Si planteamos el escenario hipotético en el que tu organización se ve involucrada en un incidente de seguridad ¿tendrías a mano todo lo necesario para actuar con rapidez?
En esta entrada te comento las recomendaciones que dan los expertos para que preparares una mochila de la ciberseguridad o Cybersecurity Jump Bag, y estés preparado para cualquier incidente de este tipo. Además, te dejo al final de este artículo una lista con herramientas útiles que seguro son de tu interés 😉
¿por qué tener un mochila de emergencia?
Una de las situaciones más comunes que se pueden dar en una empresa es no tener listo todo el material necesario cuando ocurre un incidente de ciberseguridad. Esto lleva a los técnicos a perder tiempo buscando las herramientas y los procedimientos a realizar. Tiempo, que es crucial para atajar el problema.
El prestigioso Instituto SANS ha elaborado en un paper reciente una lista de los elementos que tu organización debe tener preparado, para responder en el menor tiempo posible ante un problema de ciberseguridad.
Una de las primeras fases para dar respuesta a un incidente de ciberseguridad es determinar el alcance del problema y recopilar evidencias para su futuro análisis. Para llevarlo a cabo, en las situaciones en las que no se pueda hacer de forma remota, se envía a uno o varios técnicos a los equipos afectados para que puedan recoger in-situ esta información. Por eso en este tipo de mochilas, se da mucha importancia al análisis forense.
A continuación, te muestro qué cosas debes llevar en la mochila de la ciberseguridad de tu empresa:
guía de los procedimientos para recavar evidencias
Una de los primeros objetos que hay que llevar en la mochila es la guía, previamente elaborada por la organización, de los pasos a seguir para recopilar pruebas o evidencias durante un incidente de ciberseguridad. Esta guía se utiliza para responder a las preguntas: cómo, qué, dónde, porqué y cuándo durante un incidente.
Por si fuera de tu interés te dejo dos plantillas de políticas de seguridad que contienen secciones de respuesta a incidentes:
lista de contactos del equipo cirt e interesados
Durante un incidente de ciberseguridad es imprescindible tener a mano una lista con los contactos del equipo de ciberseguridad o CIRT (Ciber Incident Response Team), y de las posibles empresas externas con servicios de ciberseguridad que se hayan contratado. Esto facilitará la comunicación con los técnicos implicados lo más rápido posible.
También es recomendable tener incluido en esta lista a todo el personal útil que pueda ayudar en un incidente como, por ejemplo: técnicos de bases de datos o de telecomunicaciones.
unidades usb
Muy útiles para guardar las evidencias, pasar datos o montar rápidamente entornos bootable de recuperación.
pen drive bootable con herramientas anti-malware
También es imprescindible tener un Windows PE o una distribución de Linux con herramientas de recuperación, de análisis forense, antimalware y otros softwares de seguridad incorporados.
Abajo te dejo más información, pero te recomiendo tener a mano:
Es imprescindible que el equipo CIRT o los técnicos involucrados se haya entrenado con este entorno y sepa usar las herramientas incorporadas en él. De nada sirve tenerlo si los técnicos tienen que perder tiempo en aprender a usarlo.
Puede parecer algo evidente, pero muchas empresas lo «olvidan» o van dejando para más tarde estos entrenamientos y cuando ocurre un problema se paga con tiempo perdido.
un portátil con internet y herramientas instaladas: forense, antimalware
Además de contar con un pendrive con estas herramientas, también es recomendable tener un portátil con todo lo necesario ya instalado. Un ejemplo de las herramientas que debería tener instalado el equipo es: software de análisis forenses (como FTK o EnCase), herramientas anti-malware y herramientas de recuperación y backup.
Otro tipo de software que recomiendo es Putty o MobaXterm que te permitirán conectarte tanto a sistemas operativos como a dispositivos de la red.
También es muy recomendable que este portátil tenga acceso a internet. Y no te olvides de ¡documentarlo todo!
máquina clonadora de discos duros
Este tipo de dispositivos son baratos y nos permiten crear clones idénticos de los discos duros. Muy útil cuando se trata de recopilar evidencias o simplemente llevarnos a un laboratorio el disco de la máquina afectada para analizarlo.
almacenamiento EXTERNO y baterías
Para recopilar evidencias necesitarás mucho espacio disponible. Dependiendo del alcance te recomiendo tener uno o varios discos duros externos de al menos 2TB libres. Es posible que dependiendo del alcance del problema necesites más. Como te he mencionado antes, es muy importante ¡documentarlo todo!
También necesitarás baterías. Piensa que estarás muchas horas recopilando información y si no tienes toma eléctrica, no puedes depender de la batería del portátil. Procura tener una batería «grande» a mano (10000mAh).
CABLES de red y adaptadores
Siempre viene bien llevar cables de red (RJ45) y cables para poder conectarse a los switches: cables RS232 a USB, RJ45 a RS232, conversores puerto serie a USB, etc. Y muy importante ¡procura probarlo todo antes!
otros objetos de interés
Dependiendo de las necesidades puedes llevar en la mochila también:
- Una linterna.
- Bolsas antiestáticas para almacenar dispositivos electrónicos y bolsas con cierre herméticos si necesitas recoger evidencias.
- Una regleta.
- Bridas y tijeras.
una mochila para guardarlo todo
Obvio ¡nos falta la mochila! En este caso importa poco como sea (que quepa todo), lo importante es el contenido y que esté siempre disponible y protegida en un armario con llave.
EXTRA: LISTA DE HERRAMIENTAS ÚTILES para la recogida de evidencias
A continuación, te dejo una lista con herramientas útiles que puedes usar para preparar tu mochila.
HERRAMIENTAS PARA CREAR usb ARRANCABLES
Rufus: permite hacer pen drives bootable a partir de una ISO. Válido para ISO de Windows.
balenaEtcher: al igual que Rufus permite hacer pen drives bootable a partir de una ISO. Recomendado para ISO de Linux. No funciona con ISO de Windows.
LIVE usb
Hiren’s Boot CD PE: levanta un Windows PE con muchas herramientas útiles.
C.A.IN.E. Computer Aided Investigative Environment: es una distribución de Linux con herramientas Forenses ya integradas, entre las que se incluye FTK Lite.
DEFT Linux: es otra distribución Linux basada en Ubuntu con herramientas forenses que permiten, entre otras operaciones, descifrar archivos encriptados o recuperar datos eliminados.
Kali Linux: Kali es la distribución de Linux para pentesting más famosa de la comunidad. En ella podrás encontrar numerosas herramientas para probar la seguridad de un entorno.
Debian: siempre viene bien alguna distribución de Linux multipropósito.
HERRAMIENTAS FORENSES
Autopsy: es una herramienta que permite analizar el contenido de discos con fines forenses (recopilación de evidencias).
Burp Suite: este software es una suite para realizar pentesting en la red. Con ella puedes realizar técnicas MITM (Man In The Middle) por ejemplo, y analizar el tráfico de una red.
EnCase: es una poderosa plataforma de investigación que recolecta datos digitales, realiza análisis, informa sobre descubrimientos y los preserva en un formato válido a efectos legales y validado por los tribunales.
Eraser: es una herramienta de seguridad avanzada para Windows que le permite eliminar por completo los datos confidenciales de su disco duro sobrescribiéndolos varias veces con patrones cuidadosamente seleccionados.
ExifTool: es un programa de software gratuito y de código abierto para leer, escribir y manipular imágenes, audio, video y metadatos PDF.
FTK Forensic ToolKit: es la herramienta para análisis forense más famosa del mercado. Está formada por un conjunto de herramientas que permiten, por ejemplo, localizar correos electrónicos eliminados o escanear un disco en busca de cadenas de texto para usarlas en un diccionario para descifrar contraseñas.
ImageUSB: es una utilidad gratuita que le permite escribir una imagen simultáneamente en múltiples unidades flash USB.
Jonh The Ripper: es una herramienta de auditoría de seguridad de contraseñas y recuperación de contraseñas de código abierto multiplataforma.
MoonSols Windows Memory Toolkit: es un conjunto de herramientas que contiene las utilidades necesarias para realizar cualquier tipo de adquisición o conversión de memoria durante una respuesta a un incidente, o un análisis forense para escritorios, servidores o entornos virtualizados de Windows.
NetAnalysis: es la herramienta forense más completa y avanzada disponible para la extracción, el análisis y la presentación de pruebas de navegadores web.
OSFClone: es una solución gratuita de arranque automático que le permite crear o clonar imágenes de disco sin procesar exactas de forma rápida e independiente del sistema operativo instalado.
OSFMount: permite montar archivos de imagen de disco local (copias bit por bit de un disco completo o partición de disco) en Windows como un disco físico o una letra de unidad lógica.
Pandora Recovery (ahora Disk Drill): permite recuperar archivos eliminados.
PhotoRec: es un software diseñado para recuperar archivos perdidos incluyendo videos, documentos y archivos de los discos duros y CDRoms así como imágenes perdidas (por eso el nombre PhotoRecovery) de las memorias de las cámaras fotográficas, MP3 players, PenDrives, etc.
SIFT Workstation: es una colección de herramientas forenses y de respuesta a incidentes gratuitas y de código abierto diseñadas para realizar exámenes forenses digitales detallados en una variedad de entornos.
The Sleuth Kit: es una biblioteca y colección de herramientas de línea de comandos que le permiten investigar imágenes de disco.
Volatility: Volatility es una herramienta forense de código abierto para la respuesta a incidentes y el análisis de malware.
Windows Registry Recovery: es una herramienta para la recuperación de datos de configuración del registro de máquinas bloqueadas y la copia de seguridad del registro.
WinHEX: es un editor de archivos en formato hexadecimal. Permite, por ejemplo, averiguar si un archivo está en el formato correcto (por si un usuario ha cambiado la extensión de un .docx a un .mp3 para encubrir información).
WireShark: es el analizador de red más famoso de la comunidad. Permite capturar el tráfico y desglosar los paquetes para analizarlos.
Tecnógrafos 