QU ES EL ANLISIS FORENSE?
El anlisis forense es un rea perteneciente al mbito de la seguridad informtica surgida a raz del incremento de los diferentes incidentes de seguridad. En el anlisis forense se realiza un anlisis posterior de los incidentes de seguridad, mediante el cual se trata de reconstruir como se ha penetrado o vulnerado en el sistema.
El anlisis forense en un sistema informtico es una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este anlisis puede determinar quin, desde dnde, cmo, cundo y qu acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad. Qu son los incidentes de seguridad?
Preparacin y prevencin
Deteccin del incidente Respuesta inicial
FUENTES DE INFORMACIN
Las fuentes de informacin que se utilizan para realizar un anlisis forense son diversas:
Correos electrnicos. IDS / IPS. Archivo de logs de los cortafuegos. Archivo de logs de los sistemas. Entrevistas con los responsables de seguridad y de los sistemas. Etc.
Anlisis forense de sistemas: en este anlisis se tratarn los incidentes de seguridad acaecidos en servidores y estaciones de trabajo con los sistemas operativos: Mac OS, sistemas operativos de Microsoft (Windows 9X/Me,Windows 2000 server/workstation, Windows 2003 Server, Windows XP, Windows Vista, Windows 2008 Server, etc.), sistemas Unix (Sun OS, SCO Unix, etc.) y sistemas GNU/Linux (Debian, RedHat,Suse, etc.). Anlisis forense de redes: en este tipo se engloba el anlisis de diferentes redes (cableadas, wireless, bluetooth, etc.). Anlisis forense de sistemas embebidos: en dicho tipo se analizaran incidentes acaecidos en mviles, PDA, etc. Un sistema embebido posee una arquitectura semejante a la de un ordenador personal.
Adquisicin de datos
Anlisis e investigacin Redaccin del informe
Adquisicin de datos
Anlisis e investigacin Redaccin del informe
La adquisicin de datos es una de las actividades ms crticas en el anlisis forense. Dicha criticidad es debida a que, si se realizase mal, todo el anlisis e investigacin posterior no sera vlido debido a que la informacin saldra con impurezas, es decir, la informacin que creemos que es del origen no lo es realmente.
Adquisicin de datos
Anlisis e investigacin Redaccin del informe
La fase de anlisis e investigacin de las evidencias digitales es un proceso que requiere obviamente un gran conocimiento de los sistemas a estudiar. Las fuentes de recogida de informacin en esta fase son varias: registros de los sistemas analizados, registro de los detectores de intrusin, registro de los cortafuegos, ficheros del sistema analizado.
Adquisicin de datos
Anlisis e investigacin Redaccin del informe
La redaccin del informe es una tarea ardua a la par que compleja, porque no slo hay que recoger todas las evidencias, indicios y pruebas recabados sino que, adems, hay que explicarlos de una manera clara y sencilla. Hay que tener en cuenta que muchas veces dichos informes van a ser ledos por personas sin conocimientos tcnicos y obviamente tiene que ser igual de riguroso y debe ser entendido, con lo que habr que explicar minuciosamente cada punto.