Los servicios DFIR integran dos disciplinas diferenciadas de ciberseguridad: el análisis forense digital, es decir, la investigación de ciberamenazas, centrada especialmente en recopilar material digital probatorio que se pueda utilizar luego en los procesos contra ciberdelincuentes, y la respuesta ante incidentes, que abarca la detección y la mitigación de los ciberataques en curso. Mediante la combinación de ambas disciplinas, los servicios DFIR ayudan a los equipos de seguridad a detener las amenazas más rápido, así como a preservar el material probatorio que se puede perder cuando la prioridad es mitigar una amenaza lo antes posible.
El análisis forense digital se ocupa de investigar y reconstruir los incidentes de ciberseguridad. Para ello, se recopila, se analiza y se preserva el material digital probatorio (cualquier rastro que dejen a su paso los actores de amenaza, como archivos de malware y scripts maliciosos). A través de estas reconstrucciones, los investigadores pueden precisar las causas subyacentes de los ataques e identificar a los culpables.
Las investigaciones de análisis forense digital siguen una estricta cadena de custodia, es decir, un proceso formal mediante el cual se rastrean las vías utilizadas para recabar y manejar los elementos probatorios. La cadena de custodia permite a los investigadores demostrar que las pruebas no se han manipulado. Así, el material probatorio obtenido a través de investigaciones de análisis forense digital se puede utilizar con fines oficiales, como causas judiciales, reclamaciones a las aseguradoras y auditorías reglamentarias.
El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) (PDF, 2,7 MB) (enlace externo a ibm.com) señala cuatro pasos para las investigaciones de análisis forense digital:
Después de una infracción, los investigadores forenses recopilan datos de los sistemas operativos, las cuentas de usuario, los dispositivos móviles y cualquier otro activo de software y hardware a los que puedan haber accedido los actores de amenaza. Entre las fuentes de datos forenses más habituales, se incluyen las siguientes:
- Análisis forense del sistema de archivos: datos encontrados en los archivos y las carpetas almacenados en los puntos finales.
- Análisis forense de la memoria: datos encontrados en la memoria de acceso aleatorio (RAM) de un dispositivo.
- Análisis forense de la red: datos encontrados al examinar la actividad de red, como la navegación web y las comunicaciones entre dispositivos.
- Análisis forense de aplicaciones: datos encontrados en los registros de aplicaciones y de otro software.
Para mantener la integridad de los elementos probatorios, los investigadores hacen copias de los datos antes de procesarlos. Protegen los originales para que no se puedan manipular y el resto de la investigación se centra en las copias.
Los investigadores escudriñan los datos en busca de indicios de actividad de ciberdelincuentes, como mensajes de correo electrónicos de phishing, archivos modificados y conexiones sospechosas.
Los investigadores utilizan técnicas forenses para procesar, correlacionar y extraer información del material probatorio digital. Asimismo, pueden hacer referencia a fuentes de inteligencia de amenazas propietarias y de código abierto para relacionar los resultados obtenidos con actores de amenazas específicos.
Los investigadores elaboran un informe para explicar lo ocurrido durante el suceso de seguridad y, si es posible, identificar a los sospechosos o los culpables. El informe puede contener recomendaciones para impedir futuros ataques. Se puede compartir con cuerpos de seguridad, aseguradoras, reguladores y otras autoridades.
La respuesta ante incidentes se centra en la detección de infracciones de seguridad y la respuesta correspondiente. El objetivo de la respuesta ante incidentes es evitar los ataques antes de que se produzcan y minimizar el coste y la disrupción del negocio asociados a los ataques que lleguen a producirse.
Las iniciativas de respuesta ante incidentes se basan en los planes de respuesta a incidentes (IRP, por sus siglas en inglés), en los que se explicita cómo debe abordar las ciberamenazas el equipo de respuesta ante incidentes. El proceso de respuesta ante incidentes se compone de seis pasos estándar:
- Preparación: la preparación es el proceso continuo de evaluar los riesgos, identificar y corregir las vulnerabilidades (gestión de vulnerabilidades) y elaborar IRP para distintas ciberamenazas.
- Detección y análisis: el equipo de respuesta ante incidentes supervisa la red en busca de actividad sospechosa. Analiza los datos, filtra los falsos positivos y selecciona las alertas.
- Contención: una vez detectada una infracción, el equipo de respuesta ante incidentes toma las medidas pertinentes para impedir que la amenaza se propague por la red.
- Erradicación: una vez contenida la amenaza, el equipo de respuesta ante incidentes la elimina de la red; puede, por ejemplo, destruir los archivos de ransomware o expulsar a un actor de amenaza de un dispositivo.
- Recuperación: una vez que el equipo de respuesta ante incidentes haya suprimido cualquier indicio de amenaza, restaurará los sistemas dañados para que funcionen con normalidad.
- Revisión posterior al incidente: el equipo de respuesta ante incidentes revisa la infracción para averiguar qué la ha propiciado y prepararse para futuras amenazas.
Cuando el análisis forense digital y la respuesta ante incidentes se realizan por separado, pueden interferir entre ellos. Por un lado, el equipo de respuesta ante incidentes podría manipular o destruir elementos probatorios al eliminar una amenaza de la red; por el otro, el equipo de investigación de análisis forense podría retrasar la neutralización de la amenaza mientras busca elementos probatorios. También es posible que los equipos no consigan compartir la información entre ellos de forma fluida, lo que restaría eficiencia a ambos.
Los servicios DFIR combinan las dos disciplinas en un único proceso comandado por un equipo. De esto, se obtienen dos ventajas importantes:
La recopilación de datos forenses se produce al mismo tiempo que la mitigación de la amenaza. Durante el proceso DFIR, el equipo de respuesta ante incidentes utiliza técnicas forenses para recabar y preservar material probatorio digital mientras contiene y erradica la amenaza. Así, se garantiza que se respete la cadena de custodia y que las iniciativas de respuesta ante incidentes no manipulen ni destruyan valiosas pruebas.
La revisión posterior al incidente incluye la exploración del material probatorio digital. Los servicios DFIR utilizan el material probatorio digital para profundizar en los incidentes de seguridad. Los equipos de DFIR examinan y analizan las pruebas que han recopilado para reconstruir el incidente de principio a fin. El proceso DFIR termina con la elaboración de un informe en el que se detalla qué ha sucedido, cómo ha sucedido, el alcance total del daño y la manera de evitar ataques parecidos en un futuro.
Entre las ventajas resultantes, se incluyen las siguientes:
- Prevención de amenazas más eficaz. Los equipos de DFIR investigan los incidentes con más exhaustividad que los equipos de respuesta ante incidentes. Las investigaciones de DFIR pueden ayudar a los equipos de seguridad a conocer mejor las ciberamenazas, crear guías de estrategias más eficientes para responder a los incidentes y prevenir otros ataques antes de que se produzcan. Las investigaciones de DFIR también pueden ayudar a racionalizar la detección de amenazas, al poner de manifiesto indicios de amenazas activas desconocidas.
- Mínima pérdida, en caso de haberla, de material probatorio durante la neutralización de la amenaza. En un proceso estándar de respuesta ante incidentes, el equipo responsable, en su empeño por atajar la amenaza lo antes posible, podría perder pruebas. Por ejemplo, si el equipo apaga un dispositivo infectado para evitar que la amenaza se propague, el material probatorio que quede en la RAM de dicho dispositivo se perderá. Con formación en análisis forense digital y en respuesta ante incidentes, los equipos de DFIR están capacitados para preservar el material probatorio al tiempo que solventan los incidentes.
- Asistencia procesal mejorada. Los equipos de DFIR respetan la cadena de custodia, lo que implica que los resultados de las investigaciones de DFIR se pueden compartir con los cuerpos de seguridad y utilizarse para encausar a los ciberdelincuentes. Las investigaciones de DFIR también pueden ser útiles cuando se cursan reclamaciones al seguro y en las auditorías reglamentarias posteriores a la infracción.
- Recuperación más rápida y segura tras una amenaza. Dado que las investigaciones forenses son más exhaustivas que las investigaciones estándar de respuesta ante incidentes, los equipos de DFIR pueden descubrir malware o daños al sistema que, de otra manera, se habrían soslayado. Esto ayuda a los equipos de seguridad a erradicar las amenazas y recuperarse de los ataques por completo.
En algunas empresas, los servicios DFIR se gestionan a través de un equipo interno de respuesta ante incidentes de seguridad de sistemas informáticos (CSIRT), denominado en ocasiones equipo de respuesta ante emergencias de sistemas informáticos (CERT). Entre los miembros del CSIRT, se pueden encontrar el director de seguridad de la información (CISO), el centro de operaciones de seguridad (SOC) y miembros del personal de TI, líderes ejecutivos y otras partes interesadas de la empresa.
Muchas empresas no disponen de recursos para encargarse de todo lo que conllevan los servicios DFIR. En estos casos, pueden contratar servicios DFIR de terceros que trabajan en anticipo.
Los expertos en servicios DFIR, ya sean internos o externos, utilizan las mismas herramientas DFIR para detectar, investigar y neutralizar las amenazas. Entre estas, se incluyen las siguientes:
Gestión de sucesos e información de seguridad (SIEM): las soluciones SIEM recopilan y correlacionan los datos de los sucesos de seguridad de las herramientas de seguridad y otros dispositivos de la red.
Orquestación, automatización y respuesta de seguridad (SOAR): las soluciones SOAR permiten a los equipos de DFIR recabar y analizar datos de seguridad, definir flujos de trabajo de respuesta ante incidentes y automatizar las tareas de seguridad repetitivas o de nivel bajo.
Detección y respuesta de puntos finales (EDR): las soluciones EDR integran las herramientas de seguridad de punto final y utilizan los análisis en tiempo real y la automatización mediante inteligencia artificial para proteger a las empresas frente a ciberamenazas que burlan el software antivirus y otras tecnologías tradicionales de seguridad de punto final.
Detección y respuesta ampliadas (XDR): XDR es una arquitectura de ciberseguridad abierta que integra las herramientas de seguridad y unifica las operaciones de seguridad en todas las capas de seguridad; usuarios, puntos finales, correo electrónico, aplicaciones, redes, cargas de trabajo en cloud y datos. Al acabar con las deficiencias de visibilidad entre herramientas, la arquitectura XDR ayuda a los equipos de seguridad a detectar y mitigar las amenazas de manera más rápida y eficiente, así como a limitar los daños que conllevan.
Si quiere reducir las consecuencias de las infracciones, utilice la respuesta ante incidentes y los servicios ininterrumpidos de emergencia para detectar los ataques y contenerlos, así como para recuperarse de ellos en caso de producirse.
Identifique amenazas y vulnerabilidades graves y evite que interfieran en las operaciones comerciales.
Detecte las amenazas ocultas antes de que sea demasiado tarde con visibilidad de red y analítica avanzada.
Descubra las últimas novedades de la inteligencia en materia de amenazas y las tendencias actuales en seguridad de cloud y averigüe cómo utilizar la información que le proporciona IBM Security X-Force para mejorar sus condiciones de seguridad.
El camino hacia una respuesta orquestada a los incidentes comienza con la capacitación de las personas, el desarrollo de un proceso coherente, capaz de ser repetido, y el consiguiente aprovechamiento de la tecnología para una mejor ejecución. En este manual, se describen los pasos clave para crear una sólida función de respuesta ante incidentes.
Un plan de respuesta a incidentes formal permite a los equipos de ciberseguridad limitar o evitar los daños causados por infracciones de seguridad o ciberataques.
Las soluciones de gestión de sucesos e información de seguridad (SIEM) ofrecen supervisión en tiempo real y análisis de sucesos, así como seguimiento y registro de los datos de seguridad a efectos de cumplimiento o auditoría.
La inteligencia de amenazas es información sobre amenazas práctica y detallada para prevenir y combatir las ciberamenazas dirigidas a una organización.
El ransomware secuestra los dispositivos y los datos de las víctimas hasta que pagan un rescate. Descubra cómo funciona el ransomware, por qué ha proliferado en los últimos años y cómo las organizaciones se defienden ante sus ataques.