El análisis forense digital como potenciador del negocio

El análisis forense digital forma parte de la cartera del canal de seguridad. Quienes no prestan servicios forenses por sí mismos pueden generar interesantes pedidos de seguimiento como revendedores. Los estudios sobre las consecuencias económicas de los ciberataques y los requisitos de cumplimiento normativo están dando coletazos.

El coste de una violación de datos depende de ciertos factores, informa IBM Security con motivo del estudio "Cost of a Data Breach" 2019 del Ponemon Institute. Según el estudio, la rapidez con la que se responde a una violación de datos es decisiva para los costes totales. Las empresas alemanas responden a los incidentes mucho más rápido que el año pasado: el ciclo de vida medio de una violación de datos en este país abarca 170 días, una semana menos que en 2018, pero eso sigue equivaliendo a 131 días para que las empresas detecten e identifiquen la violación y otros 39 días para contener los daños.

Las obligaciones de notificación exigen un seguimiento

Las empresas afectadas deben poder hacer un seguimiento de un incidente de seguridad informática, ya que sólo cuando se comprende la trayectoria del ataque o la causa de un incidente informático se pueden iniciar las contramedidas adecuadas. Asimismo, las obligaciones de notificación tras un incidente informático exigen que se obtenga la mayor cantidad de información posible sobre el curso de los acontecimientos. Por ejemplo, el Reglamento General de Protección de Datos (RGPD) exige que las violaciones de datos personales se comuniquen a la autoridad de control:

  • Una descripción de la naturaleza de la violación de los datos personales, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados, categorías y conjuntos de datos personales afectados
    • Una descripción de las consecuencias probables de la violación de los datos personales
      • Una descripción de las medidas adoptadas o propuestas por los responsables del tratamiento para hacer frente a la violación de los datos personales y, en su caso, medidas para mitigar sus efectos adversos.

La Ley de Seguridad Informática también exige informes de incidentes a los operadores críticos, así como conceptos y documentación para la detección y gestión de incidentes (descripción sobre la gestión de incidentes, detección de ataques, análisis forense). La informática forense ha pasado de ser una ciencia especial para las autoridades investigadoras a una herramienta importante para los operadores profesionales de sistemas informáticos, según la BSI (Oficina Federal de Seguridad de la Información). Quienes gestionan sistemas informáticos con los requisitos actuales de confidencialidad, disponibilidad e integridad se enfrentan cada vez más a la tarea de tener que detectar y resolver las interrupciones operativas causadas por el mal funcionamiento de las TI o los efectos de los ataques a la infraestructura informática.

Buenas oportunidades de ingresos para los servicios forenses

La organización Digital Forensic Research Workshop (DFRWS) define la "ciencia forense digital" como "el uso de métodos científicamente probados para preservar, recopilar, validar, identificar, analizar, interpretar, documentar y presentar pruebas digitales derivadas de fuentes digitales para facilitar o promover la reconstrucción de hechos clasificados como delictivos o actos no autorizados que han demostrado interrumpir operaciones planificadas"."

La informática forense tiene muchas caras: informática forense, forense de dispositivos móviles, forense de la nube, forense de redes o forense de bases de datos. Las áreas de aplicación y las oportunidades en el mercado son correspondientemente diversas. En 2018, Acumen Research and Consulting publicó un informe que mostraba que el mercado de la informática forense aumentará un 12,5% para 2021 y se espera que crezca hasta los 4.970 millones de dólares estadounidenses en todo el mundo. No sólo las consultoras y auditoras como EY, Deloitte, BDO y KPMG ofrecen los correspondientes servicios de informática forense, sino que también el canal de seguridad puede y debe hacerlo.

Herramientas y asociaciones sobre informática forense

Un especialista en informática forense utiliza habitualmente herramientas de software para extraer y analizar, por ejemplo, los rastros (Indicators of Compromise; IoCs) de un disco duro o un teléfono móvil. El mercado está bien surtido de soluciones de informática forense. Aquellos que cuenten con personal debidamente formado y busquen herramientas las encontrarán en los principales actores como IBM, AccessData, Cellebrite, Elcomsoft, FireEye, Cisco, Ontrack, LogRhythm, Guidance Software/ Opentext, Oxygen Forensics, Paraben, pero también en nuevos proveedores como Tenzir.

Quien no cuente con expertos en informática forense en su equipo puede y debe, no obstante, incluir soluciones y servicios adecuados en su cartera. En el mercado alemán y europeo hay numerosos proveedores y soluciones que podrían considerarse para una asociación, como muestra la lista anterior. Como distribuidor de este tipo de soluciones, uno también amplía su oferta con un bloque de construcción que los clientes necesitan para su cumplimiento y para reducir los costes de seguimiento de los incidentes de seguridad informática.

SIEM como base de la informática forense

La base de una oferta de informática forense es el sistema SIEM (Security Information and Event Management). Los clientes que ya utilizan una solución SIEM son buenos candidatos para integrar los servicios forenses. Si el cliente aún no dispone de un sistema SIEM (adecuado), lo mejor es ofrecer el análisis forense y el SIEM juntos. Un SIEM registra quién hizo qué, cuándo y cómo en la infraestructura de TI supervisada. Muchas interrupciones y ataques pueden rastrearse en los registros, pero las empresas suelen evaluar los datos sólo de forma irregular.

Si los servicios SIEM y forenses se ofrecen conjuntamente, la detección de ataques puede optimizarse para el cliente. Además, los rastros digitales pueden rastrearse en el archivo SIEM para poder asegurar las pruebas incluso después de que se haya detectado un ataque demasiado tarde. Es crucial que el SIEM cubra todas las posibles vías de ataque, ya que los ataques son cada vez más complejos y de varios niveles. Los ataques pueden, por ejemplo, comenzar en el smartphone de un empleado de campo, continuar a través de un servicio en la nube y luego dirigirse al portátil del miembro de la junta directiva a través de la red de la empresa.

Para evitar tener que utilizar el análisis forense de los móviles, el análisis forense de la nube y el análisis forense de la red por separado y de forma individual, es importante una herramienta forense global o una solución SIEM que haya obtenido los datos necesarios sobre el ataque de todas las partes relevantes. Dependiendo del SIEM, las herramientas están disponibles para procesar el incidente sospechoso para los expertos forenses, ya sea como informes e incluso a través de una interfaz de exportación para la herramienta forense.

Los ataques pueden hacer uso de múltiples vectores de ataque, simultáneamente y en sentido descendente. El informe sobre el panorama de las amenazas de 2018 de la agencia de ciberseguridad de la UE, ENISA, muestra la diversidad de las vías de ataque que pueden combinarse. Por lo tanto, los expertos forenses deben tener conocimientos profundos en muchas áreas

Información complementaria sobre el tema

Se buscan expertos forenses: criterios para los proveedores de servicios

La BSI (Oficina Federal de Seguridad de la Información) ha elaborado criterios para los proveedores de servicios cualificados, los llamados "proveedores de servicios de respuesta APT". En él se encuentran, por ejemplo, los requisitos especiales para los expertos forenses en host y en redes, incluida la experiencia en los fundamentos de la recopilación de pruebas forenses, la documentación y la prueba (por ejemplo, mediante sumas de comprobación criptográficas), la protección forense de datos (experiencia en la creación de imágenes forenses de medios de almacenamiento (especialmente discos duros y SSD) en diferentes entornos y el análisis forense. Esto incluye un conocimiento profundo de los sistemas operativos y de archivos más comunes, el uso seguro de uno o más entornos de investigación forense integrados y herramientas forenses para evaluar rastros comunes, datos de registro y herramientas de software asociadas.

http://bit.ly/APT-Dienst-Kr

Aprendiendo de los ataques e identificando las necesidades

La ruta de ataque revelada por la informática forense también pone de manifiesto dónde existen vulnerabilidades críticas que han sido explotadas. Esto revela una necesidad urgente de más servicios y productos de seguridad, que el canal puede abordar a través de otras ofertas y servicios, ya sea la detección avanzada de malware, la protección contra la suplantación de identidad, un cortafuegos de aplicaciones web o un broker de seguridad de acceso a la nube (CASB), dependiendo de dónde se hayan identificado y explotado las vulnerabilidades. Así, con el análisis forense de las TI, los clientes y el canal aprenden algo: qué ha pasado, cómo ha podido ocurrir, qué vulnerabilidades se pueden solucionar y dónde se pueden ofrecer más servicios de seguridad en consecuencia?

Deja un comentario