían poner en riesgo la confiabilidad de su negocio.
- Dificultad para sustentar un caso que se investiga, por falta de evidencia concluyente.
- Requerimiento de evidencias digitales para procesos legales.
Cuando se está realizando una investigación donde se pone en riesgo la propiedad intelectual, la reputación y el prestigio de una organización, es importante contar con los medios que le permitan reunir la evidencia sustantiva y concluyente para demostrar la verdad de los hechos.
Usted puede tener acceso a las herramientas y servicios de análisis forense para equipos de cómputo y celulares, que le permitirán reunir la evidencia existente en dichos equipos sin importar que el usuario haya tratado de deshacerse de la misma. |
Análisis Forense
El análisis forense, en su acepción más general, como la “aplicación de la ciencia a cuestiones de interés legal”.
En el contexto de la Seguridad de la Información, se define como “la inspección sistemática y tecnológica de un sistema informático y sus contenidos para la obtención de evidencia de un crimen o cualquier otro uso que sea investigado”.
|
 |
| El análisis forense es una pieza clave en los procesos de respuesta a incidentes de seguridad, y sirve para establecer datos como el “qué”, “quién”, “cuándo”, “cómo”, y en algunos casos, el “por qué” de un incidente. |
| Cuando la seguridad de la empresa ya ha sido vulnerada, la informática forense permite recoger rastros probatorios para averiguar, siguiendo las evidencias electrónicas, el origen del ataque (si es una vulneración externa de la seguridad) o las posibles alteraciones, manipulaciones, fugas o destrucciones de datos a nivel interno de la empresa para determinar las actividades realizadas desde uno o varios equipos concretos |
|
Adquisición de evidencia
La adquisición de la evidencia electrónica se debe hacer siempre de forma que el sistema examinado se vea impactado o modificado en su estado lo mínimo posible.
En un entorno como el informático, en el que el estado (contenido de registros, memoria, estado del procesador, etc) de los sistemas cambia continuamente, esto es difícil, si no imposible, de cumplir en la práctica. Siempre que existe una interacción (por leve y cuidadosa que sea) del investigador o sus herramientas con el sistema examinado, se produce una alteración de este último.
En la práctica forense moderna, se considera que ciertos tipos de evidencia son más útiles o importantes que otros, y se acepta la modificación del estado de la evidencia siempre que esta alteración sea conocida y predecible.
Para ello es importante conocer las herramientas a utilizar. No sólo hay que conocer el tipo de información que extrae o qué informes genera, sino saber, con detalle, cual es la interacción de la herramienta con el sistema sobre el que corre:
Cómo afecta a la memoria, qué ficheros modifica, a qué recursos del sistema accede, etc.
Como regla general, se debe obtener la evidencia de la forma menos destructiva posible, y siempre en orden de más volátil a menos volátil, en el orden que se muestra a continuación.
Cuando la evidencia se compone de listados de cientos de conexiones, decenas de procesos corriendo, y una imagen bit-a-bit de un par de cientos de gigabytes de disco duro, es necesario establecer un plan para la forma de abordar el análisis. Es decir, decidir de antemano qué es importante, qué no lo es, y en qué orden hacer las cosas.
Cierto es que la mayoría de los casos son muy estándar, y el procedimiento siempre sigue las mismas pautas. Casos típicos son: |
- Hacker accede a un sistema explotando una vulnerabilidad de un servicio. A continuación, si es necesario, eleva sus privilegios hasta nivel de super-usuario, e instala un kit de herramientas que le permita volver a acceder al sistema cuando desee, aunque la vulnerabilidad original se haya solucionado.
|
|
- Usuario legítimo del sistema provoca una infección del ordenador (software de dudosa procedencia, “drive-by downloads”, ficheros adjuntos en correo electrónico, etc.) que instala un troyano que convierte al sistema en un “zombie” parte de una “botnet”.
- Empleado desencantado sabotea los sistemas de su propia empresa.
- Se sospecha de la posesión por parte del usuario de material no autorizado o ilegal (software pirata, propiedad intelectual, pornografía infantil)
- Empleado roba documentación e información confidencial, o la envía a la competencia.
- Otro tipo de casos de carácter policial (tráfico de drogas, terrorismo, etc.)
Ninguna investigación forense se inicia sin tener al menos una sospecha de la conducta o incidente a investigar, y esto permite adaptar la metodología al caso concreto. |
Beneficios de la solución
- Contar con los medios que permitan fincar responsabilidad en actos que involucren una malversación de la información digital, por medio de adquisiciones de información validas en cortes internacionales.
- Ahorre tiempo y esfuerzo de su equipo de TI, mediante el uso de esta herramienta y los servicios de CIDEN.
- Capacidades de investigación forense para equipos aislados de una red de cómputo. Esquemas adaptables a las necesidades y recursos disponibles de la organización.
|
|
|
|
|
|
|
|
|
.
