El crecimiento de la informática forense digital y su relación con la respuesta a incidentes

La informática forense digital está creciendo y está cada vez más relacionada con la respuesta a incidentes, según la última encuesta "State of Enterprise Digital Forensics and Incident Response" de Magnet Forensics. Sin embargo, algunos profesionales de la informática forense digital están agotados y necesitan más automatización y liderazgo en el campo de DFIR, donde contratar personal es difícil.

El crecimiento de la informática forense digital y su relación con la respuesta a incidentes - Seguridad | Imagen 1 Newsmatic

Esta encuesta de Magnet Forensics, que desarrolla soluciones de investigación digital, se realizó entre octubre y noviembre de 2022.

Índice de Contenido
  1. La informática forense digital está cada vez más relacionada con la respuesta a incidentes
  2. Los incidentes DFIR más comunes
  3. Los desafíos de las técnicas de ciberataque en constante evolución
  4. Se necesita más automatización para DFIR
  5. Desafíos del personal de DFIR
  6. Se necesita más liderazgo en DFIR para ayudar con los datos y las regulaciones
  7. La subcontratación en las investigaciones de DFIR es común
  8. Recomendaciones de DFIR para las empresas

La informática forense digital está cada vez más relacionada con la respuesta a incidentes

La informática forense digital, a veces llamada informática forense, ha sido un dominio de experiencia que se desplegaba principalmente en computadoras individuales durante muchos años. Los casos de uso típicos eran encontrar datos en la computadora de un empleado sospechoso de cometer una infracción, o investigar problemas legales o de malware como robo de información.

Con el tiempo, los ataques han aumentado en complejidad y tamaño, y se dirigen a varias computadoras o servidores de empresas, a menudo al mismo tiempo. La informática forense digital, que se trataba de analizar copias completas del disco duro en modo sin conexión, tuvo un giro cuando se hizo necesario analizar sistemas en ejecución.

Como resultado, la informática forense digital encontró nuevas formas de integrar esa complejidad con los equipos de respuesta a incidentes. Permitió un análisis más profundo de los sistemas sin apagarlos, y ahora la informática forense digital y la respuesta a incidentes suelen estar juntas en el equipo de SecOps dentro del Centro de Operaciones de Seguridad.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Los ataques dirigidos suelen ser el caso en el que la informática forense digital funciona de manera ideal con la respuesta a incidentes. Mientras la respuesta a incidentes trabaja en contener, resolver y recuperarse de un incidente, la informática forense digital puede ser la mejor solución para encontrar la causa raíz de un incidente.

Los aprendizajes de cada respuesta a incidentes y acciones de informática forense digital ayudan a las empresas a encontrar los puntos débiles en sus defensas e implementar nuevas salvaguardias y procesos.

Los incidentes DFIR más comunes

Según Magnet Forensics, la filtración de datos o el robo de propiedad intelectual representa el 35% de la actividad general y es el incidente DFIR más común, seguido de cerca por el compromiso del correo electrónico empresarial (Figura A). El catorce por ciento de los encuestados indicó que su organización se encuentra con estafas de compromiso de correo electrónico empresarial con mucha frecuencia. Otros incidentes comunes son mala conducta del empleado, mal uso de activos o violaciones de políticas, fraude interno y puntos finales infectados con ransomware.

Figura A

El crecimiento de la informática forense digital y su relación con la respuesta a incidentes - Seguridad | Imagen 2 Newsmatic

La filtración de datos, el robo de propiedad intelectual y el ransomware tienen un gran impacto en las organizaciones. Los profesionales de DFIR tienen dificultades para trabajar en ello, porque se necesitan experiencia y equipo para investigar rápidamente los incidentes de ransomware y violación de datos, mientras que los ciberdelincuentes intentan dificultar esas investigaciones lo más posible.

Cómo proteger tu computadora de los virus: métodos y consejos

Los desafíos de las técnicas de ciberataque en constante evolución

Los ataques están evolucionando en tamaño y complejidad, con actores de amenazas que utilizan más técnicas para dificultar la detección; como resultado, el 42% de los profesionales de DFIR indican que las técnicas de ciberataques en constante evolución representan un problema extremo o grande en su organización.

Mantenerse actualizado sobre tales ciberataques es un desafío, y las empresas confían más en especialistas en I+D que se centran en equipar a la organización con tácticas, técnicas y procedimientos nuevos y siempre en evolución. Grandes fuentes de información sobre amenazas en evolución incluyen MITRE, CISA y cuentas de LinkedIn o Twitter de investigadores de ciberseguridad.

Se necesita más automatización para DFIR

Hay muchas tareas repetitivas que deben realizarse en DFIR, y a menudo se necesitan herramientas que las automatizan.

Los Centros de Operaciones de Seguridad (SOC) ya utilizan la automatización tanto como sea posible, ya que necesitan lidiar con la telemetría, pero la automatización para la informática forense digital es diferente, ya que principalmente necesita procesar datos orquestando, realizando y supervisando flujos de trabajo forenses.

Más de la mitad de los profesionales de DFIR indican que las inversiones en automatización serían de gran valor para una variedad de funciones de DFIR, ya que los flujos de trabajo todavía dependen demasiado de la ejecución manual de muchas tareas repetitivas.

Más del 20% de los encuestados indicaron que la automatización sería especialmente valiosa para la adquisición remota de puntos finales target, el triaje de puntos finales target y el procesamiento de pruebas digitales, así como la documentación, el resumen y la presentación de informes sobre incidentes.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Los encuestados indicaron que el creciente volumen de investigaciones y datos es un problema extremo (13%) o grande (32%) (Figura B).

Figura B

El crecimiento de la informática forense digital y su relación con la respuesta a incidentes - Seguridad | Imagen 3 Newsmatic

Desafíos del personal de DFIR

Casi el 30% de los profesionales corporativos de DFIR coinciden en que la fatiga de las investigaciones es un problema real, mientras que el 21% está totalmente de acuerdo en que se sienten agotados en sus trabajos. El volumen de investigaciones y datos, y el estrés causado por la necesidad de realizar respuestas a incidentes rápidas, dificultan que estos profesionales puedan relajarse. La automatización podría ayudar a ahorrarles tiempo y permitir un análisis más rápido.

El reclutamiento se indica como un desafío importante por el 30% de los encuestados, mientras que la incorporación de nuevos profesionales de DFIR también puede ser difícil porque el trabajo puede variar mucho según la empresa; por ejemplo, esto podría afectar las herramientas utilizadas (Figura C).

Figura C

Protege tus contraseñas con PAM: Tu aliado para la seguridad

El crecimiento de la informática forense digital y su relación con la respuesta a incidentes - Seguridad | Imagen 4 Newsmatic

Se necesita más liderazgo en DFIR para ayudar con los datos y las regulaciones

Un campo en rápida evolución como este necesita un liderazgo informado y decisivo para establecer estrategias y dirigir recursos de manera eficiente. Los líderes influyen en la forma en que los profesionales de DFIR pueden acceder de manera eficiente a las fuentes de datos que necesitan, lo cual a menudo es difícil, como indicaron más de un tercio de los encuestados.

Las principales contribuciones al desperdicio de recursos son la falta de una estrategia y plan coherentes de respuesta a incidentes y la falta de procesos estandarizados (Figura D).

Figura D

El crecimiento de la informática forense digital y su relación con la respuesta a incidentes - Seguridad | Imagen 5 Newsmatic

Las regulaciones son otro desafío para los profesionales de DFIR. Por ejemplo, el 67% de los profesionales de DFIR indicaron que su función se ha visto afectada por nuevas regulaciones de informes, y el 46% de los encuestados informó que no tienen suficiente tiempo para comprender completamente la legislación nueva y cambiante. Los líderes deben comprender las regulaciones y decidir cómo manejarlas, tal vez liberando tiempo de los equipos de DFIR para estudiar las regulaciones o consultar con el departamento legal de la empresa.

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

La subcontratación en las investigaciones de DFIR es común

La mayoría de las empresas generalmente subcontratan partes de sus investigaciones de DFIR, principalmente porque carecen de esas habilidades internamente. Casi la mitad de los encuestados (47%) indicaron la falta de experiencia como la razón principal para utilizar proveedores de servicios, mientras que la segunda razón (38%) citada es no tener el conjunto de herramientas requerido, que en algunos casos puede ser extremadamente costoso.

Recomendaciones de DFIR para las empresas

Las empresas deben invertir en soluciones de DFIR que prioricen la velocidad, precisión e integridad. Cuantos más retrasos haya, mayor será el riesgo al analizar incidentes.

La automatización debe ser aplicada de manera contundente para ayudar a los profesionales de DFIR a reducir el agotamiento y los retrasos en las investigaciones.

Un plan de respuesta a incidentes es esencial. El plan debe aclarar roles y responsabilidades, detallar cómo debe hacerse el DFIR e incluir directivas claras e información sobre quién proporciona qué en la empresa. Los puestos críticos que brindan acceso a datos deben ser accesibles las 24 horas del día, los 7 días de la semana.

Los equipos de DFIR deben comprender completamente las regulaciones y legislaciones. Más en general, todo lo que se pueda hacer por adelantado para prepararse para futuros incidentes debe ser cuidadosamente pensado y realizado cuando no se esté trabajando en un incidente.

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

¡Alerta! Un nuevo gusano de Linux está propagándose

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a El crecimiento de la informática forense digital y su relación con la respuesta a incidentes , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.