Please enable JavaScript.
Coggle requires JavaScript to display documents.
Informática Forense Digital - Coggle Diagram
Informática Forense Digital
Proceso de Informática Forense
Paso 01: Recopilación
Consiste en la identificación de posibles fuentes de datos forenses y la obtención, el manejo y el almacenamiento de esos datos.
Paso 02: Examen
Implica evaluar y extraer información relevante de los datos recopilados.
Paso 03: Análisis
Esto implica sacar conclusiones de los datos y se deben documentar las características salientes.
Personas
Lugares
Horas
Eventos
Otras
Paso 04: Generación de Informes
Implica preparar y presentar la información que resulte del análisis.
Tipos de Evidencia
Mejor evidencia
Esta evidencia podrían ser los dispositivos de almacenamiento utilizados por un acusado.
Archivos que se pueda probar que no fueron alterados.
Evidencia confirmatoria
Evidencia que respalda una afirmación desarrollada a partir de la mejor evidencia.
Evidencia indirecta
Combinada con otros hechos, establece una hipótesis.
También se conoce como evidencia circunstancial.
Orden de Recopilación de Evidencia
Un ejemplo de la recolección de evidencia ordenado por la más volátil a la menos volátil
Registros de memoria, cache
Tabla de enrutamiento, ARP cache, tabla de procesamiento, estadísticas del Kernel, RAM
Sistema temporal de archivos
Medio no-volátil, fijo y retirable
Inicio de sesión remota y monitoreo de datos
Interconexiones físicas y topologías
Medios de almacenamiento, tape u otros de respaldo
Integridad y preservación de los datos
Al recopilar datos, es importante que se conserven en su estado original.
Deberá registrarse el proceso utilizado para crear copias de la evidencia que se utiliza en la investigación.
Es importante archivar y proteger el disco original para mantenerlo en su condición original.
El seguimiento de estos procesos garantizará que se conserven todas las pruebas de conducta ilícita
Cadena de eliminación cibernética
Paso 01: Reconocimiento
Investigación con información del objetivo.
Paso 02: Preparación
Combinación de malware remoto con puerta trasera para crear una carga útil.
Paso 03: Entregar
Prestación del arma a la víctima a través de correo electrónico u otros medios.
Paso 04: Aprovechamiento
Ejecutar el codigo en sistemas vulnerables mediante la activación del código.
Paso 05: Instalación
Instalación de una puerta trasera en el destino para instalar malware.
Paso 06: Comando y Control
Se crea un canal de comando del servidor externo para manipular el objetivo.
Paso 07: Acciones sobre objetivos
El atacante utiliza un acceso de tipo "manos en el teclado" para alcanzar el objetivo del ataque.
Modelo Diamante
Existe cuatro características principales de un evento de intrusión
Adversario
Son los responsables de la intrusión.
Capacidad
Se trata de una herramienta o técnica que utiliza el adversario para atacar a la víctima.
Infraestructura
Esta es la ruta o rutas de red que los adversarios utilizan para establecer y mantener el comando y control de sus funcionalidades.
Víctima
Es el objetivo del ataque. Sin embargo, la víctima podría ser el objetivo inicial y, luego, el atacante puede utilizarla como parte de la infraestructura para iniciar otros ataques.
Hay metacaracterísticas que amplían un poco el modelo para incluir los siguientes elementos importantes:
Marca de hora
Indica la hora de inicio y fin de un evento.
Fase
Este concepto es análogo al de los pasos en la cadena de ciber eliminación (Cyber Kill Chain).
Resultado
Define lo que el adversario obtuvo en el evento.
Dirección
Indica la dirección del evento en el modelo de diamante.
Metodología
Se utiliza para clasificar el tipo general del evento, como exploración de puertos, suplantación de identidad, ataque de entrega de contenido, saturación SYN, etc.
Recursos
Uno o más recursos externos utilizados por el adversario para el evento de intrusión, como software, conocimiento del adversario, información y activos para llevar a cabo el ataque.
Respuesta ante los incidentes
Implica los métodos, políticas y procedimientos que utiliza una organización para responder a un ataque cibernético.
Elementos de la política
Declaración del compromiso de la gerencia
Propósito y objetivos de la política
Alcance de la política
Otros
Elementos del plan
Misión
Estrategias y metas
Aprobación de la cúpula gerencial
Otros
Elementos del procedimiento
Procesos técnicos
Usar técnicas
Rellenar formularios
Siguiendo listas de comprobación
Los objetivos de la respuesta ante incidentes son limitar el impacto del ataque, evaluar los daños causados e implementar procedimientos de recuperación.
El estándar 61r2 800 del NIST proporciona pautas para el manejo de incidentes, especialmente para analizar datos relacionados con el incidente y determinar la respuesta adecuada para cada incidente.