Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

04 febrero 2016

Gestión de Incidentes: adquisición de evidencias forenses (I)


Cuando comentabamos el ciclo de vida de la gestión de incidentes, dijimos que, tras la detección y el triaje, venían las fases de contención y análisis

Cuando estamos tratando de contener los efectos de un incidente, no debemos olvidar lo importante que es preservar las evidencias para poder hacer un análisis que nos permita analizar qué ha sucedido exactamente. De otro modo, podríamos estar cerrando en falso el incidente, si no sabemos exactamente qué daño nos han hecho (o nos pueden hacer en el futuro) y nos limitamos a restaurar equipos y datos.

En este sentido, la ISO 27037 es muy útil porque provee una guía para la identificación, recuperación, adquisición y conservación de las evidencias digitales. 
Una de las cosas que define esta guía es el papel que desempeñan los DEFR y los DES. El DEFR (Digital Evidence First Responder) es el encargado de dar una respuesta temprana ante un incidente, llevando a cabo la recolección, adquisición y custodia de evidencias digitales. Tiene que tener una serie de habilidades y competencias básicas (definidas en el Anexo A) que le permitan realizar dichas tareas con la debida autoridad. Bajo ciertas circunstancias, algunas de estas tareas pueden ser realiazadas por un DES (Digital Evidence Specialist), especialista en la recogida de evidencias digitales que tiene unos conocimientos técnicos, aunque no cuenta con la misma autoridad y cualificación que el DEFR.


Algunas partes especialmente interesantes de esta guía son el punto 5.4.4. Acquisition, el punto 6 Key components of identification, collection, acquisition and preservation of digital evidence y el punto 7.1.2 Collection. Del punto 6, cabe resaltar sobre todo el apartado 8 (Prioritzing collection and acquisition) donde se hace una distinción entre las evidencias volátiles (que pueden desaparecer) y las no volátiles (que permanecen).




Otras guías muy útiles para la recuperación de evidencias forenses son Guidelines on Mobile Forensics, del NIST, y Good Practice Guide for Computer-Based Electronic Evidence, de la Association of Chief Police Officers (ACPO). Pero éstas ya las explicaremos otro día.


No hay comentarios:

Publicar un comentario

A penny for your thoughts