La fase de
identificación: se refiere a la
recopilación de información necesaria para trabajar sobre la fuente de datos
presentada por el administrador de los servidores donde se debe prever los
desafíos que se pasaran durante los procesos de las fases de preservación y
extracción entre las etapas tenemos:
Levantamiento de
información inicial para el Análisis Forense
Es un documento donde
el administrador del equipo afectado notifica de la ejecución de un incidente y
para ello solicita al equipo de seguridad la revisión del mismo.
Asegurar la escena
Para asegurar los
procesos como las herramientas a utilizar sean las más idóneas se debe contar
con un personal idóneo a quien se le pueda asignar la conducción del proceso
forense, para ello el equipo de seguridad debe estar capacitado y entender a
fondo la metodología.
Fase de Validación y preservación
Es imprescindible
definir los métodos adecuados para el almacenamiento y etiquetado de las
evidencias por tanto se definen las siguientes etapas:
Copias de la
evidencia
Se debe realizar dos
copias de las evidencias obtenidas, generar también una suma de comprobación de
la integridad de cada copia mediante el empleo de funciones hash tales como MD5
o SHA1.
Cadena de custodia
Se establecen las responsabilidades
y controles de cada una de las personas que manipulen la evidencia.
Fase de Análisis
Se dispone de las
evidencias digitales recopiladas y almacenadas de forma adecuada se inicia la
fase más laboriosa, el Análisis Forense propiamente dicho, cuyo objetivo es
reconstruir con todos los datos disponibles la línea temporal del ataque, determinando la cadena de acontecimientos que
tuvieron lugar desde el inicio del ataque, hasta el momento de su
descubrimiento y cuenta con las siguientes etapas:
Preparación para el análisis
Reconstrucción del ataque
Determinación del ataque
Identificación del atacante
Perfil del atacante
Evaluación del impacto causado al sistema
Fase de Documentación y Presentación de las pruebas
Es muy importante
comenzar a tomar notas sobre todas las actividades que se lleven a cabo. Cada
paso dado debe ser documentado y fechado desde que se descubre el incidente
hasta que finaliza el proceso de análisis forense, esto permitirá ser más
eficiente y efectivo al tiempo que se reducirá las posibilidades de error a la
hora de gestionar el incidente y consta de las siguientes etapas.
Utilización de formularios de registro del incidente
Informe Técnico
Informe Ejecutivo