Un equipo de DFIR especializado puede ayudarte a detectar fallos de seguridad para evitar posibles ataques informáticos que perjudiquen a tu empresa. Cuando nos preguntamos qué es DFIR nos referimos a las siglas en inglés que se traducen como Análisis Forense Digital y Respuesta ante Incidentes, una técnica que proviene de la informática forense.
En este artículo te explicamos en qué consiste el DFIR y cómo funcionan sus procedimientos, quienes se encargan de llevarlo a cabo y por qué es tan importante tenerlo en cuenta.
El Análisis Forense Digital y Respuesta ante incidentes
Las siglas DFIR en inglés significan Digital Forense & Incident Response, lo que en español traducimos como Análisis Forense Digital y Respuesta ante Incidentes.
Podemos definir la Respuesta ante Incidentes (IR) como aquella disciplina de la ciberseguridad y la rama de la informática forense que busca determinar el origen y alcance de un incidente de seguridad. Una vez hecho esto se definen políticas de ciberseguridad eficaces y mejoradas que eviten su propagación o bien una posible reinfección.
El DFIR consiste entonces en el análisis forense digital de un sistema o equipo informático para detectar fallos de seguridad y así prevenir posibles ataques informáticos.
Esta técnica se complementa con la respuesta ante incidentes, que involucra todos aquellos procedimientos que tienen como consecuencia eventos de seguridad.
El responsable del DFIR es el llamado forense informático, cuya figura esencial dentro de la empresa se encarga de dos tareas fundamentales. La primera es hacer frente a ataques informáticos. Mientras que la segunda se centra en realizar las oportunas investigaciones y análisis para obtener información que pueda ser utilizada, en su caso, en un procedimiento judicial. Este último rol también se conoce como perito informático.
Esta figura también está cualificada para de realizar extracciones y análisis de información de equipos y sistemas informáticos sin alterar su estado original. Es decir, puede analizar una evidencia sin manipularla evitando así su impugnación en un posible procedimiento judicial.
¿Cómo funciona un DFIR?
El equipo de DFIR debe contar con profesionales capaces de dar una rápida respuesta ante incidentes de ciberseguridad. Su trabajo consiste en investigar y resolver cualquier incidente que pueda afectar a la entidad u organización.
De esta manera, el equipo de DFIR actúa en 6 etapas diferentes hasta llegar al resultado final:
- Preparación: se prepara a la entidad para dar respuesta a incidencias conocidas de ciberseguridad estableciendo políticas de seguridad adecuadas
- Identificación: se detectan posibles incidentes de seguridad, ataques ocurridos con anterioridad, niveles de riesgo, entre otros aspectos.
- Contención: los informáticos forenses, una vez que identifican el ataque o riesgo, intentarán contenerlos rápidamente para evitar así su propagación por todo el sistema.
- Soluciones: al detectar los ataques se establece un plan para corregir el problema.
- Recuperación: basándose en las políticas de seguridad establecidas, se empiezan a reanudar operaciones, aunque siempre bajo el monitoreo del equipo de DFIR.
- Informes: el responsable del equipo de DFIR debe realizar los informes sobre los riesgos y ataques detectados, así como actualizar el plan de actuación para la resolución de problemas.
Composición del equipo DFIR
Como decíamos anteriormente, cuando nos preguntamos qué es DFIR, también nos referimos al conjunto de profesionales multidisciplinares que integran esta disciplina.
Al buscar perfiles de esta rama, es ideal que sean profesionales senior en su mayoría, y que su trayectoria profesional haya estado siempre ligada a la seguridad en cualquiera de sus especialidades.
Esta diversidad de roles permite estar preparados ante cualquier evolución de las técnicas, tácticas y procedimientos ofensivos y métodos anti-forenses de los atacantes. Además, siempre se tienen en cuenta las características concretas del actor y el ataque.
Por ejemplo, en el caso de los incidentes de seguridad con uso de ransomware, es necesario combinar recursos de distintos grupos como un equipo DFIR, Threat Hunting y Threat Intel.
Sin embargo, y dentro de estas disciplinas, DFIR cuenta con tres roles diferenciados que participan de maneras muy concretas dentro del proceso de IR o Respuesta a los Incidentes:
- Incident Handler (IH): Es quien coordina el incidente de seguridad, y hace de enlace entre el cliente y los distintos equipos. Lleva un control y facilita la comunicación, asignando tareas a las distintas partes y asegurando que todo el proceso de IR evolucione de la forma debida.
- Analista Forense: También llamado perito forense y como lo mencionamos al inicio del artículo, es el especialista con capacidad de realizar investigaciones (locales y remotas) sobre cualquier sistema o soporte con información. Su objetivo es obtener evidencias que permitan avanzar durante la investigación.
- Analista de Malware: Es el especialista que realiza análisis estáticos y dinámicos sobre virus y otros artefactos maliciosos que se podrán encontrar en los equipos procesados por el analista forense, el role Threat-hunter o por el propio cliente.
Diferencias entre la respuesta ante incidentes (DFIR) y el peritaje informático
Existen notables diferencias entre el análisis forense practicado en la “respuesta ante incidentes” y el practicado en un peritaje informático.
A continuación, enumeramos algunas de ellas y cómo se utiliza cada una según el objetivo a analizar.
El DFIR trabaja sobre sistemas o máquinas “vivas”
En la “respuesta ante incidentes” se trabaja sobre sistemas en funcionamiento, por lo que se necesita una respuesta rápida, para encontrar el origen del problema y una solución.
Para ello, es necesario utilizar programas informáticos capaces de realizar lo que se denomina como “triaje”. Nos referimos a la obtención de información vital del sistema que, posteriormente, pueda ser analizada por el perito informático. Estos programas informáticos, capaces de realizar “triaje”, pueden ser ejecutados desde la memoria RAM de la máquina, al objeto de dejar el menor rastro posible.
En cambio, en el peritaje informático, el perito informático trabaja habitualmente con sistemas “muertos”, es decir, apagados. Esto se debe a que las evidencias deben ser adquiridas o clonadas ante un fedatario público (habitualmente, un notario, aunque también podría ser un secretario judicial), que otorgue fe de la huella digital de las evidencias.
Nunca se puede trabajar directamente con las evidencias originales. La clonación de las evidencias ante fedatario público garantiza la preservación de la cadena de custodia en el marco del peritaje informático.
El mantenimiento mediante técnicas DFIR es más dificultoso
Es muy importante señalar que la aplicación de un software de mantenimiento de la cadena de custodia, desde una disciplina DFIR, resulta un poco difícil, ya que es necesario trabajar con las máquinas directamente.
En el peritaje informático se trabaja con copias clónicas de los discos duros y/o evidencias, obtenidas ante fedatario público, que otorga fe de las huellas digitales de las mismas.
El trabajar con las máquinas e instalar programas en estas, contamina las evidencias e implica la pérdida en la cadena de custodia de las mismas. Por lo que judicializar el procedimiento y que la misma prospere será muy difícil, ya que siempre se tendrá enfrente un peritaje informático que señale que las evidencias fueron contaminadas durante el análisis forense.
Si un perito informático utiliza técnicas DFIR para la realización de un análisis forense, podrá ser acusado por la parte contraria, de haber alterado las evidencias al trabajar directamente sobre las mismas. En este caso es necesaria la adopción de medidas de carácter técnico y legal para que el profesional quede cubierto, como la firma de un acuerdo de descarga de responsabilidades con la parte contratante.
La técnicas DFIR funcionan más rápido pero no se aconsejan en procesos judiciales
Las técnicas DFIR son muy útiles y necesarias cuando se necesita dar una respuesta rápida a la incidencia (es decir, resolverla), sin detener los equipos y con la mínima afectación posible al negocio.
Sin embargo, no son aconsejables en la judicialización de la causa, por lo que, de tener que acudir a los tribunales, es más recomendable que los analistas DFIR encargados de la detección y resolución del incidente, aíslen el paciente cero y, seguidamente, sea el perito informático el que proceda a protocolizar la situación.
Conclusión
Como ya hemos visto a lo largo de este artículo, el DFIR es esencial para proteger a tu empresa de los peligros de la ciberseguridad. Una brecha de seguridad puede tener consecuencias devastadoras para cualquier empresa, como la pérdida de datos confidenciales o el cierre temporal de un negocio.
Frente al aumento del cibercrimen y el robado de datos e información, se hace primordial contar con un equipo capaz de prevenir posibles ataques y hacerles frente con una respuesta de incidencia efectiva. Un buen equipo DFIR te ayuda a determinar las causas de esos incidentes y a tomar medidas para evitar que vuelva a suceder en el futuro.
