on

Reconstrucción de sucesos mediante múltiples fuentes de evidencias digitales

Como en cualquier investigación, las digitales también requieren de en una reconstrucción de los hechos, donde un investigador dispone de una piezas de puzzle que deberá encajar para poder determinar qué ha pasado. Es por ello que, en numerosos casos, nos podemos encontrar investigaciones digitales en las que tan solo la recogida de una sola evidencia no es suficiente, siendo necesaria la recogida de evidencias adicionales desde otras fuentes.

Supongamos que en una Organización ocurre un incidente de seguridad, pudiendo ser tipificado en un caso de intrusión o bien un uso fraudulento de los activos informáticos. Obviamente, para iniciar cualquier investigación, primero deberemos detectar el incidente, por lo que se requieren mecanismos de Detección de Incidentes de seguridad. Dichos mecanismos serán esenciales no solo para detectar incidentes, sino que también serán una pieza fundamental para la reconstrucción de nuestro puzzle.

¿Qué mecanismos nos serán útiles para detectar incidentes? Disponemos de varias formas complementarias que nos ayudarán a detectar incidentes, como son:

  • Network Intrusion Detection Systems (NIDS): Los sistemas de detección de intrusiones a nivel de red inspeccionan el tráfico que fluye a través de ellos, en busca de anomalías o indicadores de actividad maliciosa.
  • Host Intrusion Detection Systems (HIDS): Los Host IDS operan supervisando el comportamiento del sistema o dispositivo en el cual se encuentran instalados. De los Host IDS, podemos extraer información, y concretamente tiempos para la generación de un timeline, de logs de sistema y firewall, integridad de ficheros, procesos en ejecución, actividad de red y chequeo de rootkits.
  • Honeynets / Honeypots: Se definen como aquellos recursos cuyo valor reside en ser atacados o accedidos. Los honeypots de baja interacción, como honeyd, son excelentes sistemas de detección de intrusos ya que no son sistemas que se encuentran en producción.

Como se puede observar, en una investigación puede ser de vital importancia disponer de tal minería de datos, pudiendo llegar a correlar los eventos recolectados de las diferentes fuentes anteriormente comentadas.

Por ejemplo, supongamos un hipotético caso en que nuestro IDS de red detecta un típico patrón de escaneo de puertos mediante la herramienta nmap; el IDS de sistema detecta un aumento en el perfil de actividad de red del sistema afectado, junto con el aumento de la carga de CPU. Instantes después se efectúan nuevos registros en nuestros logs de sistema, y por otro lado detectamos que el chequeo de integridad de los ficheros no coincide con el habitual. ¿ Qué pasa si además todo esto lo podemos correlar con un análisis temporal (timeline) postmortem del sistema de ficheros ?

En una investigación no solo serán importantes los datos e información digital, supongamos un caso de fraude interno en una Organización, en la que se investigan las acciones realizadas por un empleado, ¿por qué no correlar la información extraída de los dispositiovos de detección, el ordenador personal, registros y alertas de sistemas DLPs (Data Protection Loss), o incluso de la agenda diaria de la persona que se está investigando? Destacar que si la Organización dispone de mecanismos DLP, permitirá de una manera mucho más rápida identificar posibles fugas de información y desde dónde se están produciendo, señalando a los potenciales infractores y facilitando o acotando las tareas de análisis forense posteriores.

De ésta manera, damos mucha más información al investigador, pudiendo obtener datos previos a que suceda el incidente, siendo de ésta manera una investigación mucho más concluyente y objetiva.

Saludos,

Demo Free Trial MSSP
Program