El papel crucial de los análisis forenses de los datos en la recuperación tras un ciberataque

Imagine volver a casa para descubrir que alguien ha entrado en su casa. Su primera reacción es asegurarse de que es seguro entrar. Luego, comprueba rápidamente que todas las puertas y ventanas están cerradas para proteger su casa. Esta respuesta inmediata es como su objetivo de tiempo de recuperación (RTO), un esfuerzo rápido para que los sistemas vuelvan a estar en funcionamiento de manera segura.

Una vez que llega la policía, la amenaza inmediata desaparece. Pero ahora viene el siguiente paso: descubrir lo que ha pasado.

La policía quiere saber: ¿Quién estaba aquí? ¿Cómo entraron? ¿Qué tomaron? Cada detalle —como una huella digital en el pomo de la puerta o una huella de barro— se convierte en una pista importante.

En ciberseguridad, la medicina forense de los datos funciona del mismo modo que los investigadores en una escena de delitos. 

Por qué es importante el análisis forense de los datos

Si bien es posible que los forenses no se sientan tan urgentes como la restauración de las operaciones, es igual de importante para desarrollar una estrategia de defensa más fuerte y segura. El análisis forense de los datos ayuda a descubrir cómo se produjo el ataque, quién estaba detrás de él, qué datos y sistemas se vieron afectados, qué vulnerabilidades se explotaron y cómo puede evitar que se vuelva a atacar.  

La medicina forense de los datos también es importante por estas razones:

• El gobierno necesita información: Si se ve afectado por una banda de ransomware o una entidad de la lista de la OFAC, el gobierno participa y puede incautar sus sistemas. Quieren un registro detallado de las pruebas de la investigación.
• El conocimiento es la protección: Entender quiénes, qués, cómos y por qués acelerarán los análisis e identificarán lo que hay que hacer para protegerse de futuros ataques.
• Procesamiento de reclamaciones de seguros: Si tiene un seguro cibernético, es posible que la compañía aseguradora quiera investigar el ataque. Si no tiene seguro, es más difícil y caro conseguirlo a medida que los ciberataques siguen aumentando. Sin embargo, tiene una mayor probabilidad de conseguir un seguro (y de renovar su póliza) si toma medidas proactivas para defenderse de los ciberataques, lo que incluye un plan forense de datos sólido.

Incluso si el gobierno o la compañía de seguros no se involucran en su ciberataque, aún debe realizar un nivel de análisis forense para proteger la empresa. Eso va a llevar tiempo y el procedimiento es disruptivo.

La manera más sencilla de superarlo es haciendo un excelente trabajo de conservación de sus datos. Pero a menudo es más fácil de lo que parece.

Retos comunes para capturar y conservar las pruebas

La gestión forense de los datos es complicada. Estos son algunos de los mayores retos a los que se enfrentan las empresas y consejos para afrontarlos.

• Limitaciones de tiempo: Tiene que actuar rápidamente para contener el ataque y hacer que la empresa funcione plenamente. Pero conservar y analizar las pruebas es un proceso lento y cuidadoso. Las herramientas automatizadas, como una solución de copia de seguridad inmutable, pueden ayudarle a recopilar rápidamente las pruebas necesarias para una investigación exhaustiva.

• Acceso a los datos: Está nadando en datos de innumerables fuentes. ¿Cómo encuentra las pistas críticas sin sentirse abrumado? Utilice herramientas como las plataformas SIEM (gestión de información y eventos de seguridad) y SOAR (orquestación, automatización y respuesta de seguridad). Estas herramientas filtran y correlacionan los datos de manera eficiente para identificar el punto de ataque y las vulnerabilidades.

• Falta de experiencia: El análisis forense de los datos es una habilidad especializada y no todos los equipos tienen la experiencia a mano. Invierta en una formación periódica para su equipo de TI o considere contratar a expertos en respuesta a incidentes cuando sea necesario.

• Riesgo de contaminación de las pruebas: La investigación de los sistemas activos puede alterar o destruir accidentalmente las pruebas críticas. Siga unos procedimientos estrictos de gestión de las pruebas para garantizar que todo sigue siendo admisible en los tribunales. Utilice bloqueadores de escritura, aísle los sistemas afectados y cree copias bit a bit de los datos para su análisis, dejando intactas las pruebas originales.

• Integridad de las copias de seguridad y riesgo de reinfección: Restaurar los sistemas después de un ataque es complicado: el 63% de las organizaciones corren el riesgo de reinfección porque sus copias de seguridad contienen código malicioso. Utilice una solución, como las copias instantáneas SafeMode™ de Pure Storage^®, que le permita restaurar las copias de seguridad de manera segura y rápida en una ubicación limpia.

• Cumplimiento legal y normativo: Las diferentes regiones tienen leyes diferentes (y a veces contradictorias) sobre la gestión de las pruebas y la notificación de las infracciones. Colabore con el asesor jurídico para crear un plan de respuesta a incidentes que se ajuste a las leyes aplicables. Manténgase informado de los cambios en las normativas para garantizar el cumplimiento continuo.

• Análisis posterior al incidente: Una vez contenido el ataque, la presión para volver a la normalidad puede hacer que el análisis posterior al incidente llegue al segundo plano. Haga que el análisis posterior al incidente sea un paso obligatorio en su plan de respuesta. Utilícelo para identificar las lecciones aprendidas, justificar los recursos necesarios para un análisis exhaustivo y fortalecer sus defensas para el futuro.

Cómo Pure Storage puede simplificar el proceso forense

De media, las empresas solo pueden recuperar alrededor del 59% de sus datos después de un ataque de ransomware, pero no si utiliza Pure Storage. Pure Storage le proporciona las herramientas que necesita para una recuperación de datos rápida y efectiva y para análisis forense de los datos. Así es como:

• Copias instantáneas a prueba de manipulaciones: La tecnología SafeMode de Pure Storage crea copias instantáneas inmutables (incambiables) de sus datos. Estas copias de seguridad son totalmente seguras —no pueden modificarse ni borrarse, ni siquiera por los atacantes con acceso administrativo—. Esto significa que sus datos pueden restaurarse por completo al estado exacto en el que estaban justo antes de que se produjera el ataque. Esto no solo acelera su vuelta al funcionamiento normal, sino que también simplifica el proceso forense digital, lo que le ayuda a investigar qué salió mal.

• Capacidades SIEM y SOAR mejoradas: Pure Storage trabaja con los principales proveedores de SIEM y SOAR para proporcionar una mayor ciberresiliencia. Juntos, le permiten detectar los posibles ataques más rápidamente y responder automáticamente, como activar copias instantáneas SafeMode para bloquear sus datos críticos antes de que se vean comprometidos.

Ver: Cómo el almacenamiento adecuado puede ayudar a mejorar las operaciones SIEM de la empresa

• Almacenamiento limpio garantizado: Cuando sus sistemas son atacados, Pure Storage proporciona y configura rápidamente nuevos equipos de almacenamiento. Tener un entorno limpio garantiza que la investigación forense pueda realizarse sin problemas en segundo plano mientras se centra en volver a poner en marcha las operaciones empresariales.
  
• SLA de ciberrecuperación: Además del almacenamiento limpio y siempre disponible para la recuperación y los análisis forenses, Pure Storage proporciona un acuerdo de nivel de servicio con un plan de recuperación de 48 horas y servicios agrupados, que incluye a un ingeniero de servicios profesionales in situ para ayudarle en su recuperación.

Después de una vulneración, una interrupción o un robo de datos, la primera prioridad es volver a conectar los sistemas lo más rápidamente posible. Una vez que todo se vuelva a ejecutar, es el momento de realizar una investigación más profunda, lo que lleva mucho tiempo. Por ello, Pure Storage ha diseñado su tecnología y su soporte para ayudarle a optimizar el proceso y ayudarle a obtener información real que refuerce su ciberresiliencia.

Obtenga más información sobre el SLA de Ciberrecuperación y Resiliencia de Pure Storage en Evergreen//One™.