Cómo la nube cambió las investigaciones forenses digitales



Con más organizaciones migrando a la nube para almacenamiento, aplicaciones y procesamiento, los investigadores forenses digitales requieren cada vez más nuevas herramientas y técnicas capaces de realizar investigaciones en sistemas a los que no tienen acceso físico.

Atrás quedaron, en su mayor parte, los días en que el investigador forense podía sacar el disco duro de un servidor regional para obtener una imagen forense y simplemente analizarla en busca de pistas sobre lo que sucedió. Las evaluaciones prácticas de pruebas físicas, que antes eran la norma en las investigaciones forenses, ahora son la excepción. La crimson actual basada en la nube podría ubicarse en casi cualquier lugar: para las infraestructuras en la nube de la Unión Europea, los servidores generalmente deben estar en el mismo país donde se crearon los datos, pero eso es lo más específico que establece la ley. En su mayor parte, los investigadores no tienen acceso directo a los servidores.

En cambio, las empresas deben trabajar con sus proveedores de la nube por adelantado para articular claramente qué acceso pueden tener antes de que ocurra un evento, dice Thomas Brittain, ex director gerente de riesgo cibernético en Kroll, quien recientemente se unió a Amazon World-wide-web Expert services como líder de seguridad para la respuesta en la nube. .

Por ejemplo, pregúntele al proveedor de la nube por adelantado sobre cualquier limitación durante una investigación, recomienda Brittain. Las preguntas incluyen: ¿Qué registro o fuentes de registro están disponibles de cada uno de sus proveedores de nube? ¿Cómo se asegura de que su private tenga la capacitación y la comprensión para realizar una investigación en ese entorno de nube?

Teniendo en cuenta que los investigadores no tendrán acceso físico a las unidades de disco comprometidas, las empresas deben asegurarse de antemano de que los investigadores tendrán la capacidad de obtener una imagen forense del disco duro incluso sin tener acceso físico genuine. Eso puede significar que el particular del proveedor tendría que crear y proporcionar la imagen a los investigadores, o el proveedor permitiría a los investigadores acceso virtual a los dispositivos comprometidos.

Herramientas forenses preparadas para la nube

Se necesitan nuevas herramientas y técnicas de análisis forense electronic para descubrir evidencia electrónica para procesarla en inteligencia procesable para violaciones de datos basados ​​en la nube, ataques de ransomware y otros casos de malversación.-

Debido a que no existen herramientas estandarizadas diseñadas para satisfacer las necesidades de crimson de todos los proveedores de nube, muchos equipos forenses desarrollan aplicaciones personalizadas. Pero todavía hay un problema. “Es una locura tratar de descubrir una capacitación estandarizada, no hay, no hay herramientas estandarizadas”, dice Brittain.

«Tuvimos que adaptarnos desde un punto de vista más forense a más una respuesta instantánea en el triaje», coincide. Aaron Crawford, consultor sénior de seguridad de NCC Group’s North America Incident Response. “Las líneas entre el triaje y el análisis forense se han desdibujado por completo con la introducción de la nube. Es aún más complicado porque existen varios tipos de nubes y proveedores como Tencent, Google, Amazon y Microsoft, los Cuatro Grandes principales que existen”.

Crawford también reconoce la falta de herramientas estándar de la industria. “Tuvimos que convertirnos en nuestros propios herreros ahora. Hemos tenido que escribir nuestras propias herramientas [and] crear nuestras propias soluciones personalizadas para abordar muchos de estos problemas y ayudar a aliviar la carga de nuestros clientes”, dice. “Una de las cosas más importantes que ha cambiado es que la inmediatez de la información y las actualizaciones es absolutamente essential. Y eso se debe a que el panorama de las amenazas cambió. El panorama de amenazas se volvió significativamente más malicioso y las repercusiones son incluso mayores que antes”.

Si bien los equipos forenses están creando herramientas para los diversos entornos, también deben asegurarse de que sus herramientas interoperen con las herramientas de seguridad existentes. Las herramientas personalizadas deben ser “sostenibles, explicables, [and] repetible Si voy a la corte como testigo experto, tengo que asegurarme de que esas herramientas sean repetibles, que puedan entenderlas y que alguien más que yo pueda usarlas”.

Wayne Johnson, director de International Cyber ​​Incident Response y líder de la práctica forense en Protiviti, también ve desafíos y posibilidades con las herramientas forenses personalizadas. “Desde una perspectiva de interoperabilidad, creo que corresponde a aquellos que están creando esas herramientas únicas, [that] a medida que cambian los diferentes lenguajes de codificación, a medida que aumentan las diferentes capacidades de codificación, el dominio de la ciencia forense electronic tiene que poder moverse con ellos correctamente y ser capaz de comprenderlos», dice.

“Incluso con las arquitecturas tradicionales que están en las instalaciones, hay muchas organizaciones que todavía tienen su propio código personalizado y aplicaciones personalizadas. Ya sea que estén en la nube o en las instalaciones, se aplica el mismo concepto”.

Solicitud de apoyo de la junta

A medida que crece la superficie de ataque, en parte debido a la explosión de dispositivos de Internet de las cosas (IoT), los expertos en seguridad cibernética necesitan un lugar en la mesa con la junta directiva y los asesores generales, señala Johnson. En última instancia, la combinación de las capacidades de análisis forense digital con la respuesta a incidentes es «un área en la que realmente hemos visto que la junta directiva se da cuenta y se da cuenta de que definitivamente hay una conversación allí».

El beneficio adicional de tener un miembro de la junta con conocimientos cibernéticos es ayudar a los otros miembros de la junta a «comprender e interpretar lo que viene del CISO y el CIO». La incorporación de expertos en seguridad cibernética en la junta, combinados con un abogado normal con conocimientos cibernéticos, reforzará aún más la comprensión de la junta sobre lo que la seguridad cibernética y el análisis forense pueden hacer para proteger los activos corporativos.

“Creo que estamos viendo, estamos viendo que comienzan a surgir tableros mucho más sofisticados y cibernéticos a medida que comienzas a buscar en varias industrias”, dice Johnson.



Enlace a la noticia original