La función crucial de la investigación forense de datos en la recuperación posterior a un ataque cibernético

Imagínese volver a casa para encontrar a alguien que haya entrado a su casa. Su primera reacción es asegurarse de que sea seguro entrar. Luego, verifica rápidamente que todas las puertas y ventanas estén bloqueadas para asegurar su hogar. Esta respuesta inmediata es como su objetivo de tiempo de recuperación (RTO), un esfuerzo rápido para que los sistemas vuelvan a funcionar de manera segura.

Una vez que llega la policía, la amenaza inmediata desaparece. Pero ahora viene el siguiente paso: averiguar qué sucedió.

La policía quiere saber: ¿Quién estaba aquí? ¿Cómo entraron? ¿Qué tomaron? Cada detalle, como una huella digital en la perilla de la puerta o una huella lodosa, se convierte en una pista importante.

En la ciberseguridad, el análisis forense de datos funciona de la misma manera que los investigadores en una escena del crimen. 

Por qué es importante el análisis forense de datos

Si bien la investigación forense puede no parecer tan urgente como restaurar las operaciones, es igual de importante para desarrollar una estrategia de defensa más sólida y segura. El análisis forense de datos ayuda a descubrir cómo ocurrió el ataque, quién estaba detrás de él, qué datos y sistemas se vieron afectados, qué vulnerabilidades se explotaron y cómo puede evitar que lo ataquen de nuevo.  

La investigación forense de datos también es importante por estos motivos:

• El gobierno necesita información: Si una pandilla de ransomware o una entidad de la lista de la OFAC lo golpean, el gobierno se involucra y puede incautar sus sistemas. Quieren un registro detallado de la evidencia para la investigación.
• El conocimiento es la protección: Comprender el quién, el qué, el cómo y el porqué acelerará el análisis e identificará lo que se debe hacer para protegerse contra futuros ataques.
• Procesamiento de reclamos de seguro: Si tiene un seguro cibernético, es posible que la compañía de seguros quiera investigar el ataque. Si no tiene seguro, obtenerlo es más difícil y costoso a medida que los ciberataques continúan aumentando. Sin embargo, tiene una mayor probabilidad de obtener un seguro (y renovar su póliza) si toma medidas proactivas para defenderse contra los ciberataques, lo que incluye un plan forense de datos sólido.

Incluso si el gobierno o la compañía de seguros no se involucran en su ciberataque, aún debe llevar a cabo un nivel de análisis forense para proteger el negocio. Eso llevará tiempo y el procedimiento es perjudicial.

La forma más fluida de superarlo es haciendo un excelente trabajo en la preservación de sus datos. Pero esto suele ser más fácil de lo que parece.

Desafíos comunes para capturar y conservar evidencia

Administrar la investigación forense de datos es complicado. Estos son algunos de los desafíos más grandes que enfrentan las empresas y consejos para navegar por ellos.

• Limitaciones de tiempo: Necesita actuar rápido para contener el ataque y hacer que el negocio sea completamente funcional. Pero conservar y analizar la evidencia es un proceso lento y cuidadoso. Las herramientas automatizadas, como una solución de copia de seguridad inmutable, pueden ayudarlo a recopilar rápidamente la evidencia necesaria para una investigación exhaustiva.

• Acceso a datos: Está nadando en datos de innumerables fuentes. ¿Cómo encuentra las pistas críticas sin abrumarse? Use herramientas como las plataformas SIEM (gestión de eventos e información de seguridad) y SOAR (organización, automatización y respuesta de seguridad). Estas herramientas filtran y correlacionan datos de manera eficiente para identificar el punto de ataque y las vulnerabilidades.

• Falta de experiencia: El análisis forense de datos es una habilidad especializada, y no todos los equipos tienen la experiencia disponible. Invierta en capacitación regular para su equipo de TI o considere contratar expertos en respuesta a incidentes cuando sea necesario.

• Riesgo de contaminación de evidencia: Investigar sistemas en vivo puede alterar o destruir accidentalmente la evidencia crítica. Cumpla con los estrictos procedimientos de manejo de evidencia para asegurarse de que todo siga siendo admisible en los tribunales. Use bloqueadores de escritura, aísle los sistemas afectados y cree copias bit por bit de los datos para el análisis, dejando intacta la evidencia original.

• Integridad de la copia de seguridad y riesgo de reinfección: Restaurar los sistemas después de un ataque es complicado: el 63 % de las organizaciones corren el riesgo de volver a infectarse porque sus copias de seguridad contienen código malicioso. Use una solución, como las snapshots SafeMode de Pure Storage^®, que le permite restaurar las copias de seguridad de manera segura y rápida en una ubicación limpia.

• Cumplimiento legal y regulatorio: Diferentes regiones tienen leyes diferentes (y a veces contradictorias) sobre el manejo de evidencia y la notificación de violaciones. Trabaje con el asesor legal para crear un plan de respuesta a incidentes que se alinee con las leyes aplicables. Manténgase informado sobre los cambios en las regulaciones para garantizar el cumplimiento continuo.

• Análisis posterior al incidente: Después de que el ataque está contenido, la presión para volver a la normalidad puede llevar el análisis posterior al incidente al quemador trasero. Haga que el análisis posterior al incidente sea un paso obligatorio en su plan de respuesta. Úselo para identificar las lecciones aprendidas, justificar los recursos necesarios para un análisis exhaustivo y fortalecer sus defensas para el futuro.

Cómo Pure Storage puede atenuar el proceso forense

En promedio, las empresas solo pueden recuperar alrededor del 59 % de sus datos después de un ataque de ransomware, pero no si usa Pure Storage. Pure Storage le ofrece las herramientas que necesita para una recuperación de datos rápida y eficaz, y análisis forense de datos. Así es como:

• Instantáneas a prueba de manipulaciones: La tecnología SafeMode de Pure Storage crea snapshots inmutables (incambiables) de sus datos. Estas copias de seguridad son completamente seguras, no pueden ser alteradas ni eliminadas, incluso por atacantes con acceso administrativo. Esto significa que sus datos se pueden restaurar completamente al estado exacto en el que estaban justo antes de que ocurriera el ataque. Esto no solo acelera su regreso a las operaciones normales, sino que también simplifica el proceso de análisis forense digital, lo que le ayuda a investigar qué salió mal.

• Capacidades SIEM y SOAR mejoradas: Pure Storage trabaja con los principales proveedores de SIEM y SOAR para ofrecer una mayor resistencia cibernética. Juntos, le permiten detectar posibles ataques más rápido y responder automáticamente, como activar snapshots SafeMode para bloquear sus datos críticos antes de que se vean comprometidos.

Mire: Cómo el almacenamiento adecuado puede ayudar a mejorar las operaciones SIEM empresariales

• Almacenamiento limpio garantizado: Cuando sus sistemas son atacados, Pure Storage proporciona y configura rápidamente nuevos equipos de almacenamiento. Tener un entorno limpio garantiza que la investigación forense pueda proceder sin problemas en segundo plano mientras se enfoca en volver a encaminar las operaciones comerciales.
  
• SLA de recuperación cibernética: Además del almacenamiento limpio siempre disponible para recuperación y análisis forense, Pure Storage proporciona un SLA con un plan de recuperación de 48 horas y servicios combinados, incluido un ingeniero de servicios profesionales en el lugar para respaldar su recuperación.

Después de una filtración, interrupción o robo de datos, la primera prioridad es volver a conectar los sistemas lo más rápido posible. Una vez que todo vuelva a funcionar, es hora de una investigación más profunda, lo que lleva mucho tiempo. Es por eso que Pure Storage diseñó su tecnología y soporte para ayudar a agilizar el proceso y ayudarlo a obtener resultados reales que fortalezcan su ciberrresiliencia.

Obtenga más información sobre el SLA de recuperación cibernética y adaptación de Pure Storage en Evergreen//One™.