Beruflich Dokumente
Kultur Dokumente
• Clase 1 a 4
• Enfoque
• Las actividades de Análisis Forense y Auditoría en un CSIRT
• Seguridad perimetral
• Seguridad en profundidad
• Seguridad convergente
• Zero trust
• Seguridad adaptativa
Seguridad en profundidad
• Definición
• Objetivo
• https://www.cio.com.au/article/569410/case-study-when-hacker-
destroys-your-business/
Agenda
• Introducción
• http://www.iso27001security.com/ISO27k_Standards_listing.docx
• https://www.iso.org/home.html
• http://www.iso27001security.com/html/iso27000.html
• http://www.iso27001security.com/ISO27k_Standards_listing.pdf
• https://www.nist.gov/itl/ssd/software-quality-group/computer-forensics-tool-
testing-program-cftt
• https://www.isaca.org/KNOWLEDGE-CENTER/STANDARDS/Pages/default.aspx
Estándares y buenas prácticas
• Identificación
• Adquisición
• Examen
• Análisis
• Presentación
Introducción
• Investigación --- 5WH formula
• Who: Persons involved in the investigation, including suspects, witnesses, and victims
• Where: The location of the crime and other relevant locations
• What: Description of the facts of the crime in question
• When: The time of the crime and other related events
• Why: The motivation for the crime and why it happened at a given time
• How: How the crime was committed.
Proceso Forense
• Adquisición
• Examen
• Análisis
• Presentación
• Black Hole Faraday Bag - RF Signal Isolation for Forensics, Large Window Size -
Signal Blocking, Anti-tracking, Anti-spying, Radiation protection for Cell
Phones, Key Fobs and Credit Cards
• https://digitalintelligence.com/products/overview#specialty-devices
• https://www.forensiccomputers.com/
• https://www.cellebrite.com/en/home/
• https://www.msab.com/products/xry/
• https://www.sirchie.com/
• https://www.sirchie.com/digital.html
Identificar
• Laboratorio (ej ISO 17025 para UK)
• FR o DEFR
• ISO/IEC 27037:2012 Information technology -- Security techniques -- Guidelines for
identification, collection, acquisition and preservation of digital evidence
• Todas las escenas son distintas
• Pueden existir múltiples fuentes de evidencias
• SOPs (standard operating procedures)
• Deben estar presentes en la organización
• Proveer un guía estructurada para las actividades de identificación de las evidencias, debe estar
documentado al detalle y enfocado claramente a mantener la integridad de la evidencia.
• La escena de un incidente
• Los lugares donde ocurrió el hecho o se encontró la evidencia
• El tipo de organización
• Ojo, no necesariamente tiene que se forense del tipo post-mortem
• Verificar la conectividad – caso de ejemplo
Identificar
• Tareas de preservación – Cadena de custodia. Importancia.
Documentación
• La persona que esta manejando la evidencia.
• Los procesos y procedimiento realizados.
• La fecha y hora de adquisición de la evidencia.
• Método de recolección, examen y análisis.
• El motivo por el que se tomaron las pruebas.
• Live & Dead Systems
Proceso Forense
• Identificación
• Adquisición
• Examen
• Análisis
• Presentación
• Adquisición
• Examen
• Análisis
• Presentación
• Adquisición
• Examen
• Análisis
• Presentación
• Adquisición
• Examen
• Análisis
• Presentación