Diferència entre revisions de la pàgina «Anàlisi Forense»
| Línia 19: | Línia 19: | ||
L'anàlisi forense es porta a terme ja sigui per investigadors interns o subcontractant una empresa especialitzada per part de les organitzacions que porten a terme una '''anàlisi exhaustiu''' o '''auditoria forense'''. Auditoria és més intensa tot i que en la pràctica la diferència entre els dos termes és molt petita. | L'anàlisi forense es porta a terme ja sigui per investigadors interns o subcontractant una empresa especialitzada per part de les organitzacions que porten a terme una '''anàlisi exhaustiu''' o '''auditoria forense'''. Auditoria és més intensa tot i que en la pràctica la diferència entre els dos termes és molt petita. | ||
Quan s'està realitzant una anàlisi forense s'intenta | |||
respondre a les següents preguntes: | |||
• Qui ha realitzat l'atac? | |||
• Com es va realitzar? | |||
• Quines vulnerabilitats s'han explotat? | |||
• Què va fer l'intrús una vegada que va accedir al sistema? | |||
• Etc. | |||
== '''Pasos Inicials''' == | |||
El procediment utilitzat per dur a terme una anàlisi forense és el següent: | |||
* '''Estudi preliminar''': En aquesta fase es realitza un estudi inicial mitjançant entrevistes i documentació lliurada pel client amb l'objectiu de tenir una idea inicial del problema que ens anem a trobar. | |||
* '''Adquisició de dades''': Es realitza una obtenció de les dades i informacions essencials per a la recerca. Es dupliquen o clonen els dispositius implicats per a una posterior anàlisi. En aquesta fase caldrà tenir molta cura en l'adquisició de les dades posat que cap la possibilitat d'incomplir els drets fonamentals de l'atacant. | |||
* '''Anàlisi i recerca''': Es realitza un estudi amb les dades adquirides en la fase anterior. En aquesta fase també caldrà tenir molta cura posada que cap la possibilitat d'incomplir els drets fonamentals de l'atacant. | |||
* '''Realització de l'informe''': En aquesta fase s'elabora l'informe que serà remès a l'adreça de l'organització o empresa. Posteriorment, es podrà usar per acompanyar la denúncia que realitzem a l'autoritat competent. | |||
=== '''Adquisició de dades''' == | |||
L'adquisició de dades és una de les activitats més crítiques en l'anàlisi forense. Aquesta criticidad és deguda al fet que, si es realitzés malament, tota l'anàlisi i recerca posterior no seria vàlid a causa que la informació sortiria amb impureses, és a dir, la informació que creiem que és de l'origen no ho és realment. | |||
Una vegada que s'ha detectat un incident de seguretat, un dels primers problemes de l'analista en la recollida de dades es resumeix a dir si l'equip cal apagar-ho o no. | |||
Si pensem una mica, la resposta és evident: '''NO!!''' | |||
==== '''Per què no? '''==== | |||
Perquè les conseqüències poden ser vàries: | |||
* perdre evidències que estiguin en la memòria volàtil | |||
* veure els usuaris connectats | |||
* veure els processos en execució | |||
* conèixer les connexions existents | |||
* etc. | |||
[[Categoria:ASIX]] | |||
[[Categoria:Seguretat Informàtica]] | |||
Revisió del 13:44, 10 abr 2018
Introducció
Què és l'Anàlisi Forense?
L'anàlisi forense és un anàlisi en profunditat, l'objectiu del qual és identificar i documentar objectivament els culpables, les raons, el camí i les conseqüències d'un incident de seguretat o violació de les lleis o regles d'una organització.
Bàsicament, l'anàlisi forense investiga un delicte o crim (mostra qui, com i quan alguna cosa es va produir). Sovint es vincula amb l'evidència en un judici, especialment en matèria penal. Això implica l'ús d'un ampli espectre de tecnologies i procediments d'investigació i mètodes.
Els especialistes forenses recullen diferents tipus d'informació, treballen tant amb dispositius electrònics com amb la forma tradicional amb la informació sobre paper. L'Anàlisi Forense es basa en la Ciència Forense.
El resultat de l'Anàlisi Forense és una prova pericial que té valor probatori en processos judicials.
L'anàlisi forense s'utilitza en una gran varietat de camps, des de la criminologia a investigacions internes d'incidents dins d'una organització. Cadascun d'ells té els seus propis mètodes d'investigació forense.
L'anàlisi forense es porta a terme ja sigui per investigadors interns o subcontractant una empresa especialitzada per part de les organitzacions que porten a terme una anàlisi exhaustiu o auditoria forense. Auditoria és més intensa tot i que en la pràctica la diferència entre els dos termes és molt petita.
Quan s'està realitzant una anàlisi forense s'intenta respondre a les següents preguntes: • Qui ha realitzat l'atac? • Com es va realitzar? • Quines vulnerabilitats s'han explotat? • Què va fer l'intrús una vegada que va accedir al sistema? • Etc.
Pasos Inicials
El procediment utilitzat per dur a terme una anàlisi forense és el següent:
- Estudi preliminar: En aquesta fase es realitza un estudi inicial mitjançant entrevistes i documentació lliurada pel client amb l'objectiu de tenir una idea inicial del problema que ens anem a trobar.
- Adquisició de dades: Es realitza una obtenció de les dades i informacions essencials per a la recerca. Es dupliquen o clonen els dispositius implicats per a una posterior anàlisi. En aquesta fase caldrà tenir molta cura en l'adquisició de les dades posat que cap la possibilitat d'incomplir els drets fonamentals de l'atacant.
- Anàlisi i recerca: Es realitza un estudi amb les dades adquirides en la fase anterior. En aquesta fase també caldrà tenir molta cura posada que cap la possibilitat d'incomplir els drets fonamentals de l'atacant.
- Realització de l'informe: En aquesta fase s'elabora l'informe que serà remès a l'adreça de l'organització o empresa. Posteriorment, es podrà usar per acompanyar la denúncia que realitzem a l'autoritat competent.
= Adquisició de dades
L'adquisició de dades és una de les activitats més crítiques en l'anàlisi forense. Aquesta criticidad és deguda al fet que, si es realitzés malament, tota l'anàlisi i recerca posterior no seria vàlid a causa que la informació sortiria amb impureses, és a dir, la informació que creiem que és de l'origen no ho és realment.
Una vegada que s'ha detectat un incident de seguretat, un dels primers problemes de l'analista en la recollida de dades es resumeix a dir si l'equip cal apagar-ho o no.
Si pensem una mica, la resposta és evident: NO!!
Per què no?
Perquè les conseqüències poden ser vàries:
- perdre evidències que estiguin en la memòria volàtil
- veure els usuaris connectats
- veure els processos en execució
- conèixer les connexions existents
- etc.
