DFIR integra dos disciplinas separadas de la ciberseguridad: el análisis forense digital, es decir, la investigación de ciberamenazas, centrada principalmente en reunir pruebas digitales para litigar a los ciberdelincuentes, y la respuesta a incidentes, que abarca la detección y la mitigación de los ciberataques en curso. Mediante la combinación de ambas disciplinas, los servicios DFIR ayudan a los equipos de seguridad a detener las amenazas más rápido, así como a preservar el material de las pruebas que se puede perder cuando la prioridad es mitigar una amenaza lo antes posible.
El análisis forense digital investiga y reconstruye los incidentes de ciberseguridad al recopilar, analizar y conservar las pruebas digitales: los rastros dejados por los autores de la amenaza, como los archivos de malware y scripts maliciosos. Estas reconstrucciones permiten a los investigadores señalar las causas principales de los ataques e identificar a los culpables.
Las investigaciones forenses digitales siguen una estricta cadena de custodia, o un proceso oficial para rastrear cómo se recopilan y manejan las pruebas. La cadena de custodia permite a los investigadores demostrar que las pruebas no han sido alteradas. Como resultado, las pruebas de las investigaciones forenses digitales se pueden utilizar para fines oficiales, como casos judiciales, reclamaciones de seguros y auditorías reglamentarias.
El Instituto Nacional de Estándares y Tecnología (NIST) (PDF, 2.7 MB) (enlace externo a ibm.com) describe cuatro pasos para las investigaciones análisis forense digital:
Tras una brecha de seguridad de datos, los investigadores forenses recopilan datos de los sistemas operativos, cuentas de usuario, dispositivos móviles y demás activos de hardware y software a los que hayan accedido los autores de la amenaza. Entre las fuentes de datos forenses más habituales, se incluyen las siguientes:
Para conservar la integridad de las pruebas, los investigadores hacen copias de los datos antes de procesarlos. Protegen los originales para que no se puedan manipular y el resto de la investigación se centra en las copias.
Los investigadores analizan los datos en busca de indicios de actividad de ciberdelincuentes, como e-mails de phishing, archivos modificados y conexiones sospechosas.
Los investigadores utilizan técnicas forenses para procesar, correlacionar y extraer información de las pruebas digitales. Los investigadores también pueden hacer referencia a fuentes de inteligencia de amenazas propietarias y de código abierto para vincular sus hallazgos con autores de amenazas específicos.
Los investigadores elaboran un informe que explica lo que sucedió en el evento de seguridad y, si es posible, identifica a los sospechosos o culpables. El informe puede contener recomendaciones para frustrar futuros ataques. Se puede compartir con las fuerzas policiales, las aseguradoras, los reguladores y otras autoridades.
La respuesta a incidentes se centra en detectar y responder a las brechas de seguridad de datos. El objetivo de la respuesta a incidentes es prevenir los ataques antes de que sucedan y minimizar el costo y la interrupción del negocio de los ataques que ocurren.
Las actividades de respuesta a incidentes están orientadas por los planes de respuesta a incidentes (IRP), que describen cómo el equipo de respuesta a incidentes debe abordar las ciberamenazas. El proceso de respuesta a incidentes consta de seis pasos estándar:
Cuando el análisis forense digital y la respuesta a incidentes se realizan por separado, pueden interferir entre sí. Los investigadores de respuesta a incidentes pueden alterar o destruir las pruebas mientras eliminan la amenaza de la red. Además, los investigadores forenses pueden retrasar la resolución de la amenaza mientras buscan pruebas. También es posible que los equipos no consigan compartir la información entre ellos de forma fluida, lo que restaría eficiencia a ambos.
Los servicios DFIR combinan las dos disciplinas en un único proceso comandado por un equipo. Esto produce dos ventajas importantes:
La recopilación de datos forenses se realiza junto con la reducción de amenazas. Durante el proceso DFIR, los investigadores de respuesta a incidentes emplean técnicas forenses para recopilar y conservar las pruebas digitales a la vez que contienen y erradican la amenaza. Así, se garantiza que se respete la cadena de custodia y que las iniciativas de respuesta a incidentes no alteren ni destruyan valiosas pruebas.
La revisión tras el incidente incluye el examen de las pruebas digitales. Los servicios DFIR usan las pruebas digitales para examinar a fondo los incidentes de seguridad. Los equipos de DFIR examinan y analizan las pruebas que han recopilado para reconstruir el incidente de principio a fin. El proceso de DFIR termina con un informe que detalla qué sucedió, cómo sucedió, la magnitud total del daño y cómo se pueden evitar ataques similares en el futuro.
Los beneficios resultantes son:
En algunas empresas, DFIR está a cargo del equipo interno de respuesta a incidentes y seguridad informática (CSIRT), también conocido como equipo de respuesta a emergencias informáticas (CERT). Entre los miembros del CSIRT, se pueden encontrar el director de seguridad de la información (CISO), el centro de operaciones de seguridad (SOC) y miembros del personal de TI, líderes ejecutivos y otros stakeholders de la empresa.
Muchas empresas no disponen de recursos para encargarse de todo lo que conllevan los servicios DFIR. En ese caso, pueden contratar servicios de DFIR de terceros que trabajen en base a honorarios.
Los expertos en servicios DFIR, ya sean internos o externos, utilizan las mismas herramientas DFIR para detectar, investigar y resolver las amenazas. Estas incluyen:
Gestión de eventos e información de seguridad (SIEM): SIEM recopila y correlaciona los datos del evento de seguridad con las herramientas de seguridad y otros dispositivos en la red.
Orquestación, automatización y respuesta de seguridad (SOAR): SOAR permite a los equipos de DFIR recopilar y analizar datos de seguridad, definir los flujos de respuesta a incidentes y automatizar las tareas de seguridad repetitivas y de bajo nivel.
Detección y respuesta de puntos finales (EDR): EDR integra las herramientas de seguridad de puntos finales y usa la analítica en tiempo real y la automatización basada en IA para proteger a las organizaciones contra las ciberamenazas que superan el software antivirus y otras tecnologías tradicionales de seguridad de puntos finales.
Detección y respuesta extendidas (XDR): XDR es una arquitectura de ciberseguridad abierta que integra herramientas de seguridad y unifica las operaciones de seguridad en todas las capas de seguridad: usuarios, puntos finales, e-mail, aplicaciones, redes, cargas de trabajo en la nube y datos. Al eliminar las lagunas en la visibilidad entre las herramientas, XDR ayuda a los equipos de seguridad a detectar y resolver las amenazas de manera más rápida y eficiente, y a limitar los daños que causan.
Detecte, contenga y recupérese de los ataques con preparación de respuesta a incidentes (IR) y servicios de IR de emergencia 24x7 para reducir los impactos de las brechas de seguridad de datos.
Identifique y evite que las amenazas y las vulnerabilidades graves interrumpan en las operaciones de la empresa.
Detecte las amenazas ocultas antes de que sea demasiado tarde con visibilidad de red y analítica avanzada.
Descubra las últimas tendencias y novedades de inteligencia de amenazas en seguridad de la nube y descubra cómo mejorar su posición de seguridad utilizando insights de IBM Security X-Force.
El camino hacia una respuesta orquestada a las incidencias comienza con la capacitación de las personas, el desarrollo de un proceso consistente, capaz de ser repetido, y el consiguiente aprovechamiento de la tecnología para una mejor ejecución. Esta guía destaca los pasos clave para crear una sólida funcionalidad de respuesta a incidentes.
Un plan formal de respuesta a incidentes permite a los equipos de seguridad cibernética limitar o prevenir daños por ciberataques o brechas de seguridad.
La gestión de eventos e información de seguridad (SIEM) ofrece supervisión y análisis de eventos en tiempo real, así como seguimiento y registro de datos de seguridad con fines de conformidad y auditoría.
La inteligencia de amenazas es información detallada y accionable de amenazas para prevenir y combatir las ciberamenazas dirigidas a una organización.
El ransomware retiene los dispositivos y los datos de las víctimas como rehenes hasta que se paga un rescate. Descubra cómo funciona el ransomware, por qué se ha proliferado en los últimos años y cómo las organizaciones se defienden de él.