Descripción
A primera hora, recibes una llamada de un compañero diciendo que no puede acceder a sus documentos. Tu organización ha sido víctima de un ciberataque de tipo Ransomware. Empiezan las dudas, las prisas, lo errores… Parece una pesadilla, pero es algo muy real y es probable que ocurra.
Una vez superada la crisis inicial, te surgen dudas: ¿Qué ha sido? ¿Quién? ¿Por qué? ¿Cuál es el alcance? ¿Cómo debo proceder? ¿Estoy legalmente obligado a informar del ataque? ¿Cómo puedo encontrar el origen? ¿Ha sido una mala praxis del empleado? ¿ …del personal de IT? ¿Cómo adquiero las pruebas de forma legal? ¿Necesito llamar a un perito informático forense? ¿Si hubiese migrado a la nube me hubiera salvado?
Demasiadas preguntas. Esta formación te ayudará a resolverlas.
Podrás conocer las bases de la informática forense, aprender a obtener evidencias digitales y realizar peritaje informático corporativo
Código del Curso: IT-INF-FORENSE
Duración: 25 horas
Modalidad: presencial y online en directo
Objetivos
· Dar a conocer el procedimiento legal que se aplica a una investigación por delito informático, prestando especial interés a la figura del Perito Forense. Los conocimientos que se adquirirán y las técnicas a emplear pueden aplicarse, de igual manera, desde una perspectiva de investigación interna en una organización que puede no trascender al ámbito judicial.
· Aprender los pasos que conforman una investigación informática forense, desde la preservación de la evidencia hasta el informe pericial que deja constancia de los hechos acontecidos.
· Revisar el software comercial y de dominio público utilizado en las investigaciones. Se hará especial hincapié en trabajar con la distribución Caine y la aplicación Autopsy.
· Una vez adquiridos los conocimientos y las técnicas aplicadas a las investigaciones on-premise, pretendemos buscar las equivalencias en los servicios cloud, concretamente como poder realizar un análisis forense por medio de las herramientas del Centro de Seguridad y Cumplimiento de Office 365.
Requisitos
Requisitos obligatorios:
· Conocimientos de administración de los sistemas operativos de Microsoft.
· Conocimientos básicos en técnicas de Hacking.
Requisitos no obligatorios:
· Conocimientos de administración en sistemas operativos basados en Linux.
· Conocimientos de administración de un tenant de Office 365.
· Conocimientos avanzados en técnicas de Hacking y exploit de sistemas.
¿A quién va dirigido?
Personal TIC del área de Seguridad, interesados en determinar las causas y consecuencias de ataques informáticos o comportamientos ilícitos del personal de la organización.
Contenido
1) Conceptos claves usados en la Informática Forense.
- a) ¿Qué es la Informática Forense?
- b) El perito informático Forense.
- c) Definición de delito informático.
- d) ¿Qué es la evidencia digital?
- e) La cadena de custodia.
- f) Consideraciones legales para no invalidar la evidencia.
- g) Normas a aplicar.
- h) Guía de buenas prácticas.
- i) Organismos públicos relevantes.
- j) La Estrategia Nacional de Ciberseguridad 2019.
2) El procedimiento del análisis forense por etapas.
- a) Preservación de las evidencias.
- b) Adquisición de la información.
- c) Documentación y análisis.
- d) Informe de resultados.
3) Conceptos técnicos asociados a la Informática Forense (I)
- a) Función de Hash. Algoritmos que pueden no ser admitidos legalmente.
- b) Espacio asignado (Allocated) y sin asignar (Un-allocated).
- c) Captura de la información en vivo (Dispositivo encendido).
- d) Captura de la información Post-Mortem (Dispositivo apagado).
- e) Las clonaciones físicas y lógicas.
- f) Técnicas de borrado de información y posibilidad de recuperación.
4) Conceptos técnicos asociados a la Informática Forense (II)
- a) Definición de Artefacto Forense.
- b) Memoria RAM, archivos de paginación y de hibernación.
- c) Logs del sistema y auditoría local.
- d) Metadatos de archivos.
- e) Uso de Internet y las comunicaciones.
5) Software usado en Informática Forense.
- a) Software propietario más utilizado: EnCase.
- b) Software libre. Ventajas e inconvenientes.
- c) Distribuciones Forenses de Open Souce.
6) Despliegue y uso del software forense (I)
- a) Creación de un laboratorio con máquinas virtuales.
- b) FTK Imager para Windows.
- c) Instalación y descripción de la distribución Caine.
- d) Preservar la evidencia con bloqueadores de escritura.
- e) Instalación de Caine en USB con Rufus para adquisición Post-Mortem.
- f) Adquisición de la información con GUYMAGER.
7) Despliegue y uso del software forense (II) (Autopsy)
- a) La herramienta Autopsy.
- b) Los módulos de ingestión de la información.
- c) Análisis de la información.
- d) Adquisición en sistemas vivos.
- e) Interpretación del “Score”
- f) Etiquetado manual de la información en categorías.
- g) El filtro de ingestión de hash. Etiquetado automático STIX y CybOX.
- h) El proyecto VIC. Importación manual de hashsets.
- i) Autopsy y el procedimiento de triaje en vivo por medio de USB.
8) Despliegue y uso del software forense (III) (Casos de uso)
- a) Práctica “Reto Avión”.
- b) Práctica “Reto BarceLonas”.
- c) Práctica “Reto Info”.
9) Facilidades proporcionadas por el sistema operativo y técnicas avanzadas.
- a) Auditoría de Windows. Configuración por directiva local o GPO y herramientas de análisis.
- b) Recuperación de archivos eliminados usando “Shadow Copies” o “Historial de archivos” en Windows.
- c) Limpieza de “System Volume Information” para eliminar evidencias.
- d) Captura de la información en dispositivos móviles. “Rooting” y “Jail break”.
- e) Descifrado de la base de datos de Whatsapp.
10) La Informática Forense en entornos cloud (Office 365)
- a) El Service Level Agreement (SLA) y las responsabilidades del proveedor.
- b) Herramientas de análisis forense del proveedor: El Centro de Seguridad y Cumplimiento.
- c) Creación de etiquetas y tipos de información confidencial para clasificar la información relevante.
- d) Las Directivas de alerta y su aplicación para auditar las actividades del usuario.
- e) Gestión de permisos en el tenant y el principio del menor privilegio.
- f) Uso de las etiquetas de retención para evitar la eliminación de la información.
- g) Configurar la Prevención de Pérdida de Datos (DLP) para auditar el acceso a la información corporativa.
- h) Auditar las comunicaciones de terceros y del correo electrónico por medio de la Supervisión.
- i) Realizar seguimiento de mensajes de correo electrónico.
- j) Creación de reglas de flujo de correo para obtener copias de los mensajes.
- k) Conservación in-place en Office365 y creación de un caso de investigación de eDiscovery.
Valoraciones
No hay valoraciones aún.