análisis forense

JOY: HERRAMIENTA GRATUITA PARA EL ANÁLISIS FORENSE DE RED Y MONITOREO DE SEGURIDAD EN REDES

Posted on

Joy es un paquete para capturar y analizar el flujo de datos de la red y los datos IntraFlow, para el análisis forense, y monitoreo de seguridad en redes. Joy es un paquete de software basado en BSD-licensed libpcap para la extracción de características de los datos del tráfico de red en vivo o paquetes de archivos de captura, utilizando un modelo de flujo orientado similar a la de IPFIX o Netflow, y después representar estas funciones de datos en JSON. También contiene herramientas de análisis de seguridad en redes que se pueden aplicar a estos archivos de datos. Joy puede ser utilizado para explorar los datos a escala, especialmente los datos de seguridad en redes, digital forensics y las amenazas relevantes.

Se utiliza JSON con el fin de hacer el resultado fácilmente consumible por herramientas de análisis de datos. Mientras que los archivos de salida JSON son algo más detallados, ellos son razonablemente pequeños, y ellos responden bien a la compresión. Los expertos de seguridad en redes y digital forensics pueden configurarse Joy para obtener el flujo de datos dentro, es decir, los datos y la información sobre eventos que se producen dentro de un flujo de red incluyendo:

  • La secuencia de longitudes y tiempos de llegada de paquetes IP, hasta un cierto número de paquetes configurable.
  • La empirical probability distribution de los bytes dentro de la porción de datos de un flujo, y la entropía derivada de ese valor.
  • La secuencia de longitudes y tiempos de llegada de los registros TLS.
  • • Otros datos no encriptados TLS, tales como la lista de conjuntos decipher suite que se ofrecen, el ciphersuite seleccionado, la longitud del campo clientKeyExchange, y las cadenas de certificado de servidor.
  • Nombres DNS, direcciones y TTL.
  • Elementos de encabezado HTTP y los primeros ocho bytes del HTTP body.
  • El nombre del proceso asociado con la corriente, para los flujos de origen o destino final en el host en el que se está ejecutando PCAP.

Joy ha sido ejecutado correctamente y probado en Linux (Debian, Ubuntu, CentOS) y Mac OSX por Los expertos de seguridad en redes y digital forensics. El sistema ha sido construido con gcc y GNU make, pero debería funcionar con otros entornos de desarrollo también.

Joy es para el uso en la investigación de seguridad en redes, digital forensics, y para el monitoreo de las seguridad en redes (a pequeña escala) para la detección de vulnerabilidades, amenazas y otros comportamientos no autorizados o no deseados. Los investigadores, administradores, pruebas de penetración, digital forensics y los equipos de operaciones de seguridad en redes pueden poner esta información a buen uso, para la protección de las redes siendo monitoreados, y en el caso de las vulnerabilidades. Al igual que con cualquier herramienta de monitoreo de seguridad en redes, Joy potencialmente podría ser mal utilizada; no lo use en cualquier red de los cuales usted no es el propietario o el administrador.

joy-forense

https://github.com/davidmcgrew/joy

7 PASOS IMPORTANTES DURANTE UNA INVESTIGACIÓN DE ANÁLISIS FORENSE

Posted on

A continuación se presenta un resumen de los pasos importantes que una empresa de seguridad informática deben cubrir durante una investigación de análisis forense. Cualquier diplomado de seguridad informática también debe enfocar sobre estos pasos.

VERIFICACIÓN

Normalmente la investigación de análisis forense se llevará a cabo como parte de un escenario de respuesta a incidentes según profesores de diplomado de seguridad informática, como el primer paso se debe verificar que un incidente ha pasado. Determinar la amplitud y el alcance del incidente, evaluar el caso.

¿Cuál es la situación, la naturaleza del caso y sus características específicas? Este paso es importante porque ayudará a una empresa de seguridad informática a determinar las características del incidente y definir el mejor enfoque para identificar, conservar y reunir evidencias. También podría ayudar a justificar a dueños del negocio de desconectar un sistema.

digital-forensics

DESCRIPCIÓN DEL SISTEMA

Siguiente paso en análisis forense es donde una empresa de seguridad informática empezará a reunir información sobre el incidente específico. Comenzando por tomar notas y describir el sistema que se va a analizar, cuál sea el sistema que está siendo adquirido, ¿cuál es el papel del sistema en la organización y en la red? El esquema del sistema operativo y su configuración general, tales como formato de disco, la cantidad de RAM y la ubicación de las pruebas según profesores de diplomado de seguridad informática.

ADQUISICIÓN DE EVIDENCIA

Esto paso en análisis forense incluye Identificar las posibles fuentes de datos, adquirir datos volátiles y no volátiles, verificar la integridad de los datos y garantizar la cadena de custodia. Cuando tengas dudas de que colectar para estar en el lado seguro y es mejor recoger demasiado a que te falte. Durante esta etapa también es importante que la empresa de seguridad informática dé prioridad a colección de evidencias e involucra a los dueños del negocio para determinar la ejecución y el impacto en el negocio de las estrategias elegidas. Dado que los datos volátiles cambian con el tiempo, el orden en el que se recogen los datos es importante acuerdo a recomendaciones de diplomado de seguridad informática. Después de recoger estos datos volátiles vas a entrar en la siguiente etapa de recogida de datos no volátiles como el disco duro. Después de la adquisición de datos, garantiza y verifica su integridad. También debes ser capaz de describir claramente cómo se encontró la evidencia, la forma en que se manejó y todo lo que pasó con él, es decir la cadena de custodia.

ANÁLISIS DE LÍNEA DE TIEMPO

Después de la adquisición de evidencias una empresa de seguridad informática podrá empezar a hacer investigación y análisis en el laboratorio forense. Comienza por hacer un análisis de línea de tiempo. Este es un paso crucial y muy útil en análisis forense y cada diplomado de seguridad informática debe cubrir esto, ya que incluye información tal como cuando se modifican los archivos, acceso, cambios y creaciones en un formato legible por humanos. El plazo de presentación de artefactos de memoria también puede ser muy útil en la reconstrucción lo que sucedió según Mike Ross un experto de iicybersecurity IICS, una empresa de seguridad informática.

MEDIOS DE COMUNICACIÓN Y ANÁLISIS DE LOS ARTEFACTOS

En este paso de análisis forense tú vas a ser abrumado con la cantidad de información que tú podrías estar buscando. Un experto de empresa de seguridad informática debe ser capaz de responder a preguntas como, qué programas fueron ejecutados, que archivos fueron descargados, a qué archivos se les hizo clic, que directorios fueron abiertos, que archivos fueron borrados, dónde el usuario visito y muchas otras cosas más. Una técnica utilizada con el fin de reducir el conjunto de datos es identificar los archivos que sea conocen bien y los que se sabe que son malos. Cuidado con las técnicas anti-forenses como esteganografía o alteración y destrucción de datos, que tendrán impacto en análisis forense. Según profesores de diplomado de seguridad informática de International Institute of Cyber Security este paso es muy importante para cualquier experto de forense digital.

BÚSQUEDA DE BYTE O TEXTO

Esta etapa de análisis forense consistirá en el uso de herramientas que buscarán las imágenes en bruto de bajo nivel. Si usted sabe lo que está buscando, puede utilizar este método para encontrarlo. En este paso una empresa de seguridad informática utilizara las herramientas y técnicas que buscarán firmas de bytes de archivos conocidos. Las cadenas o firmas de bytes que vas a estar buscando son las que son relevantes para el caso de que estás tratando.

INFORME DE LOS RESULTADOS

La fase final consiste en informar sobre los resultados de los análisis forense, que pueden incluir la descripción de las acciones que se realizaron, la determinación de qué es necesario realizar , que otras acciones, y recomendar mejoras en las políticas, directrices, procedimientos, herramientas y otros aspectos del proceso forense .Informe de los resultados es una parte clave de cualquier investigación según expertos de empresa de seguridad informática.

Cualquier diplomado de seguridad informática debe enseñar estos pasos en detalle para que sean expertos en el área de análisis forense.