Análisis forense en entornos corporativos

A primera hora, recibes una llamada de un compañero diciendo que no puede acceder a sus documentos. Tu organización ha sido víctima de un ciberataque de tipo Ransomware. Empiezan las dudas, las prisas, lo errores… Parece una pesadilla, pero es algo muy real y es probable que ocurra.

Una vez superada la crisis inicial, te surgen dudas: ¿Qué ha sido? ¿Quién? ¿Por qué? ¿Cuál es el alcance? ¿Cómo debo proceder? ¿Estoy legalmente obligado a informar del ataque? ¿Cómo puedo encontrar el origen? ¿Ha sido una mala praxis del empleado? ¿ …del personal de IT? ¿Cómo adquiero las pruebas de forma legal? ¿Necesito llamar a un perito informático forense? ¿Si hubiese migrado a la nube me hubiera salvado?

Demasiadas preguntas. Esta formación te ayudará a resolverlas.

Podrás conocer las bases de la informática forense, aprender a obtener evidencias digitales y realizar peritaje informático corporativo

 

Descripción

A primera hora, recibes una llamada de un compañero diciendo que no puede acceder a sus documentos. Tu organización ha sido víctima de un ciberataque de tipo Ransomware. Empiezan las dudas, las prisas, lo errores… Parece una pesadilla, pero es algo muy real y es probable que ocurra.

Una vez superada la crisis inicial, te surgen dudas: ¿Qué ha sido? ¿Quién? ¿Por qué? ¿Cuál es el alcance? ¿Cómo debo proceder? ¿Estoy legalmente obligado a informar del ataque? ¿Cómo puedo encontrar el origen? ¿Ha sido una mala praxis del empleado? ¿ …del personal de IT? ¿Cómo adquiero las pruebas de forma legal? ¿Necesito llamar a un perito informático forense? ¿Si hubiese migrado a la nube me hubiera salvado?

Demasiadas preguntas. Esta formación te ayudará a resolverlas.

Podrás conocer las bases de la informática forense, aprender a obtener evidencias digitales y realizar peritaje informático corporativo

Código del Curso: IT-INF-FORENSE

Duración: 25 horas

Modalidad: presencial

 

Objetivos

· Dar a conocer el procedimiento legal que se aplica a una investigación por delito informático, prestando especial interés a la figura del Perito Forense. Los conocimientos que se adquirirán y las técnicas a emplear pueden aplicarse, de igual manera, desde una perspectiva de investigación interna en una organización que puede no trascender al ámbito judicial.

· Aprender los pasos que conforman una investigación informática forense, desde la preservación de la evidencia hasta el informe pericial que deja constancia de los hechos acontecidos.

· Revisar el software comercial y de dominio público utilizado en las investigaciones. Se hará especial hincapié en trabajar con la distribución Caine y la aplicación Autopsy.

· Una vez adquiridos los conocimientos y las técnicas aplicadas a las investigaciones on-premise, pretendemos buscar las equivalencias en los servicios cloud, concretamente como poder realizar un análisis forense por medio de las herramientas del Centro de Seguridad y Cumplimiento de Office 365.

Requisitos

Requisitos obligatorios:

· Conocimientos de administración de los sistemas operativos de Microsoft.

· Conocimientos básicos en técnicas de Hacking.

Requisitos no obligatorios:

· Conocimientos de administración en sistemas operativos basados en Linux.

· Conocimientos de administración de un tenant de Office 365.

· Conocimientos avanzados en técnicas de Hacking y exploit de sistemas.

¿A quién va dirigido?

Personal TIC del área de Seguridad, interesados en determinar las causas y consecuencias de ataques informáticos o comportamientos ilícitos del personal de la organización.

Contenido

1) Conceptos claves usados en la Informática Forense.

  • a) ¿Qué es la Informática Forense?
  • b) El perito informático Forense.
  • c) Definición de delito informático.
  • d) ¿Qué es la evidencia digital?
  • e) La cadena de custodia.
  • f) Consideraciones legales para no invalidar la evidencia.
  • g) Normas a aplicar.
  • h) Guía de buenas prácticas.
  • i) Organismos públicos relevantes.
  • j) La Estrategia Nacional de Ciberseguridad 2019.

2) El procedimiento del análisis forense por etapas.

  • a) Preservación de las evidencias.
  • b) Adquisición de la información.
  • c) Documentación y análisis.
  • d) Informe de resultados.

3) Conceptos técnicos asociados a la Informática Forense (I)

  • a) Función de Hash. Algoritmos que pueden no ser admitidos legalmente.
  • b) Espacio asignado (Allocated) y sin asignar (Un-allocated).
  • c) Captura de la información en vivo (Dispositivo encendido).
  • d) Captura de la información Post-Mortem (Dispositivo apagado).
  • e) Las clonaciones físicas y lógicas.
  • f) Técnicas de borrado de información y posibilidad de recuperación.

4) Conceptos técnicos asociados a la Informática Forense (II)

  • a) Definición de Artefacto Forense.
  • b) Memoria RAM, archivos de paginación y de hibernación.
  • c) Logs del sistema y auditoría local.
  • d) Metadatos de archivos.
  • e) Uso de Internet y las comunicaciones.

5) Software usado en Informática Forense.

  • a) Software propietario más utilizado: EnCase.
  • b) Software libre. Ventajas e inconvenientes.
  • c) Distribuciones Forenses de Open Souce.

6) Despliegue y uso del software forense (I)

  • a) Creación de un laboratorio con máquinas virtuales.
  • b) FTK Imager para Windows.
  • c) Instalación y descripción de la distribución Caine.
  • d) Preservar la evidencia con bloqueadores de escritura.
  • e) Instalación de Caine en USB con Rufus para adquisición Post-Mortem.
  • f) Adquisición de la información con GUYMAGER.

7) Despliegue y uso del software forense (II) (Autopsy)

  • a) La herramienta Autopsy.
  • b) Los módulos de ingestión de la información.
  • c) Análisis de la información.
  • d) Adquisición en sistemas vivos.
  • e) Interpretación del “Score”
  • f) Etiquetado manual de la información en categorías.
  • g) El filtro de ingestión de hash. Etiquetado automático STIX y CybOX.
  • h) El proyecto VIC. Importación manual de hashsets.
  • i) Autopsy y el procedimiento de triaje en vivo por medio de USB.

8) Despliegue y uso del software forense (III) (Casos de uso)

  • a) Práctica “Reto Avión”.
  • b) Práctica “Reto BarceLonas”.
  • c) Práctica “Reto Info”.

9) Facilidades proporcionadas por el sistema operativo y técnicas avanzadas.

  • a) Auditoría de Windows. Configuración por directiva local o GPO y herramientas de análisis.
  • b) Recuperación de archivos eliminados usando “Shadow Copies” o “Historial de archivos” en Windows.
  • c) Limpieza de “System Volume Information” para eliminar evidencias.
  • d) Captura de la información en dispositivos móviles. “Rooting” y “Jail break”.
  • e) Descifrado de la base de datos de Whatsapp.

10) La Informática Forense en entornos cloud (Office 365)

  • a) El Service Level Agreement (SLA) y las responsabilidades del proveedor.
  • b) Herramientas de análisis forense del proveedor: El Centro de Seguridad y Cumplimiento.
  • c) Creación de etiquetas y tipos de información confidencial para clasificar la información relevante.
  • d) Las Directivas de alerta y su aplicación para auditar las actividades del usuario.
  • e) Gestión de permisos en el tenant y el principio del menor privilegio.
  • f) Uso de las etiquetas de retención para evitar la eliminación de la información.
  • g) Configurar la Prevención de Pérdida de Datos (DLP) para auditar el acceso a la información corporativa.
  • h) Auditar las comunicaciones de terceros y del correo electrónico por medio de la Supervisión.
  • i) Realizar seguimiento de mensajes de correo electrónico.
  • j) Creación de reglas de flujo de correo para obtener copias de los mensajes.
  • k) Conservación in-place en Office365 y creación de un caso de investigación de eDiscovery.

Valoraciones

No hay valoraciones aún.

Sé el primero en valorar “Análisis forense en entornos corporativos”

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *